近日,威胁情报领军企业微步在线宣布已于2019年7月完成亿元级C轮融资,由星路资本和高瓴资本联合领投。资本寒冬下大笔投资的出现,让业界注意到信息安全行业的又一细分领域——威胁情报正在崛起。
微步在线创始人&CEO 薛锋接受采访(左二)
说起威胁情报,大多数人可能一脸茫然。当网络病毒来袭时,人们往往只看见各种安全机构在发布事件告警,持续更新破解方案,但是很少有人知道,这背后其实是一次次分秒必争的网络战争,而威胁情报则是赢下战争的关键一环。
震惊全球的WannaCry事件,正是威胁情报立下汗马功劳的一场著名战役。虽然已过去两年,但是对于政府和企业而言,这场网络攻防战带来的震撼和焦灼感,依然历历在目。
2017年5月12日,WannaCry勒索病毒爆发。次日,国内主流网络安全企业都在抢先发布紧急预警,建议用户尽快升级安装Windows操作系统相关补丁,已感染病毒的机器立即断网。
令人不安的是,WannaCry病毒仍在疯狂扩张领地。如同一场互联网领域的“生化危机”,病毒感染以小时为单位发生着几何倍数的增长。
13日,一个WannaCry溯源分析与应急响应报告突然出现在网上。
报告显示,WannaCry病毒存在一个秘密开关,用户可以通过关掉开关,完全控制住内部的WannaCry病毒。报告详细呈现了开关的机制、原理,甚至连背后的团伙和攻击目的都全部分析出来。
这份来自威胁情报企业——微步在线的溯源分析与应急响应报告,在发布后的2小时内,转发量暴涨到10万 。很多政府机构和通信企业听闻消息,纷纷主动联系微步在线咨询应对策略。
然而,情况突然再次恶化:WannaCry勒索攻击出现变种!与之前版本的不同是,WannaCry 2.0取消了秘密开关,且该变种传播速度可能会更快。
变种的出现,让众多政府机构和企业再度陷入恐慌和焦虑。很快,微步在线又一次率先发布了对攻击变种的分析报告,详细呈现出两批不同的变种蠕虫的特征。更重要的是,微步在线准确的指出,经测试该变种无法有效进行加密,后续大范围传播的可能性极小。
“变种无用”的结论,像一把尖刀插在敌人的心脏上,迅速恢复了全球用户的信心。
根据微步在线的威胁情报指导,大量企业利用配置内部DNS等方法,两天之内就把所有内部存在WannaCry攻击可能的机器免疫攻击,有的企业客户数十万台终端没有一台遭遇损失。
这一仗,让微步在线的名声响彻全国,事后很多企业向微步在线发来了感谢信。
不同于其他安全机构的威胁情报,微步在线以准确、快速、深度的情报分析,帮助大量政府机构和企业免受病毒肆虐,保护了国家关键IT基础设施的安全。
事实上,这并不是微步在线第一次“出名”。从2015年成立之初,微步在线就屡屡创下全球威胁情报的纪录。
2015年,Xcode Ghost病毒迅速扩散,国内很多大型互联网企业的APP都相继中招,累计受感染用户数亿人。
当其他安全厂商还在关注哪些企业被感染了该病毒的时候,初出茅庐的微步在线直接在安全社区里扔出了一个分析报告:攻击团伙是谁,什么时候开始干的,怎么进行攻击的,一整套的关联分析和结论,讲得明明白白。
这份深度的威胁情报,让外界大为震惊,也让当时还挤在中关村大厦某个小办公室里的微步在线“一炮而红”。
之后,在乌克兰电网攻击事件、暗黑客栈攻击事件等全球著名的网络安全事件中,微步在线都是第一个发现攻击者和攻击方式的安全厂商。
在一次次的高手对战交锋中,微步在线的名字开始频繁出现在国内外网络安全届的视野中。他们发现,原来在威胁情报领域,还有一家如此强悍的中国企业。
2017年起,微步在线连续三年成为成为重大会议或庆典网络安保技术支撑单位,荣获多个国家级奖项。
为什么微步在线能够在成立短短四年内屡立战功,并得到资本和市场的大力认可?微步在线的威胁情报产品,具体是如何发挥作用来保护企业信息安全的呢?
决定生死的“情报战”
2017年,Gartner在《安全威胁情报服务市场指南》中提出,威胁情报是一种基于证据的知识,包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
简而言之,通过对威胁情报的收集和分析,企业能够准确判断威胁的发展现状与趋势,并进行相应的决策,从而实现较为精准的动态防御。
在微步在线创始人&CEO薛锋看来,网络攻防战需要“知己知彼”,传统的安全防护主要是“知己”,即企业对自身的业务和资产情况很了解,但是掌握不了攻击方的动态,就只能被动挨打,而威胁情报赋予企业的是”知彼”的能力,能够变被动为主动防护。
这就好比决定战争胜负的关键,其实在于情报。如果拿到假的情报,道听途说的情报,不可用的情报,都会导致战争的失败。在明枪暗箭的网络战争中,威胁情报正是安全防护的核心能力。
那么,一份真正有价值的威胁情报是如何产生的呢?在开放的网络世界,海量信息如同空气一样充斥在每一个空间,真正的情报就蕴藏在千丝万缕的信息中,到底哪些信息才能产生真正的价值?
微步在线联合创始人李秋石表示,微步在线的核心能力就在于对互联网上人人皆可用的IP、域名等数据进行大数据分析,从中发现有价值的威胁情报。
“就像在患者一开始的发烧症状中,准确快速的筛选出它是普通感冒还是严重疫情,导致的患者死亡率和疫情传播结果是完全不一样的,这对于机构的专业度和时效性要求非常高。”
和医疗行业类似,在威胁情报这个“科室”,微步在线是业内公认的专家。
2017、2019年,微步在线两年被Gartner评为亚洲地区最专业的威胁情报公司,并多次入选全球网络安全500强(CyberSecurity 500)。
从公司成立到入选Gartner,微步在线只花了两年时间,创造了全球安全公司的最快纪录。
据薛锋介绍,微步在线的这种核心能力,来源于大数据积累、AI技术和专家经验的结合,并将其转化为一个云端的“最强大脑”——微步在线安全云,背后有70多个系统在进行支撑,通过复杂的流程和核心模型对威胁情报进行24小时的收集、发现和处理。
在此基础上,微步在线研发出三款主打产品:网络威胁感知平台(TDP)、本地威胁情报管理平台(TIP)和安全DNS服务(OneDNS®),分别帮助大型企业在海量流量中发现威胁,管理威胁情报并沉淀安全能力,以及赋予中小企业及多地办公的企业获得统一的云安全防护。
威胁情报界的“扛把子”
根据全球市场研究与咨询公司Marketsandmarket的数据预测,到2022年,全球威胁情报市场将达到89.4亿美元。
可以看到,威胁情报已成为信息安全能力发展的必然趋势。然而早在2015年,威胁情报在中国还是一个绝对的市场空白点。
当时在亚马逊(中国)担任首席信息安全官(CISO)的薛锋,预感到了这一趋势的到来。
作为甲方企业的安全从业者,薛锋深知国内企业的安全防护有多薄弱,安全专业人员的极度缺乏,让企业安全运维举步维艰,而威胁情报的出现,能够很大程度上弥补企业安全能力的不足。
认同薛锋观点的,还有他的一帮老同事。威胁情报市场作为一个新兴的安全细分领域,其中的机会和潜力让他们兴奋不已。
这群当时还在阿里云、支付宝、美团等知名互联网企业担任中高管、年薪加起来超千万的技术人,毅然辞职创建了微步在线。
他们最初的想法很简单,也很极客,如同微步在线(ThreatBook)的名字寓意,每天一小步而至千里,他们希望像“维基百科”一样,给安全界也创造一个“危机百科”,让所有的网络威胁都能够被发现、被解释。
即便有着令人动容的初心和超豪华的创业阵容,微步在线在创立最初的一两年内,依然是个名不见经传的小厂商,只是一心扑在威胁情报技术构建上。
但是在安全技术圈里,微步在线却有着大批的追随者。除了在一次次的全球安全事件中崭露头角,微步在线还成立了一个公共的威胁情报社区——X情报社区。
所有的企业和技术爱好者都可以把相关信息提交到社区里,供其他人免费查询,以防止攻击团伙再去攻击别人,同时也能让大家一起揪出幕后黑手。
这种极客精神,为微步在线赢得了大量人气,从一开始的几百人注册,到如今上万的日活跃量,每天社区都能收到30-50万条威胁信息。X情报社区成为微步在线一个强有力的情报共享阵地,也让更多技术负责人和爱好者认识了微步在线。
不同于大多数创业公司主动获客的方式,微步在线的商业起步颇为另类,客户往往是慕名而来。2016年,孟加拉国SWIFT清算系统被攻陷,微步在线第一时间将威胁情报汇报给国内有关部门,让国内很多金融机构对微步在线有了深刻印象。
注重资产和信息安全的金融机构,很快成为微步在线的第一批种子用户。在看重技术能力,对技术保持开放心态的金融企业中,效果是最大的度量。通过POC测试,微步在线的技术指标在十几家竞争的厂商中全部排名第一,直接靠技术实力拿下了一个又一个金融机构。
与金融业类似的,还有业务体量更加庞大的能源行业,重视信息安全,愿意对安全建设进行投入,但前提是技术投入必须带来真正的效果。这类看重实际效果的大型企业客户,反而成了没有客户资源、销售占比极低的微步在线最初的用户群。
凭着硬碰硬的技术实力比拼,微步在线开始在金融、能源、互联网等行业快速拓展。如今,中国10大银行中的8家,10大证券公司中的8家,10大能源企业中的5家,5大互联网公司中的4家,5大智能手机中的4家,都成为微步在线的客户。
除此之外,微步在线还将抽象的安全能力,以非常容易理解和落地的方式,赋能给大量的中小企业。以OneDNS®为例,企业只需要花十几秒设置一下DNS地址,就能够获得微步在线云端“最强大脑”的能力。
从商业模式看,微步在线主要是基于SaaS的订阅服务,但是微步在线却通过本地化软件交付、软硬一体交付、SaaS云化交付等多种灵活的部署方式,满足了从大客户到中小客户的不同需求,年续费率高达95%以上。
对于大型机构,微步在线提供一整套的本地化行业解决方案,并配合少量的定制化,来满足企业复杂IT环境下的安全需求。
对于500人左右的中小企业,每年使用微步在线安全DNS服务的费用较低,成本在可承受范围内。
对于在分支机构众多的企业而言,安全DNS服务能够为企业节省购买硬件和安全设备的庞大开支,将成本降至原先的1%-10%,并对分支机构的安全进行统一管理,因而备受企业青睐。
这也就不难理解,为什么成立短短四年,微步在线的产品就成为金融、能源、互联网、政府等行业80%头部企业的必选项。
在技术上,微步在线的威胁情报能力遥遥领先,威胁发现的准确率高达99.9%,同时覆盖度也保持着绝对的领先,在大量的客户实践中得到了长期验证。出众的技术能力,为微步在线赢得了客户的信任和口碑,让业务具备了较高的粘性。
在商业模式上,微步在线没有照搬国外SaaS公司的模式,而是巧妙的将标准化产品、SaaS订阅付费方式与少量的定制化相结合,前期先满足了中国市场大型头部客户的需求。在行业标杆客户的支撑下,再覆盖中小企业的长尾市场,快速起跑,体现了灵活的商业策略。
在产品和运营上,微步在线非常注重安全能力的落地,能够站在企业客户的角度,将抽象的安全能力转化为标准化产品,以简单的部署方式,让企业快速获得安全效应,并通过持续的运营将安全落到实处。反过来看,能够用得起来的安全产品,也为企业长期续费奠定了基础。
在行业覆盖上,威胁情报的能力适用于全行业,但是针对不同行业体现出的不同攻击特征,微步在线也积累了大量的行业经验,并推出了相应的行业解决方案,能够让产品快速落地到不同行业中。
如此看来,微步在线是国内威胁情报领域不折不扣的“扛把子”,以强大的技术实力和产品落地能力,扛起了国家和企业大部分关键IT基础设施的安全重担。
威胁发现与响应的专家
2019年,网络安全等级保护制度2.0标准正式发布,“威胁情报检测系统”和“威胁情报库”首次进入了等保评测的要求中。这表明在网络安全建设中,威胁情报的重要性越来越清晰地体现出来。
在市场侧,威胁情报市场也随着网络安全行业也出现了爆发式增长。
根据信通院数据,2018年我国网络安全产业规模总量510.92亿元,增长率19.2%,预计2019年达到631.29亿元,国内威胁情报安全服务提供商2018年威胁情报直接收入,相较于2017年也普遍呈现高速增长态势。
而在国外,威胁情报企业CrowdStrike的市值曾经超过200亿美元,甚至一度超过全球市值最高的网络安全公司Palo Alto Networks。
威胁情报领域作为当下热门的安全技术之一,吸引了360、奇安信、绿盟等多个大型安全厂商入场,阿里云、腾讯云等公有云巨头也不甘落后,纷纷成立安全实验室发展威胁情报能力。
虽然威胁情报领域竞争激烈,但是在薛锋看来,多个厂商进入这一领域竞争,说明市场蛋糕足够大,红利期才刚刚到来。
目前,微步在线在各个方面都建立了很高的壁垒,行业领头羊地位暂时难以撼动。
一是技术门槛较高。威胁情报技术的核心,在于大数据的处理和分析能力。与大型安全厂商相比,微步在线all in威胁情报的技术投入,已经取得了持续性的领先。随着大数据的积累、AI模型的优化和知识经验的沉淀越来越深厚,微步在线安全云的技术门槛还将进一步加高。
二是社区的生态建设,成为微步在线独特的优势。X情报社区不仅是微步在线获得情报信息的来源之一,更是优秀人才、企业客户与微步在线产生互动与认同的渠道,长期看来会成为国内威胁情报信息交流的重要聚集地,这也将持续扩大微步在线的行业影响力。
今年,微步在线向全社会发起了总奖金额为1000万的情报奖励计划,鼓励大家收集各种威胁情报,以众包的形式发起情报共享,这一动作也将进一步推动社区的生态建设。
三是与大型云厂商的深度合作,让微步在线能够更快的拓展市场。在去年的云栖大会上,微步在线和阿里云安全达成了产品级深度合作,微步在线的产品是唯一内嵌在阿里云安全中心里的威胁情报服务,购买了阿里云安全产品的用户,也能够一键采购微步在线的服务。
四是在行业标准的制定和推动上,微步在线始终发挥着重要作用。作为中国互联网协会威胁情报共享工作组组长,微步在线参与了等保2.0标准的编写工作。
在推动情报共享方面,微步在线联合国家监管单位、企业用户和多家厂商,共同定义数据共享标准接口,发挥着行业领导者的作用,推动国内威胁情报领域持续向前发展。
从今年C轮以后,微步在线的Slogan从“安全智能,情报驱动”变成了“威胁发现与响应专家”。
薛锋表示,在威胁情报的发现能力之上,进一步对威胁进行处置是微步在线的优势所在。未来,微步在线将加强产品自动化响应的能力,从威胁的发现到响应形成一个闭环,从根本上解决企业用户的安全问题。
薛锋认为,目前在金融、能源、互联网等行业,还有巨大的市场空间等待发掘。以SaaS标准化产品为主的交付方式,让微步在线能够在获客越多的情况下,进一步摊薄前期安全云的成本投入,而不会陷入到人力成本增加的怪圈里。
随着未来几年信息安全和企业全面上云的红利到来,如微步在线这样的技术领导者企业,很有可能从威胁情报细分领域的创业公司,成长为安全领域的巨头。但这一过程,也考验着微步在线快速开疆扩土的能力。