2012年馬坤和幾個(gè)朋友創(chuàng)辦四葉草安全公司時(shí)候，是個(gè)三無公司，沒有項(xiàng)目，沒有客戶，沒有人。

2015年12月，四葉草安全宣布獲得3000萬元 Pre-A輪融資，投資方為浙江如山資本。

時(shí)隔兩年，在 2017 年最后一個(gè)工作日，四葉草安全宣布完成 6700 萬人民幣的 A 輪融資，由基石基金領(lǐng)投，魯信創(chuàng)投、如山資本等跟投。

“2015 年融資后，我們一直沒有跟資方對接，直到 2017 年七八月份的時(shí)候，為了一些后期發(fā)展才開始籌備，相對來說整個(gè)融資過程比較順利?！瘪R坤告訴雷鋒網(wǎng)宅客頻道。

這是一種緣分，馬坤把四葉草安全與資方的碰撞如此形容，“相比 base 在北上廣的公司，落戶西安的四葉草資源可能會少一點(diǎn)，被認(rèn)可更多的是我們的創(chuàng)業(yè)理念和價(jià)值觀吧?！?/p>

事實(shí)真的如此輕松嗎？

▲馬坤

安全行業(yè)賺錢難？

“安全公司起初都比較難賺錢，原因是這并非一個(gè)產(chǎn)出服務(wù)，而是做保障的，所以會慢一些?！?/p>

四葉草創(chuàng)立五年，至今年 9 月份才開始盈利，之前基本略有虧損?！耙?yàn)槲覀冊缙谝恢痹谧鐾獍?wù)，就是接活兒做項(xiàng)目，公司沒有市場和銷售，所以整個(gè)利潤相對較薄，投入又較高?！?/p>

馬坤也坦白在 Pre-A 輪融資前出現(xiàn)過多次發(fā)不出工資的情況，不過每次快發(fā)不出工資時(shí)，就會接到幾個(gè)項(xiàng)目。

“我們的運(yùn)氣比較好?！?/p>

雪中送炭未必不好，但終究不是長遠(yuǎn)之計(jì)。

而目前無論是黨政軍以及一些大型企業(yè)，面臨的數(shù)據(jù)跟蹤、商業(yè)競爭背后黑客的驅(qū)動力越來越大，客戶需求慢慢變成剛需。再加上《網(wǎng)絡(luò)安全法》推出，企業(yè)安全投入開始增多。對于企業(yè)來說，安全并非產(chǎn)出服務(wù)，但它可以保障企業(yè)不被黑客行為傷害造成商業(yè)損失。

“我們要做的就是給企業(yè)看病，這是我個(gè)人以及我們團(tuán)隊(duì)喜歡做的事，所以并沒有急于求成。公司成立到現(xiàn)在這五年，我們抱著一種喜歡并對未來比較有信心的心態(tài)，一直在堅(jiān)持。”

從開始靠外包養(yǎng)活小團(tuán)隊(duì)，再逐漸擴(kuò)大團(tuán)隊(duì)，承辦 CTF 比賽和完善全時(shí)風(fēng)險(xiǎn)感知平臺 Bugfeel 等產(chǎn)品，從親自跑客戶到現(xiàn)在招了幾個(gè)銷售市場人員，四葉草從僅能夠養(yǎng)活自己開始慢慢盈利。

產(chǎn)品如是

想在檢測領(lǐng)域做強(qiáng)做深并不容易。

如果說四葉草安全最初發(fā)布的基于社區(qū)的分布式漏洞掃描平臺 Bugscan 是通過社區(qū)匯集多種黑客思維，并將這種黑客思維進(jìn)行數(shù)據(jù)建模，然后將模型輸入到產(chǎn)品頂層，以此實(shí)現(xiàn)產(chǎn)品初步的互聯(lián)網(wǎng)特性。

那么接下來從一個(gè)免費(fèi)的分布式平臺，過渡到一個(gè)商業(yè)化的產(chǎn)品則較為困難。

之前的產(chǎn)品使用者是黑客、發(fā)燒友以及安全愛好者們，后期則要讓甲方客戶理解，這兩種思維方式顯然不一樣。對于黑客來說，簡單，迅速，直接，準(zhǔn)確發(fā)現(xiàn)問題十分關(guān)鍵。

“甲方則會要求更為豐富，比如文檔、報(bào)告，還有一些格式化的東西，以及提案，所以我們在很長的時(shí)間內(nèi)對產(chǎn)品進(jìn)行了優(yōu)化，包括對報(bào)告的優(yōu)化，對界面的優(yōu)化，以及對客戶提案的優(yōu)化，還有對用戶理解模型的優(yōu)化?！?/p>

當(dāng)然，這一“聯(lián)動”的計(jì)劃在轉(zhuǎn)型中面臨從黑客思維轉(zhuǎn)向甲方思維，“很多時(shí)候我們認(rèn)為這個(gè)應(yīng)該這樣做，但是客戶認(rèn)為那樣做。所以需要我們在中間取一個(gè)折中點(diǎn)，既保留自己的特色，又讓甲方可以接受。除此之外，我們的團(tuán)隊(duì)成員多是攻防技術(shù)出身，沒有甲方的工作經(jīng)驗(yàn)。所以在這一環(huán)節(jié)中，我們陸續(xù)從甲方挖了一些人解決問題。”

競爭與合作

事實(shí)上一些大廠也有漏洞掃描平臺，競爭絕不會少。

但在馬坤看來，自家的“娃娃”是有個(gè)性的，這種個(gè)性更多是在行為層面發(fā)現(xiàn)用戶的漏洞，而不單純的依靠特征。

傳統(tǒng)廠商的漏洞掃描平臺多依靠特征發(fā)現(xiàn)一些漏洞，即針對一條條呆板的規(guī)則進(jìn)行比對發(fā)現(xiàn)，可以把它理解成殺毒軟件掃描病毒的方式。

而四葉草通過多年的安全服務(wù)項(xiàng)目和社區(qū)，集成了大量的黑客行為模型，并把這種模型加之以特有算法，初步實(shí)現(xiàn)了一些人工智能，然后讓產(chǎn)品自動化的模仿人的行為，發(fā)現(xiàn)用戶漏洞。

模型的搭建少不了數(shù)據(jù)支持，馬坤告訴雷鋒網(wǎng)宅客頻道，四葉草得到的這些數(shù)據(jù)依托之前搭建的分布式漏洞掃描社區(qū)，目前注冊人數(shù)超過兩萬，每天活躍人數(shù)500-1000人。這些白帽子會在社區(qū)發(fā)布如何驗(yàn)證漏洞的插件，而這些插件即四葉草所收集的數(shù)據(jù)，也就是黑客行為模型。每天所能收集到的二、三十個(gè)插件就是模型更新迭代的“原料”，馬坤也將這種方式比作“互聯(lián)網(wǎng)的眾籌模型”。

當(dāng)然，有競爭也會有合作。

對于主機(jī)層面的漏洞掃描，更為需要特征，而對應(yīng)用層面的漏洞掃描，行為則更為重要，所以四葉草也會與同行進(jìn)行互補(bǔ)，聯(lián)合做項(xiàng)目。

但馬坤明確表示不準(zhǔn)備在主機(jī)檢測層面投入過多精力。

“因?yàn)槟壳昂诳偷墓シ?，很多都是從網(wǎng)站或者平臺著手的，如果以房間相類比，窗子或者房間內(nèi)部的某些家具會成為其率先著手突破的入口，這些家具相當(dāng)于一些應(yīng)用。而整個(gè)地基，或是橫梁可以比作操作系統(tǒng)，黑客對這一層面投入并不如前者。”馬坤對雷鋒網(wǎng)說道。

作為聚焦 Web 以及應(yīng)用層面檢測的四葉草在這輪融資之后也將對產(chǎn)品進(jìn)行一些細(xì)分。比如可能按照行業(yè)去劃分，或者為客戶進(jìn)行定制，做出不同的版本。

“現(xiàn)在我們主要客戶是政府運(yùn)營商、金融，互聯(lián)網(wǎng)企業(yè)，我們會按照現(xiàn)有的幾個(gè)行業(yè)進(jìn)行劃分。因?yàn)槊總€(gè)行業(yè)用戶使用的操作系統(tǒng)，數(shù)據(jù)庫，以及它的網(wǎng)絡(luò)環(huán)境，資產(chǎn)種類是不一樣的，而我們有了很多客戶案例，現(xiàn)在正在做這種產(chǎn)品的劃分?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。