36氪獲悉，安全企業「螣龍安科」於今日正式宣佈完成Pre-A輪融資。據介紹，本輪融資金額在數千萬元級別，投資方爲順爲資本，密碼資本擔任獨家財務顧問。本輪融資後，公司將持續投入產品研發和市場推廣工作。

螣龍安科是36氪曾經報道過的一家公司，成立於2020年。公司當前的主要產品包括BAS自動化攻擊平臺、ASM平臺和「謎團」靶場系統。螣龍安科創始人兼CEO王昊天介紹，BAS和靶場，是螣龍安科早前即推出的產品，而ASM則是公司2022年開始研發的新產品，公司也於2023年完成品牌升級，BAS正式更名爲「天網」自動化模擬攻擊系統，ASM正式更名爲「天眼」攻擊面管理系統。

當前從行業看，隨着網絡攻擊和數據泄露事件的頻發，企業客戶對盤點數字資產、知悉資產中存在的潛在安全風險愈發重視。於是，攻擊面管理（ASM）也成爲近年安全方向的新興領域。關於攻擊面管理（ASM），36氪曾做過介紹，這是一種從攻擊者視角對企業數字資產攻擊面進行檢測發現、分析研判、情報預警、響應處置和持續監控的資產安全性管理方法。其最大特性就是以外部攻擊者視角來審視企業所有資產可被利用的攻擊可能性。2021年7月，Gartner將攻擊面管理相關技術定義爲網絡安全運營技術中的新興技術。從產品架構上，Gartner認爲攻擊面管理由網絡資產攻擊面管理（CAASM）、外部攻擊面管理（EASM）以及數字風險保護（DRPS）三部分組成。

目前，ASM領域的中國創業公司日漸增多，但其中大多關注CAASM，即幫助企業盤點內部數字資產，梳理其中的安全問題。而王昊天表示，螣龍安科目前對CAASM、EASM和DRPS均有涉足。主要原因在於，螣龍安科是從客戶處發現的ASM需求，所以希望給客戶提供完整的解決方案，避免安全產品碎片化的問題。另外王昊天還介紹，CAASM、EASM和DRPS三者在技術底層上有共通之處，存在能力複用的可能。比如，外部攻擊面管理雖需通過接入更多外部數據源（威脅情報），以提升發現外部資產的概率，但同樣需要通過主動探測來發現更多資產。而內部攻擊面管理，也需要主動探測和被動分析兩種技術結合。另外在DRPS方面，王昊天表示，公司在進行外部攻擊面管理的工作時，往往也能監測到客戶泄露的資產。總結而言，他認爲這三類產品的核心目標都是通過對協議的深度解析，利用主動探索或者被動分析技術，精準判別客戶的資產，在技術實現上有着相通之處——這也是螣龍安科目前給客戶提供整體型攻擊面管理解決方案的可行性邏輯。

在場景方面，攻擊面管理產品還可以和BAS產品形成配合。王昊天告訴36氪，攻擊面管理梳理出的企業資產信息，可以提供給BAS進行自動化滲透測試，提升測試出更多安全問題的可能。

而關於螣龍安科的BAS產品，36氪此前也介紹過，天網BAS的搭建邏輯由兩部分構成，首先是自下而上的企業網絡資產測繪，主要通過業內公認的ATT&CK及CAPEC標準進行攻擊模組切分；另外是由人工智能驅動的頂層設計，使其具備自主威脅發現的決策能力。整體而言，自動化是這類產品和傳統漏掃等安全產品的最大差別。

在BAS的具體衡量標準上，王昊天表示當前螣龍的產品已經覆蓋65%的攻擊向量。略作介紹，攻擊向量是一種路徑或手段，黑客可以通過它訪問計算機或網絡服務器，以傳遞有效負載或惡意結果，包括病毒、電子郵件附件、網頁、彈出窗口、即時消息、聊天室等。而BAS作爲一種測試產品，要防止在測試時對客戶系統造成真實傷害。所以，BAS內的攻擊向量需要經過無害化處理。王昊天表示，無害化處理需要專業人力進行判定、審覈。並且，不同向量在不同系統上的表現會存在差異，這也導致這類產品的審覈成本呈指數級增加。基於此，王昊天表示65%的覆蓋度，在業內已經是一個很高的水平。

另外，公司還有自己的社區平臺，並針對社區推出了靶場系統「謎團」。謎團以雲原生架構搭建平臺，通過虛擬化技術滿足對複雜網絡環境、操作系統及應用程序的模擬。從定位上來講，一方面謎團主要作爲社區型產品致力於幫助安全從業人員成長，另一方面謎團也是天網BAS訓練的對手方，幫助天網系統完成機器學習模型的進化。而如今有了天眼ASM平臺，三款產品之間的聯動作用也更加明顯。

在商業化層面，當前螣龍安科的客戶主要以金融、政府、能源行業的大中型企業爲主，主要以資產數量爲衡量標準，收取年費。另值得一提的是，當前螣龍安科也正和一些保險公司一起，共同進行網絡安全保險的落地。在這一合作模式中，保險公司會推薦客戶使用螣龍安科的天眼系統梳理資產、發現安全風險，再爲其提供針對性的保險服務。

本輪融資後，螣龍安科將持續進行產品研發和市場推廣，近期也會重點進行天眼ASM系統的商業化落地。