对众测平台的深度分析

  • Post author:
  • Post category:IT
  • Post comments:0评论

 

兑现昨晚说的话:回答一个问题。

 

有一位读者问道:「最近乌云、Freebuf等都推出白帽子众测服务,道哥觉得前景如何?这些平台能扭转白帽子和厂商间的对立关系吗?」

 

答:

 

为了方便大多数不明真相的群众,我先稍微补充一下背景吧。乌云在去年开始推出了一项「众测」服务,大致的服务内容就是组织一批乌云上的白帽子,对有需求的客户网站或产品进行一次安全测试,测试的结果按漏洞付费,比如一个高危漏洞付给发现的白帽子3000元(举例),测试的结果不对外公开。如果我没记错的话,乌云对于商业产品的测试抽成应该是在20%左右,大致80%的费用会分给白帽子(因为竞争关系,这个比例可能要调整了)。

 

也就在这个月,突然又连续冒出来了两家众测平台。一家是从腾讯离职的冷焰创办的「Sobug」,另一家则是Freebuf团队创办的「漏洞盒子」。这两家的游戏规则与乌云众测大同小异。比较好玩的是,两家平台刚一上线,就吸引了很多白帽子的注册和漏洞提交。

 

背景大致就是这样,下面我简单写写我的看法,主要是给同行们做一定的参考。这也是我写的最专业的一篇行业深度分析。

 

对于众测模式我揣摩过很久。

 

从模式上来说,这是一种非常「互联网化」的平台级产品,如果要归类的话,可以归为C2B。因为每次测试都会有很多白帽子参加,所以很多厂商会觉得测试得比较全面。我在很多客户那都会听到同一个问题:如何保证你测完后没有遗漏?事实上,这种问题很难回答,而且也没有任何一个安全公司会愿意与客户在这方面签协议。所以到最后很容易演变成客户因为不放心,所以找了好几个安全公司轮流做测试。而众测的模式则相对缓解了客户在这方面的担忧。

 

那么众测的商业前景如何呢?

 

我们先看看中国安全行业的市场,它和全球的安全行业市场还是有一定差距的。全球的安全市场规模,这几年大致在600亿美元到800亿美元之间(根据Gartner等机构的报告)。而在全球市场里,发达国家占比在80%以上。中国的安全行业的市场规模在几十亿美元左右,其中硬件占10亿美元左右,安全服务也在10亿美元左右(根据IDC的报告),剩下的是安全软件。

 

因此相对于游戏行业即将破千亿的市场来说,中国安全行业目前还是一个很小的市场。

 

从结构占比来说,在美国安全市场里政府采购只占10%左右,而在中国,政府采购却占据了大部分。因此可以预见的是,中国市场里的企业需求还远远没有被挖掘出来,未来成长空间巨大。这也和我一直以来走访客户看到的情况一致:很多公司,尤其是互联网公司,有安全需求,但要么是裸奔,要么则自己招了人做,采购了安全服务或安全设备的公司只占少数。

 

这和中国传统的几家安全公司的销售模式有关,他们建庞大销售团队的成本很高,所以产品定价也很高,而大多数企业的付费能力却难以接受这样的定价。所以他们选择了做政府行业、金融、国企、医疗等付费能力最强的客户,而丢弃了市场里80%的中低端客户。

 

再回到市场规模的计算上来,如果以互联网行业来说,可以大致这样来计算市场规模。全国有400万个网站,其中有价值的网站大约在200万个左右(数据来自百度公司)。所以假设每个网站付费1万元每年,市场规模就在200亿元左右。但事实上付费客户不可能有这么多,因此如果按照5%的付费转化率来看,就会有10万个站具有付费潜力。如果每个站付费1万元,市场规模就在10亿元。(如果付费能力再悲观一点,10万个站平均年付费1000元,市场规模才1亿元,好小的市场啊~~)

 

至此,我们用三方面的数据,总算是大致算清楚了中国安全市场的规模:几十亿元人民币左右,但具有很大的成长空间。有人可能会提到绿盟、启明这样的上市公司,但实际上他们的年收入也就在5亿到8亿人民币之间,都没有超过十亿。同时他们的净利润只有几千万,而且连续几年内,净利润里超过50%都是来自政府补贴和政府退税。看到这些数据我觉得这些要养活几千人(主要是销售)的安全公司过的太苦逼了!

 

再回到众测上来,因为定价不能太低,一般在几万块一次,所以目标客户的群体会进一步缩小。因为漏洞的价格如果过低了,就没有白帽子愿意干了。比如几乎没有白帽子愿意只为了100块而报告一个能拖库的漏洞给企业。如果这么算的话,目标客户的数量可能会在一万到两万左右。这个数据的估算没有包含移动互联网,以及其他传统行业的客户。

 

黑哥曾经提醒我众测并非只测试网站,一个客户每次发布前都可以进行测试。但实际上每个客户的年度预算都是提前做好的,除非特殊情况,否则付费能力是固定的。而在企业的IT采购额里,安全采购占的比例很小,在美国是8%-10%,中国可能只有1%-3%(当然也再次说明成长空间巨大)。

 

说完了平台的付费客户这一端,再来看看平台的另一端 — 白帽子。全国有多少个白帽子呢?事实上有人做过统计。有一位我很欣赏的叫gainover的白帽子,曾经用大数据的方式,爬取了微博上所有的安全「圈内人士」,并分析他们之间的关系,最后写了一篇文章叫做《安全圈有多大?也许就这么大》。在这项研究里,他一共从微博上收录了2209个人的ID,整个中国互联网安全圈,每天就是这两千多个人在微博上吵来吵去。

 

但安全圈里还有很多人比较闷,可能不上微博,那我们把这个数据乘以十倍,也就是说,真正意义上的「安全人士」,可能也就在两万的规模了(我觉得太乐观了。值得一提的是很多安全公司里的人实际上并不太懂专业安全技术)。事实上我也很难想象一些连微博帐号也没有的很闷的人会跑去乌云报告漏洞。根据2/8原则,在前期可能真正活跃着,有能力参加众测或者报告漏洞的白帽子,也就在300人到500人之间(实际也如此)。所以众测平台很快会遇到第二个问题:白帽子们不够用了。

 

每一期的众测在两周到一个月左右,每次有十人左右参加。那么500个白帽子一年马不停蹄能够测多少个项目呢?答案是1300个项目。所以假设活跃白帽子的群体没有继续扩大,那么从这个层面也可以再次算出来市场规模:假设平均每个项目费用在5万元,1300个项目就是6500万元,连1亿都没到。所以白帽子的消化能力很可能会成为眼前的瓶颈。

 

但考虑到众测的盈利模式,如果是按照平台抽成20%来算的话,毛利率会在20%以下,非常低。做一家小而美的公司还是有可能的。但现在一下子在一个比较小的市场里涌现出来了三家平台,所以我的判断是市场容纳不下三家之多,一年后很可能会淘汰一家。

 

如何应对呢?我给众测平台的建议是不要局限于安全行业,完全可以把这种C2B的众包模式横向的扩展到其他行业,就像早期的B2C电商一样,都是从卖书开始做起,最后发展到卖电器、卖日用百货。众测平台也完全可以从安全漏洞开始做起,然后扩展到设计师行业、软件测试行业、培训等垂直领域,从而开拓整个市场。

 

实际上众测模式并非乌云首创,在国外有两家公司也干这个事情,一家叫bugcrowd,一家叫synack。其中synack是由NSA的前员工出来创办的,在2013年8月份左右拿到了150万美元的天使投资,在2014年4月份拿到了750万美元的A轮融资。其中A轮是由KPCB领投,Google也参与了对这家公司的投资。

 

synack对于「白帽子」们有着比较严格的审核,会优先考虑于供职于安全公司的身家清白的安全专家。同时synack对于测试过程会有严格的控制。而这一点也是众测模式被客户挑战最多的地方:客户们会非常担心众测平台对于白帽子们的控制和管理能力,如果有个别白帽子在测试过程中隐藏了一个后门,或者是把数据拖走了怎么办?又或者因为测试造成的不稳定算谁的责任?

 

因此众测平台在未来的很长一段时间里,会花大力气在客户信任的建立上,这也将成为核心竞争力之一。

 

听说某数字公司有些想法是把众测弄成免费的模式,让客户免费使用众测,平台100%补贴白帽子的费用。我坚决反对这种杀鸡取卵的做法。这不是赚钱多少的问题,而是如果客户免费使用这样的人工服务,在潜意识里就会认为这样的服务很廉价,到最后是对整个行业的破坏,白帽子的地位只会变得越来越低,因为原本有价值的东西变得没有市场了。

 

写到最后,我想说的是,虽然中国的安全行业是一个小市场,但它具有很大的成长空间。众测的未来不是在眼前,而是在五年后。

 

在去年的时候,我曾经一度认为众测会成为我们未来最大的竞争对手。但是现在想清楚了,我和我的团队要彻底拥抱众测,做众测上最好的白帽子。因为无论客户在哪儿,提供服务的仍然是白帽子,我只需要成为众测里最优秀的白帽子就可以了。这样能达成双赢,众测就是最好的销售和市场渠道。而传统的安全公司,我相信他们很难做出拥抱众测平台的决定。

 

这是挑战,也是机遇。

 

(今日题图:sailfish zen,作者:Alexander Safonov)

 

==== 道哥的黑板报 ====

走在创业道路上的文艺白帽子。

微博、知乎:aullik5

http://taosay.net

微信公号:道哥的黑板报,微信ID:taosay

发表回复