提供企业安全服务？“漏洞银行”认为众测悬赏和综合诊断要两手抓

安全问题，对于企业来讲，重要程度自然不言而喻。随着互联网的普及，企业面临的安全威胁越来越严峻，维持成本也越来越高，而中国有 5000 万中小企业，攻击漏洞所造成的损失一年超千亿。

面对企业的漏洞风险，包括微软、谷歌、Facebook等都提出了SRC (Security Response Center，安全应急响应中心)的概念，发动全网有奉献精神的白帽子来为企业提交漏洞，以提高安全防御能力。国内包括BAT在内的大型互联网公司也都建立了自己的SRC平台。

“但这个对于中小型企业而言，成本太高了。它们要构建一个自己的SRC，大约每年需要150万元的投入成本，包括至少雇佣三个技术和两个运营人员。”漏洞银行的创始人罗清篮告诉36氪，团队的初衷就是通过众包模式为企业客户寻找漏洞，帮助其用低成本建立起 SRC 中心。简单点说，就是在社区里聚集一群白帽子，让这些白帽子解决企业提出的安全检测需求。

目前，共有近千家企业和五千位活跃白帽子入驻漏洞银行 SaaS 平台，企业根据发现安全漏洞大小和数量，对白帽开展定价悬赏。悬赏金额根据不同的情报线索有所区别，高的在2万-10万，低的可能几千元一个。目前阶段，平台暂不收费，等规模做大了，会考虑抽取一定金额的服务费。

15年一整年，罗清篮和他的团队都在搭建这个平台，产品16年初算是正式上线。他坦言前期的运营耗费了大量的精力，因为白帽这个群体非常特殊，是互联网上最难伺候的用户。“他们就是找问题的人，所以也会给你的平台找大量的问题。所以我们也是在他们帮助下，一步步迭代和完善。”至于如何吸引到这批白帽，团队的方法是建立一个PWN栏目将最新的白帽技术公开出来，供大家学习和交流。

谈及和乌云众测的区别，罗清篮认为最大的一个就是乌云会曝光企业安全漏洞，而漏洞银行以保护企业隐私为第一要务，不会选择曝光。因为企业客户面对众测这类安全服务时往往有一个顾虑：自己公司的漏洞会不会被公开或半公开披露，对企业信誉造成严重危害？

其次，漏洞银行构建的企业SRC不单单是做悬赏，更多的是提供一个综合诊断的服务。平台后端拥有一批40-50人规模的专家团队，每天会去甄别和筛选这些威胁情报的真实性。

“也就是说，企业最终看到的那些情报都是经过我们验证过的、有效的。专家队伍也会和企业的技术人员联合，进行安全问题的排查和诊断。这种模式会比市面上的众测平台更成熟，因为悬赏很容易单单依靠白帽子的个人能力，企业更愿意相信有专业背景和技能的公司。”

漏洞银行为上海谋乐网络科技有限公司旗下的产品，公司规模近百人，去年获软银中国资本数百万美元的A轮融资。据悉，当前入驻的企业客户以互联网金融和电商平台类为主（对安全的需求相对刚需），包括宜信、1号店、大众点评等。