从“防御情报化”到“网络安全云化” 微步在线三轮融资的变化

数据驱动威胁情报

第一次见微步在线安全专家的时候，他给我了一个非常顺口的观点：攻击自动化，防御情报化。意思就是说网络攻击有了大量自动化攻击的支持，对应的需要基于威胁情报来做防御。

那应该是2016年下半年，微步在线刚拿完3500万A轮融资不久。当时，微步在线成立一年，威胁情报在国内方兴未艾。这时的微步在线，整个公司的方向只有一个，就是加大研发投入。

同年，RSA大会主席阿米特·约伦说了一句发人深省的话：安全防御是个失败的战略，未来业界应该增加在安全检测和响应技术上的投资。

那两年，基于终端的检测(EDR)与基于网络的检测(NDR)，都受到了热烈的追捧。

威胁情报天生就是做检测的，刚好微步在线就真靠这个起家的。他们的第一款在线产品是威胁情报查询平台，为客户提供威胁情报查询、情报社区的服务，后来逐渐有了威胁情报API，供其他产品集成。

这个情报社区的理念在当时算是独树一帜，尽管用户分享的情报在质量上并不能绝对保证，但它着实是为用户之间的情报共享做了一次非常重要的尝试。同时期，其他友商都没有在这个方面有布局。这种做法在后来也得到了其他专家的支持，奇安信威胁情报中心(号称国内首个商用的威胁情报中心)负责人汪列军就在公开场合分享了利用开源威胁情报完成威胁狩猎的方法，并且多次强调利用社交媒体交换威胁情报的重要性。

图：目前威胁情报社区的界面

经过一年的产品技术打磨，A轮融资后微步在线负责人在接受媒体采访时声称，其威胁情报能力包括千万级实时更新的全球失陷主机数据、数亿IDC服务器及代理、数十亿动态IP、十亿级存量域名和每日千万新增域名等。每日处理样本300万以上，5亿白名单累积;时间跨度包括5年的pDNS数据，3年以上的域名whois注册信息数据。不管这些数字有没有水分，但微步在线的确用威胁情报解决了一些事情，尤其是在失陷检测、攻击者分析等方面。而且，后续微步在线推出的所有安全产品的能力，都来源这些基础数据。

所以现在回过头来看，数据驱动安全(由奇安信集团在ISC2015上提出)这样一套方法论的提出，对于中国网络安全产业的发展确实具有非常重要的意义，大家也逐渐从被动防御向主动的检测和响应迈进。相应的，国内威胁情报市场逐渐活跃了起来。

防御情报化

拿完A轮融资后，微步在线也逐渐开始收集客户需求，研发一些商业化的产品，毕竟要“挣钱恰饭”的嘛!但更加现实的问题是，威胁情报这种东西怎么能卖上钱，客户应该为什么买单。这其中就两个原因：一个是威胁情报接受度还不够，另一个靠线上的情报查询或者威胁情报API，赚钱也不怎么利索。

所以，之后的一年时间内，微步在线在商业化方面做了不少动作，包括发布威胁检测平台和情报管理平台并多次迭代。根据目前微步在线官网的描述，威胁检测平台主要是基于威胁情报做失陷检测，情报管理平台主要是做威胁情报的统一管理和实时下发到各类安全设备中。除了这些机读的威胁情报外，微步在线还在人读情报方面做了一些尝试，为客户定期提供威胁情报的报告。

就这么着，微步在线搞定了第一批客户。营收模式主要是两种，一种是在线的威胁情报查询，按照查询的条数、内容付费，当然也会给在社区分享的用户一定的奖励;另一种则是以大型客户为主，为客户定制个性化的威胁情报产品。

很快，微步在线再次拿到了融资。2017年9月，微步在线拿到了1.2亿元的B轮融资，其主要目的是加快产品研发和建立健全营销推广体系。当时，威胁情报在国内已经有了相当的知名度，微步在线自然懂得“顺水推舟”，进一步扩大市场占有率。

这个时候，微步在线已经不能算是一个单纯的“威胁情报供应商了”，而是逐渐向一个综合性的检测供应商逐渐迈进。随后的两年，基于自身的威胁情报能力，微步在线相继发布了Web攻击感知平台、恶意软件在线检测平台(云沙箱)、DNS防火墙等多款产品，完善了公司在Web攻击检测、资产探查、沙箱检测和DNS检测防御能诸多方面的布局。

同时，微步在线还发布了威胁情报云开放计划，向更多安全企业开放核心威胁情报能力，也有了自己的全新slogan——智能防御，情报驱动。可以这么说，微步确实在不断践行着防御情报化这样一个理论，并且这样一个理论也得到了业界的响应：奇安信专家曾将威胁情报比喻为“新时代网络安全的血液”，奇安信威胁情报中心将自身能力输出给旗下终端、边界、云等多条安全产品线;另一家威胁情报明星企业天际友盟也号召了一大批企业组成了“烽火台威胁情报联盟”，希望能通过情报的共享和赋能来提升联盟成员的竞争力。

向网络安全云化迈进

可以这么说，B轮融资之后的两年时间，微步在线基本完成了从一个独立的威胁情报供应商向综合型检测供应商的转变。

在此期间，微步在线还有一个大动作。2018年9月，微步在线宣布与阿里云达成战略合作，云上的客户在购买了阿里云云盾态势感知企业版(同时支持非阿里云服务器部署)之后，能够一键采购微步在线的威胁情报，帮助客户在第一时间掌握失陷主机的情况。这是微步在线向云端迈进的重要一步，与此同时，微步在线的威胁检测服务也已经推出了私有云版本。

话又说回来，威胁情报天生就应该是在云上的，不论是情报的生产、共享还是消费，都不应该离开云。在情报的生产方面，想要从庞大的数据中得到准确的威胁情报，就离不开云端强大计算能力的支持;在共享和消费方面，由于威胁情报具有很强的实时性和行业属性，必须要实时精准的下发到安全设备中去，没有云端的互联，也很难做到。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!