专注安全风险评估自动化，「灰度安全」完成千万级A轮融资

近日，北京灰度科技有限公司（下称「灰度安全」）完成千万级A轮融资，投资方为天津泰桥和天津科创天使，资金主要用于市场拓展和新技术研发。航行资本担任公司的长期财务顾问。

「灰度安全」成立于2021年6月，是国内安全风险评估自动化的开创者，公司以“让安全价值看得见”为使命，坚持自主研发和创新，致力成为一家持续创新的安全公司。公司的核心团队汇聚自腾讯、华为、百度、奇安信、绿盟等头部安全企业核心部门及互联网甲方资深力量，成员均拥有十余年信息安全行业深耕经验，深度参与过大型头部企业安全体系的规划与建设，实战经验深厚。公司在2021年7月及2023年5月，先后完成千万级天使轮融资与数千万Pre-A轮融资。

随着网络安全行业的发展深入，网络安全进入运营期，但短缺的专业安全人员，导致企业在安全运营上面临诸多问题。比如，漏洞运营中漏扫存在误报率高、漏洞风险定义不准确；策略和规则运营缺乏对历史策略有效性的校验和规则更新的验证；安全事件运营存在告警及时性和准确性问题，运营流程存在防护覆盖度不全面、应急响应不符合要求……且传统人工渗透服务存在成本高、频次低、无法全面检测的痛点。

「灰度安全」创始人曹静指出：“基于以上一系列安全运营问题，传统的风险评估都是针对已知风险，只发现这些风险是远远不够的，而我们真正要去关心的是那些没有被防护的风险，要对企业已经建设的安全防护手段进行实战测试，去发现那些被安全防护手段漏过的风险。国内这一块过去是空白，这也是我们的市场机会。而通过人工去发现这些风险显然是不现实的，那么就需要自动化的手段去实现这一目标，于是就催生了灰度的自动化风险评估系统。”

值得一提的是，“安全风险评估自动化”，是国际知名咨询机构Gartner曾在2020-2021年度十大安全项目中预测，将成为企业需要重点关注的安全焦点问题之一。该技术目标是将定义明确且可重复的风险评估过程的各个要素整合起来，以识别、度量和处置IT风险。在风险度量的过程中用到的一个核心技术叫BAS（Breach and Attack Simulation），即入侵和攻击模拟，是一种主动防御技术，它可以自动化地使用各类攻击手法对企业的复杂网络进行模拟攻击，并综合评估企业安全体系及策略的有效性。协助企业提升防御能力，有效解决投入难量化、有效性难验证、价值难衡量、安全运营难闭环等问题。

「灰度安全」自主研发的先知·智能风险评估系统，是一款聚焦实战化的安全运营平台，该平台基于风险评估自动化的理念和BAS技术，通过攻击场景构造和攻击向量编排技术，持续度量企业安全防御风险和资产风险，帮助企业有效提升主动防御能力和安全运营效率。

据介绍，该产品的安全运营场景主要体现在基础和专项两大场景中。其中，基础场景包括评估基础安全设施有效性、安全运营过程有效性、安全资产漏洞、网络访问控制策略评估；专项安全运营场景针对勒索攻击、APT攻击、热门攻击等采用攻击编排技术构建基于链路的攻击场景，可以可视化呈现攻击过程和结果，而且攻击编排可以灵活自定义，这种专项的安全运营更加贴近实战。

“该产品可以在不影响客户正常业务前提下触发无害化攻击，达到攻击效果，以验证企业网络安全防护的效果。”曹静表示，该手段具有一定门槛，核心是攻击知识库广度、深度，以及知识库的构造质量。

而「灰度安全」的天弓实验室，其领头人也是公司合伙人，是国内最早进行网络安全情报研究的技术专家，有追踪情报手段，能将情报转化为攻击知识，使知识库更具领先优势。“目前公司知识库覆盖广度和深度在行业内处于领先地位，参考ATT&CK框架覆盖率达70%以上，覆盖300多个单项攻击场景、200多个专项评估场景、4万多个攻击手法。”

除了先知这款主要面向企业网络安全风险度量的产品，「灰度安全」于2025年正式推出了先见-数据安全评估系统，这款新产品主要是面向数据安全防护风险度量的专家级平台，以数据生命周期为基础框架，有针对性地检验数据采集、数据传输、数据处理、数据存储等关键阶段的真实防护效能，帮助企业精准量化数据安全风险暴露面，实现数据安全防护“左移”，让防护效果可度量、可验证。

曹静介绍了公司几个典型的客户案例：

1、某省运营商项目依托先知・智能风险评估系统，无损评估客户生产网络环境安全风险，常态化校验WAF、IPS、EDR 等网络安全设备策略有效性，精准识别关键业务防护未覆盖、恶意行为未检测、策略配置缺陷等问题，支撑安全设备策略优化加固；同时，通过自动化验证资产可利用漏洞，收敛漏洞治理范围，构建闭环风险治理体系，助力客户提升防御能力，保障整体安全建设处于较高水平。

2、某全球化制造业企业，建设全球化智能安全防护体系，以“先知・智能风险评估系统” 为安全运营核心支撑，针对分布于全球的 14 大生产基地、6 大研发中心及跨国供应链网络环境，开展无损风险评估，实现边界安全 - 端点安全 - 数据安全 - 开发安全的全场景验证。通过精准定位并收敛安全 “敞口”，推动企业安全防护从 “被动响应” 全面转型为 “主动防御”，为全球化业务筑牢全维度安全屏障。

3、帮助某金融企业通过监管机构“安全能力技术验证评价”和“场景化安全持续验证评价”，对客户的网络环境进行多点位自动化验证，从全局开展场景化攻击模拟，验证评估纵深防御体系综合防护能力水平，根据评价结果明确安全建设方向，并对防护薄弱环节定向补缺补漏。

“「灰度安全」一直致力于做赛道的领先者，公司一方面将持续保持技术领先性，保持对最新技术的研究、最新攻击手法的研究，快速高质量升级攻击知识；另一方面通过深度服务行业客户，制定行业标准指标，增强客户黏性，以保持竞争优势。”曹静指出，「灰度安全」未来3～5年会一直聚焦安全运营，围绕现有产品和服务拓展技术领域、研发新产品，目标是成为一家为企业提供安全运营产品、服务及整体解决方案的综合型安全运营公司。

投资人说：

达泰资本管理合伙人方元表示，「灰度安全」是国内安全风险评估自动化的开创者，其“先知”智能风险评估系统等产品已经获得电信、能源、金融等行业标杆客户的认可，创始团队在行业深耕多年，具有深刻的行业洞察和优秀的技术产品能力，带领公司构建起包括底层技术研发、产品打磨、市场拓展与客户交付等完整业务体系，公司业务发展已经驶入快车道，我们高度看好公司未来发展前景并会持续提供支持。

天津科创天使投资部副部长李明翰表示，在数字化浪潮席卷千行百业的今天，安全已从“成本中心”变为“增长引擎”。「灰度安全」凭借其在智能动态防御上的超前布局，精准卡位了新质生产力发展的安全基座。安全领域的竞争是顶尖人才的对抗。「灰度安全」的核心团队拥有深厚的攻防实战背景，他们的技术路线不是简单的规则堆砌，而是基于对攻击者思维的深刻理解，构建起一个会自主进化的免疫系统。作为本轮投资方，我们看好其成为保障国家关键信息基础设施的中坚力量,相信灰度安全公司将成为国内网络安全领域的标杆企业。

责任编辑： 星月