80%頭部企業(yè)都在用的威脅情報“最強大腦”是什么？

近日，威脅情報領軍企業(yè)微步在線宣布已于2019年7月完成億元級C輪融資，由星路資本和高瓴資本聯合領投。資本寒冬下大筆投資的出現，讓業(yè)界注意到信息安全行業(yè)的又一細分領域——威脅情報正在崛起。

微步在線創(chuàng)始人&CEO 薛鋒接受采訪（左二）

說起威脅情報，大多數人可能一臉茫然。當網絡病毒來襲時，人們往往只看見各種安全機構在發(fā)布事件告警，持續(xù)更新破解方案，但是很少有人知道，這背后其實是一次次分秒必爭的網絡戰(zhàn)爭，而威脅情報則是贏下戰(zhàn)爭的關鍵一環(huán)。

震驚全球的WannaCry事件，正是威脅情報立下汗馬功勞的一場著名戰(zhàn)役。雖然已過去兩年，但是對于政府和企業(yè)而言，這場網絡攻防戰(zhàn)帶來的震撼和焦灼感，依然歷歷在目。

2017年5月12日，WannaCry勒索病毒爆發(fā)。次日，國內主流網絡安全企業(yè)都在搶先發(fā)布緊急預警，建議用戶盡快升級安裝Windows操作系統相關補丁，已感染病毒的機器立即斷網。

令人不安的是，WannaCry病毒仍在瘋狂擴張領地。如同一場互聯網領域的“生化危機”，病毒感染以小時為單位發(fā)生著幾何倍數的增長。

13日，一個WannaCry溯源分析與應急響應報告突然出現在網上。

報告顯示，WannaCry病毒存在一個秘密開關，用戶可以通過關掉開關，完全控制住內部的WannaCry病毒。報告詳細呈現了開關的機制、原理，甚至連背后的團伙和攻擊目的都全部分析出來。

這份來自威脅情報企業(yè)——微步在線的溯源分析與應急響應報告，在發(fā)布后的2小時內，轉發(fā)量暴漲到10萬+。很多政府機構和通信企業(yè)聽聞消息，紛紛主動聯系微步在線咨詢應對策略。

然而，情況突然再次惡化：WannaCry勒索攻擊出現變種！與之前版本的不同是，WannaCry 2.0取消了秘密開關，且該變種傳播速度可能會更快。

變種的出現，讓眾多政府機構和企業(yè)再度陷入恐慌和焦慮。很快，微步在線又一次率先發(fā)布了對攻擊變種的分析報告，詳細呈現出兩批不同的變種蠕蟲的特征。更重要的是，微步在線準確的指出，經測試該變種無法有效進行加密，后續(xù)大范圍傳播的可能性極小。

“變種無用”的結論，像一把尖刀插在敵人的心臟上，迅速恢復了全球用戶的信心。

根據微步在線的威脅情報指導，大量企業(yè)利用配置內部DNS等方法，兩天之內就把所有內部存在WannaCry攻擊可能的機器免疫攻擊，有的企業(yè)客戶數十萬臺終端沒有一臺遭遇損失。

這一仗，讓微步在線的名聲響徹全國，事后很多企業(yè)向微步在線發(fā)來了感謝信。

不同于其他安全機構的威脅情報，微步在線以準確、快速、深度的情報分析，幫助大量政府機構和企業(yè)免受病毒肆虐，保護了國家關鍵IT基礎設施的安全。

事實上，這并不是微步在線第一次“出名”。從2015年成立之初，微步在線就屢屢創(chuàng)下全球威脅情報的紀錄。

2015年，Xcode Ghost病毒迅速擴散，國內很多大型互聯網企業(yè)的APP都相繼中招，累計受感染用戶數億人。

當其他安全廠商還在關注哪些企業(yè)被感染了該病毒的時候，初出茅廬的微步在線直接在安全社區(qū)里扔出了一個分析報告：攻擊團伙是誰，什么時候開始干的，怎么進行攻擊的，一整套的關聯分析和結論，講得明明白白。

這份深度的威脅情報，讓外界大為震驚，也讓當時還擠在中關村大廈某個小辦公室里的微步在線“一炮而紅”。

之后，在烏克蘭電網攻擊事件、暗黑客棧攻擊事件等全球著名的網絡安全事件中，微步在線都是第一個發(fā)現攻擊者和攻擊方式的安全廠商。

在一次次的高手對戰(zhàn)交鋒中，微步在線的名字開始頻繁出現在國內外網絡安全屆的視野中。他們發(fā)現，原來在威脅情報領域，還有一家如此強悍的中國企業(yè)。

2017年起，微步在線連續(xù)三年成為成為重大會議或慶典網絡安保技術支撐單位，榮獲多個國家級獎項。

為什么微步在線能夠在成立短短四年內屢立戰(zhàn)功，并得到資本和市場的大力認可？微步在線的威脅情報產品，具體是如何發(fā)揮作用來保護企業(yè)信息安全的呢？

決定生死的“情報戰(zhàn)”

2017年，Gartner在《安全威脅情報服務市場指南》中提出，威脅情報是一種基于證據的知識，包括了情境、機制、指標、影響和操作建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險，并可以用于通知主體針對相關威脅或危險采取某種響應。

簡而言之，通過對威脅情報的收集和分析，企業(yè)能夠準確判斷威脅的發(fā)展現狀與趨勢，并進行相應的決策，從而實現較為精準的動態(tài)防御。

在微步在線創(chuàng)始人&CEO薛鋒看來，網絡攻防戰(zhàn)需要“知己知彼”，傳統的安全防護主要是“知己”，即企業(yè)對自身的業(yè)務和資產情況很了解，但是掌握不了攻擊方的動態(tài)，就只能被動挨打，而威脅情報賦予企業(yè)的是”知彼”的能力，能夠變被動為主動防護。

這就好比決定戰(zhàn)爭勝負的關鍵，其實在于情報。如果拿到假的情報，道聽途說的情報，不可用的情報，都會導致戰(zhàn)爭的失敗。在明槍暗箭的網絡戰(zhàn)爭中，威脅情報正是安全防護的核心能力。

那么，一份真正有價值的威脅情報是如何產生的呢？在開放的網絡世界，海量信息如同空氣一樣充斥在每一個空間，真正的情報就蘊藏在千絲萬縷的信息中，到底哪些信息才能產生真正的價值？

微步在線聯合創(chuàng)始人李秋石表示，微步在線的核心能力就在于對互聯網上人人皆可用的IP、域名等數據進行大數據分析，從中發(fā)現有價值的威脅情報。

“就像在患者一開始的發(fā)燒癥狀中，準確快速的篩選出它是普通感冒還是嚴重疫情，導致的患者死亡率和疫情傳播結果是完全不一樣的，這對于機構的專業(yè)度和時效性要求非常高?！?/p>

和醫(yī)療行業(yè)類似，在威脅情報這個“科室”，微步在線是業(yè)內公認的專家。

2017、2019年，微步在線兩年被Gartner評為亞洲地區(qū)最專業(yè)的威脅情報公司，并多次入選全球網絡安全500強(CyberSecurity 500)。

從公司成立到入選Gartner，微步在線只花了兩年時間，創(chuàng)造了全球安全公司的最快紀錄。

據薛鋒介紹，微步在線的這種核心能力，來源于大數據積累、AI技術和專家經驗的結合，并將其轉化為一個云端的“最強大腦”——微步在線安全云，背后有70多個系統在進行支撐，通過復雜的流程和核心模型對威脅情報進行24小時的收集、發(fā)現和處理。

在此基礎上，微步在線研發(fā)出三款主打產品：網絡威脅感知平臺（TDP）、本地威脅情報管理平臺（TIP）和安全DNS服務(OneDNS?)，分別幫助大型企業(yè)在海量流量中發(fā)現威脅，管理威脅情報并沉淀安全能力，以及賦予中小企業(yè)及多地辦公的企業(yè)獲得統一的云安全防護。

威脅情報界的“扛把子”

根據全球市場研究與咨詢公司Marketsandmarket的數據預測，到2022年，全球威脅情報市場將達到89.4億美元。

可以看到，威脅情報已成為信息安全能力發(fā)展的必然趨勢。然而早在2015年，威脅情報在中國還是一個絕對的市場空白點。

當時在亞馬遜(中國)擔任首席信息安全官(CISO)的薛鋒，預感到了這一趨勢的到來。

作為甲方企業(yè)的安全從業(yè)者，薛鋒深知國內企業(yè)的安全防護有多薄弱，安全專業(yè)人員的極度缺乏，讓企業(yè)安全運維舉步維艱，而威脅情報的出現，能夠很大程度上彌補企業(yè)安全能力的不足。

認同薛鋒觀點的，還有他的一幫老同事。威脅情報市場作為一個新興的安全細分領域，其中的機會和潛力讓他們興奮不已。

這群當時還在阿里云、支付寶、美團等知名互聯網企業(yè)擔任中高管、年薪加起來超千萬的技術人，毅然辭職創(chuàng)建了微步在線。

他們最初的想法很簡單，也很極客，如同微步在線（ThreatBook）的名字寓意，每天一小步而至千里，他們希望像“維基百科”一樣，給安全界也創(chuàng)造一個“危機百科”，讓所有的網絡威脅都能夠被發(fā)現、被解釋。

即便有著令人動容的初心和超豪華的創(chuàng)業(yè)陣容，微步在線在創(chuàng)立最初的一兩年內，依然是個名不見經傳的小廠商，只是一心撲在威脅情報技術構建上。

但是在安全技術圈里，微步在線卻有著大批的追隨者。除了在一次次的全球安全事件中嶄露頭角，微步在線還成立了一個公共的威脅情報社區(qū)——X情報社區(qū)。

所有的企業(yè)和技術愛好者都可以把相關信息提交到社區(qū)里，供其他人免費查詢，以防止攻擊團伙再去攻擊別人，同時也能讓大家一起揪出幕后黑手。

這種極客精神，為微步在線贏得了大量人氣，從一開始的幾百人注冊，到如今上萬的日活躍量，每天社區(qū)都能收到30-50萬條威脅信息。X情報社區(qū)成為微步在線一個強有力的情報共享陣地，也讓更多技術負責人和愛好者認識了微步在線。

不同于大多數創(chuàng)業(yè)公司主動獲客的方式，微步在線的商業(yè)起步頗為另類，客戶往往是慕名而來。2016年，孟加拉國SWIFT清算系統被攻陷，微步在線第一時間將威脅情報匯報給國內有關部門，讓國內很多金融機構對微步在線有了深刻印象。

注重資產和信息安全的金融機構，很快成為微步在線的第一批種子用戶。在看重技術能力，對技術保持開放心態(tài)的金融企業(yè)中，效果是最大的度量。通過POC測試，微步在線的技術指標在十幾家競爭的廠商中全部排名第一，直接靠技術實力拿下了一個又一個金融機構。

與金融業(yè)類似的，還有業(yè)務體量更加龐大的能源行業(yè)，重視信息安全，愿意對安全建設進行投入，但前提是技術投入必須帶來真正的效果。這類看重實際效果的大型企業(yè)客戶，反而成了沒有客戶資源、銷售占比極低的微步在線最初的用戶群。

憑著硬碰硬的技術實力比拼，微步在線開始在金融、能源、互聯網等行業(yè)快速拓展。如今，中國10大銀行中的8家，10大證券公司中的8家，10大能源企業(yè)中的5家，5大互聯網公司中的4家，5大智能手機中的4家，都成為微步在線的客戶。

除此之外，微步在線還將抽象的安全能力，以非常容易理解和落地的方式，賦能給大量的中小企業(yè)。以OneDNS?為例，企業(yè)只需要花十幾秒設置一下DNS地址，就能夠獲得微步在線云端“最強大腦”的能力。

從商業(yè)模式看，微步在線主要是基于SaaS的訂閱服務，但是微步在線卻通過本地化軟件交付、軟硬一體交付、SaaS云化交付等多種靈活的部署方式，滿足了從大客戶到中小客戶的不同需求，年續(xù)費率高達95%以上。

對于大型機構，微步在線提供一整套的本地化行業(yè)解決方案，并配合少量的定制化，來滿足企業(yè)復雜IT環(huán)境下的安全需求。

對于500人左右的中小企業(yè)，每年使用微步在線安全DNS服務的費用較低，成本在可承受范圍內。

對于在分支機構眾多的企業(yè)而言，安全DNS服務能夠為企業(yè)節(jié)省購買硬件和安全設備的龐大開支，將成本降至原先的1%-10%，并對分支機構的安全進行統一管理，因而備受企業(yè)青睞。

這也就不難理解，為什么成立短短四年，微步在線的產品就成為金融、能源、互聯網、政府等行業(yè)80%頭部企業(yè)的必選項。

在技術上，微步在線的威脅情報能力遙遙領先，威脅發(fā)現的準確率高達99.9%，同時覆蓋度也保持著絕對的領先，在大量的客戶實踐中得到了長期驗證。出眾的技術能力，為微步在線贏得了客戶的信任和口碑，讓業(yè)務具備了較高的粘性。

在商業(yè)模式上，微步在線沒有照搬國外SaaS公司的模式，而是巧妙的將標準化產品、SaaS訂閱付費方式與少量的定制化相結合，前期先滿足了中國市場大型頭部客戶的需求。在行業(yè)標桿客戶的支撐下，再覆蓋中小企業(yè)的長尾市場，快速起跑，體現了靈活的商業(yè)策略。

在產品和運營上，微步在線非常注重安全能力的落地，能夠站在企業(yè)客戶的角度，將抽象的安全能力轉化為標準化產品，以簡單的部署方式，讓企業(yè)快速獲得安全效應，并通過持續(xù)的運營將安全落到實處。反過來看，能夠用得起來的安全產品，也為企業(yè)長期續(xù)費奠定了基礎。

在行業(yè)覆蓋上，威脅情報的能力適用于全行業(yè)，但是針對不同行業(yè)體現出的不同攻擊特征，微步在線也積累了大量的行業(yè)經驗，并推出了相應的行業(yè)解決方案，能夠讓產品快速落地到不同行業(yè)中。

如此看來，微步在線是國內威脅情報領域不折不扣的“扛把子”，以強大的技術實力和產品落地能力，扛起了國家和企業(yè)大部分關鍵IT基礎設施的安全重擔。

威脅發(fā)現與響應的專家

2019年，網絡安全等級保護制度2.0標準正式發(fā)布，“威脅情報檢測系統”和“威脅情報庫”首次進入了等保評測的要求中。這表明在網絡安全建設中，威脅情報的重要性越來越清晰地體現出來。

在市場側，威脅情報市場也隨著網絡安全行業(yè)也出現了爆發(fā)式增長。

根據信通院數據，2018年我國網絡安全產業(yè)規(guī)?？偭?10.92億元，增長率19.2%，預計2019年達到631.29億元，國內威脅情報安全服務提供商2018年威脅情報直接收入，相較于2017年也普遍呈現高速增長態(tài)勢。

而在國外，威脅情報企業(yè)CrowdStrike的市值曾經超過200億美元，甚至一度超過全球市值最高的網絡安全公司Palo Alto Networks。

威脅情報領域作為當下熱門的安全技術之一，吸引了360、奇安信、綠盟等多個大型安全廠商入場，阿里云、騰訊云等公有云巨頭也不甘落后，紛紛成立安全實驗室發(fā)展威脅情報能力。

雖然威脅情報領域競爭激烈，但是在薛鋒看來，多個廠商進入這一領域競爭，說明市場蛋糕足夠大，紅利期才剛剛到來。

目前，微步在線在各個方面都建立了很高的壁壘，行業(yè)領頭羊地位暫時難以撼動。

一是技術門檻較高。威脅情報技術的核心，在于大數據的處理和分析能力。與大型安全廠商相比，微步在線all in威脅情報的技術投入，已經取得了持續(xù)性的領先。隨著大數據的積累、AI模型的優(yōu)化和知識經驗的沉淀越來越深厚，微步在線安全云的技術門檻還將進一步加高。

二是社區(qū)的生態(tài)建設，成為微步在線獨特的優(yōu)勢。X情報社區(qū)不僅是微步在線獲得情報信息的來源之一，更是優(yōu)秀人才、企業(yè)客戶與微步在線產生互動與認同的渠道，長期看來會成為國內威脅情報信息交流的重要聚集地，這也將持續(xù)擴大微步在線的行業(yè)影響力。

今年，微步在線向全社會發(fā)起了總獎金額為1000萬的情報獎勵計劃，鼓勵大家收集各種威脅情報，以眾包的形式發(fā)起情報共享，這一動作也將進一步推動社區(qū)的生態(tài)建設。

三是與大型云廠商的深度合作，讓微步在線能夠更快的拓展市場。在去年的云棲大會上，微步在線和阿里云安全達成了產品級深度合作，微步在線的產品是唯一內嵌在阿里云安全中心里的威脅情報服務，購買了阿里云安全產品的用戶，也能夠一鍵采購微步在線的服務。

四是在行業(yè)標準的制定和推動上，微步在線始終發(fā)揮著重要作用。作為中國互聯網協會威脅情報共享工作組組長，微步在線參與了等保2.0標準的編寫工作。

在推動情報共享方面，微步在線聯合國家監(jiān)管單位、企業(yè)用戶和多家廠商，共同定義數據共享標準接口，發(fā)揮著行業(yè)領導者的作用，推動國內威脅情報領域持續(xù)向前發(fā)展。

從今年C輪以后，微步在線的Slogan從“安全智能，情報驅動”變成了“威脅發(fā)現與響應專家”。

薛鋒表示，在威脅情報的發(fā)現能力之上，進一步對威脅進行處置是微步在線的優(yōu)勢所在。未來，微步在線將加強產品自動化響應的能力，從威脅的發(fā)現到響應形成一個閉環(huán)，從根本上解決企業(yè)用戶的安全問題。

薛鋒認為，目前在金融、能源、互聯網等行業(yè)，還有巨大的市場空間等待發(fā)掘。以SaaS標準化產品為主的交付方式，讓微步在線能夠在獲客越多的情況下，進一步攤薄前期安全云的成本投入，而不會陷入到人力成本增加的怪圈里。

隨著未來幾年信息安全和企業(yè)全面上云的紅利到來，如微步在線這樣的技術領導者企業(yè)，很有可能從威脅情報細分領域的創(chuàng)業(yè)公司，成長為安全領域的巨頭。但這一過程，也考驗著微步在線快速開疆擴土的能力。

【科技云報道原創(chuàng)】

微信公眾賬號：科技云報道

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。