• 深度
  • 行業
  • 行業
  • 互動

80%頭部企業都在用的威脅情報“最強大腦”是什么?

科技云報道 2019-12-02

近日,威脅情報領軍企業微步在線宣布已于2019年7月完成億元級C輪融資,由星路資本和高瓴資本聯合領投。資本寒冬下大筆投資的出現,讓業界注意到信息安全行業的又一細分領域——威脅情報正在崛起。

微步在線創始人&CEO 薛鋒接受采訪(左二)

說起威脅情報,大多數人可能一臉茫然。當網絡病毒來襲時,人們往往只看見各種安全機構在發布事件告警,持續更新破解方案,但是很少有人知道,這背后其實是一次次分秒必爭的網絡戰爭,而威脅情報則是贏下戰爭的關鍵一環。

震驚全球的WannaCry事件,正是威脅情報立下汗馬功勞的一場著名戰役。雖然已過去兩年,但是對于政府和企業而言,這場網絡攻防戰帶來的震撼和焦灼感,依然歷歷在目。

2017年5月12日,WannaCry勒索病毒爆發。次日,國內主流網絡安全企業都在搶先發布緊急預警,建議用戶盡快升級安裝Windows操作系統相關補丁,已感染病毒的機器立即斷網。

令人不安的是,WannaCry病毒仍在瘋狂擴張領地。如同一場互聯網領域的“生化危機”,病毒感染以小時為單位發生著幾何倍數的增長。

13日,一個WannaCry溯源分析與應急響應報告突然出現在網上。

報告顯示,WannaCry病毒存在一個秘密開關,用戶可以通過關掉開關,完全控制住內部的WannaCry病毒。報告詳細呈現了開關的機制、原理,甚至連背后的團伙和攻擊目的都全部分析出來。

這份來自威脅情報企業——微步在線的溯源分析與應急響應報告,在發布后的2小時內,轉發量暴漲到10萬+。很多政府機構和通信企業聽聞消息,紛紛主動聯系微步在線咨詢應對策略。

然而,情況突然再次惡化:WannaCry勒索攻擊出現變種!與之前版本的不同是,WannaCry 2.0取消了秘密開關,且該變種傳播速度可能會更快。

變種的出現,讓眾多政府機構和企業再度陷入恐慌和焦慮。很快,微步在線又一次率先發布了對攻擊變種的分析報告,詳細呈現出兩批不同的變種蠕蟲的特征。更重要的是,微步在線準確的指出,經測試該變種無法有效進行加密,后續大范圍傳播的可能性極小。

“變種無用”的結論,像一把尖刀插在敵人的心臟上,迅速恢復了全球用戶的信心。

根據微步在線的威脅情報指導,大量企業利用配置內部DNS等方法,兩天之內就把所有內部存在WannaCry攻擊可能的機器免疫攻擊,有的企業客戶數十萬臺終端沒有一臺遭遇損失。

這一仗,讓微步在線的名聲響徹全國,事后很多企業向微步在線發來了感謝信。

不同于其他安全機構的威脅情報,微步在線以準確、快速、深度的情報分析,幫助大量政府機構和企業免受病毒肆虐,保護了國家關鍵IT基礎設施的安全。

事實上,這并不是微步在線第一次“出名”。從2015年成立之初,微步在線就屢屢創下全球威脅情報的紀錄。

2015年,Xcode Ghost病毒迅速擴散,國內很多大型互聯網企業的APP都相繼中招,累計受感染用戶數億人。

當其他安全廠商還在關注哪些企業被感染了該病毒的時候,初出茅廬的微步在線直接在安全社區里扔出了一個分析報告:攻擊團伙是誰,什么時候開始干的,怎么進行攻擊的,一整套的關聯分析和結論,講得明明白白。

這份深度的威脅情報,讓外界大為震驚,也讓當時還擠在中關村大廈某個小辦公室里的微步在線“一炮而紅”。

之后,在烏克蘭電網攻擊事件、暗黑客棧攻擊事件等全球著名的網絡安全事件中,微步在線都是第一個發現攻擊者和攻擊方式的安全廠商。

在一次次的高手對戰交鋒中,微步在線的名字開始頻繁出現在國內外網絡安全屆的視野中。他們發現,原來在威脅情報領域,還有一家如此強悍的中國企業。

2017年起,微步在線連續三年成為成為重大會議或慶典網絡安保技術支撐單位,榮獲多個國家級獎項。

為什么微步在線能夠在成立短短四年內屢立戰功,并得到資本和市場的大力認可?微步在線的威脅情報產品,具體是如何發揮作用來保護企業信息安全的呢?

決定生死的“情報戰”

2017年,Gartner在《安全威脅情報服務市場指南》中提出,威脅情報是一種基于證據的知識,包括了情境、機制、指標、影響和操作建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險,并可以用于通知主體針對相關威脅或危險采取某種響應。

簡而言之,通過對威脅情報的收集和分析,企業能夠準確判斷威脅的發展現狀與趨勢,并進行相應的決策,從而實現較為精準的動態防御。

在微步在線創始人&CEO薛鋒看來,網絡攻防戰需要“知己知彼”,傳統的安全防護主要是“知己”,即企業對自身的業務和資產情況很了解,但是掌握不了攻擊方的動態,就只能被動挨打,而威脅情報賦予企業的是”知彼”的能力,能夠變被動為主動防護。

這就好比決定戰爭勝負的關鍵,其實在于情報。如果拿到假的情報,道聽途說的情報,不可用的情報,都會導致戰爭的失敗。在明槍暗箭的網絡戰爭中,脅情報正是安全防護的核心能力

那么,一份真正有價值的威脅情報是如何產生的呢?在開放的網絡世界,海量信息如同空氣一樣充斥在每一個空間,真正的情報就蘊藏在千絲萬縷的信息中,到底哪些信息才能產生真正的價值?

微步在線聯合創始人李秋石表示,微步在線的核心能力就在于對互聯網上人人皆可用的IP、域名等數據進行大數據分析,從中發現有價值的威脅情報。

“就像在患者一開始的發燒癥狀中,準確快速的篩選出它是普通感冒還是嚴重疫情,導致的患者死亡率和疫情傳播結果是完全不一樣的,這對于機構的專業度和時效性要求非常高。”

和醫療行業類似,在威脅情報這個“科室”,微步在線是業內公認的專家。

2017、2019年,微步在線兩年被Gartner評為亞洲地區最專業的威脅情報公司,并多次入選全球網絡安全500強(CyberSecurity 500)。

從公司成立到入選Gartner,微步在線只花了兩年時間,創造了全球安全公司的最快紀錄。

據薛鋒介紹,微步在線的這種核心能力,來源于大數據積累、AI技術和專家經驗的結合,并將其轉化為一個云端的“最強大腦”——微步在線安全云,背后有70多個系統在進行支撐,通過復雜的流程和核心模型對威脅情報進行24小時的收集、發現和處理。

在此基礎上,微步在線研發出三款主打產品:網絡威脅感知平臺(TDP)、本地威脅情報管理平臺(TIP)和安全DNS服務(OneDNS?),分別幫助大型企業在海量流量中發現威脅,管理威脅情報并沉淀安全能力,以及賦予中小企業及多地辦公的企業獲得統一的云安全防護。

威脅情報界的“扛把子”

根據全球市場研究與咨詢公司Marketsandmarket的數據預測,到2022年,全球威脅情報市場將達到89.4億美元。

可以看到,威脅情報已成為信息安全能力發展的必然趨勢。然而早在2015年,威脅情報在中國還是一個絕對的市場空白點。

當時在亞馬遜(中國)擔任首席信息安全官(CISO)的薛鋒,預感到了這一趨勢的到來。

作為甲方企業的安全從業者,薛鋒深知國內企業的安全防護有多薄弱,安全專業人員的極度缺乏,讓企業安全運維舉步維艱,而威脅情報的出現,能夠很大程度上彌補企業安全能力的不足。

認同薛鋒觀點的,還有他的一幫老同事。威脅情報市場作為一個新興的安全細分領域,其中的機會和潛力讓他們興奮不已。

這群當時還在阿里云、支付寶、美團等知名互聯網企業擔任中高管、年薪加起來超千萬的技術人,毅然辭職創建了微步在線。

他們最初的想法很簡單,也很極客,如同微步在線(ThreatBook)的名字寓意,每天一小步而至千里,他們希望像“維基百科”一樣,給安全界也創造一個“危機百科”,讓所有的網絡威脅都能夠被發現、被解釋。

即便有著令人動容的初心和超豪華的創業陣容,微步在線在創立最初的一兩年內,依然是個名不見經傳的小廠商,只是一心撲在威脅情報技術構建上。

但是在安全技術圈里,微步在線卻有著大批的追隨者。除了在一次次的全球安全事件中嶄露頭角,微步在線還成立了一個公共的威脅情報社區——X情報社區。

所有的企業和技術愛好者都可以把相關信息提交到社區里,供其他人免費查詢,以防止攻擊團伙再去攻擊別人,同時也能讓大家一起揪出幕后黑手。

這種極客精神,為微步在線贏得了大量人氣,從一開始的幾百人注冊,到如今上萬的日活躍量,每天社區都能收到30-50萬條威脅信息。X情報社區成為微步在線一個強有力的情報共享陣地,也讓更多技術負責人和愛好者認識了微步在線。

不同于大多數創業公司主動獲客的方式,微步在線的商業起步頗為另類,客戶往往是慕名而來。2016年,孟加拉國SWIFT清算系統被攻陷,微步在線第一時間將威脅情報匯報給國內有關部門,讓國內很多金融機構對微步在線有了深刻印象。

注重資產和信息安全的金融機構,很快成為微步在線的第一批種子用戶。在看重技術能力,對技術保持開放心態的金融企業中,效果是最大的度量。通過POC測試,微步在線的技術指標在十幾家競爭的廠商中全部排名第一,直接靠技術實力拿下了一個又一個金融機構。

與金融業類似的,還有業務體量更加龐大的能源行業,重視信息安全,愿意對安全建設進行投入,但前提是技術投入必須帶來真正的效果。這類看重實際效果的大型企業客戶,反而成了沒有客戶資源、銷售占比極低的微步在線最初的用戶群。

憑著硬碰硬的技術實力比拼,微步在線開始在金融、能源、互聯網等行業快速拓展。如今,中國10大銀行中的8家,10大證券公司中的8家,10大能源企業中的5家,5大互聯網公司中的4家,5大智能手機中的4家,都成為微步在線的客戶。

除此之外,微步在線還將抽象的安全能力,以非常容易理解和落地的方式,賦能給大量的中小企業。以OneDNS?為例,企業只需要花十幾秒設置一下DNS地址,就能夠獲得微步在線云端“最強大腦”的能力。

從商業模式看,微步在線主要是基于SaaS的訂閱服務,但是微步在線卻通過本地化軟件交付、軟硬一體交付、SaaS云化交付等多種靈活的部署方式,滿足了從大客戶到中小客戶的不同需求,年續費率高達95%以上。

對于大型機構,微步在線提供一整套的本地化行業解決方案,并配合少量的定制化,來滿足企業復雜IT環境下的安全需求。

對于500人左右的中小企業,每年使用微步在線安全DNS服務的費用較低,成本在可承受范圍內。

對于在分支機構眾多的企業而言,安全DNS服務能夠為企業節省購買硬件和安全設備的龐大開支,將成本降至原先的1%-10%,并對分支機構的安全進行統一管理,因而備受企業青睞。

這也就不難理解,為什么成立短短四年,微步在線的產品就成為金融、能源、互聯網、政府等行業80%頭部企業的必選項。

在技術上,微步在線的威脅情報能力遙遙領先,威脅發現的準確率高達99.9%,同時覆蓋度也保持著絕對的領先,在大量的客戶實踐中得到了長期驗證。出眾的技術能力,為微步在線贏得了客戶的信任和口碑,讓業務具備了較高的粘性。

在商業模式上,微步在線沒有照搬國外SaaS公司的模式,而是巧妙的將標準化產品、SaaS訂閱付費方式與少量的定制化相結合,前期先滿足了中國市場大型頭部客戶的需求。在行業標桿客戶的支撐下,再覆蓋中小企業的長尾市場,快速起跑,體現了靈活的商業策略。

在產品和運營上,微步在線非常注重安全能力的落地,能夠站在企業客戶的角度,將抽象的安全能力轉化為標準化產品,以簡單的部署方式,讓企業快速獲得安全效應,并通過持續的運營將安全落到實處。反過來看,能夠用得起來的安全產品,也為企業長期續費奠定了基礎。

在行業覆蓋上,威脅情報的能力適用于全行業,但是針對不同行業體現出的不同攻擊特征,微步在線也積累了大量的行業經驗,并推出了相應的行業解決方案,能夠讓產品快速落地到不同行業中。

如此看來,微步在線是國內威脅情報領域不折不扣的“扛把子”,以強大的技術實力和產品落地能力,扛起了國家和企業大部分關鍵IT基礎設施的安全重擔。

威脅發現與響應的專家

2019年,網絡安全等級保護制度2.0標準正式發布,“威脅情報檢測系統”和“威脅情報庫”首次進入了等保評測的要求中。這表明在網絡安全建設中,威脅情報的重要性越來越清晰地體現出來。

在市場側,威脅情報市場也隨著網絡安全行業也出現了爆發式增長。

根據信通院數據,2018年我國網絡安全產業規模總量510.92億元,增長率19.2%,預計2019年達到631.29億元,國內威脅情報安全服務提供商2018年威脅情報直接收入,相較于2017年也普遍呈現高速增長態勢。

而在國外,威脅情報企業CrowdStrike的市值曾經超過200億美元,甚至一度超過全球市值最高的網絡安全公司Palo Alto Networks。

威脅情報領域作為當下熱門的安全技術之一,吸引了360、奇安信、綠盟等多個大型安全廠商入場,阿里云、騰訊云等公有云巨頭也不甘落后,紛紛成立安全實驗室發展威脅情報能力。

雖然威脅情報領域競爭激烈,但是在薛鋒看來,多個廠商進入這一領域競爭,說明市場蛋糕足夠大,紅利期才剛剛到來。

目前,微步在線在各個方面都建立了很高的壁壘,行業領頭羊地位暫時難以撼動。

一是技術門檻較高。威脅情報技術的核心,在于大數據的處理和分析能力。與大型安全廠商相比,微步在線all in威脅情報的技術投入,已經取得了持續性的領先。隨著大數據的積累、AI模型的優化和知識經驗的沉淀越來越深厚,微步在線安全云的技術門檻還將進一步加高。

二是社區的生態建設,成為微步在線獨特的優勢。X情報社區不僅是微步在線獲得情報信息的來源之一,更是優秀人才、企業客戶與微步在線產生互動與認同的渠道,長期看來會成為國內威脅情報信息交流的重要聚集地,這也將持續擴大微步在線的行業影響力。

今年,微步在線向全社會發起了總獎金額為1000萬的情報獎勵計劃,鼓勵大家收集各種威脅情報,以眾包的形式發起情報共享,這一動作也將進一步推動社區的生態建設。

三是與大型云廠商的深度合作,讓微步在線能夠更快的拓展市場。在去年的云棲大會上,微步在線和阿里云安全達成了產品級深度合作,微步在線的產品是唯一內嵌在阿里云安全中心里的威脅情報服務,購買了阿里云安全產品的用戶,也能夠一鍵采購微步在線的服務。

四是在行業標準的制定和推動上,微步在線始終發揮著重要作用。作為中國互聯網協會威脅情報共享工作組組長,微步在線參與了等保2.0標準的編寫工作。

在推動情報共享方面,微步在線聯合國家監管單位、企業用戶和多家廠商,共同定義數據共享標準接口,發揮著行業領導者的作用,推動國內威脅情報領域持續向前發展。

從今年C輪以后,微步在線的Slogan從“安全智能,情報驅動”變成了“威脅發現與響應專家”。

薛鋒表示,在威脅情報的發現能力之上,進一步對威脅進行處置是微步在線的優勢所在。未來,微步在線將加強產品自動化響應的能力,從威脅的發現到響應形成一個閉環,從根本上解決企業用戶的安全問題。

薛鋒認為,目前在金融、能源、互聯網等行業,還有巨大的市場空間等待發掘。以SaaS標準化產品為主的交付方式,讓微步在線能夠在獲客越多的情況下,進一步攤薄前期安全云的成本投入,而不會陷入到人力成本增加的怪圈里。

隨著未來幾年信息安全和企業全面上云的紅利到來,如微步在線這樣的技術領導者企業,很有可能從威脅情報細分領域的創業公司,成長為安全領域的巨頭。但這一過程,也考驗著微步在線快速開疆擴土的能力。

【科技云報道原創】

微信公眾賬號:科技云報道

(免責聲明:此文內容為第三方自媒體作者發布的觀察或評論性文章,所有文字和圖片版權歸作者所有,且僅代表作者個人觀點,與極客網無關。文章僅供讀者參考,并請自行核實相關內容。投訴郵箱:editor@fromgeek.com)

來源:科技云報道

標簽云計算
  • 科技云報道
    郵箱:caoceng@fromgeek.com
    有10年以上科技在記者、云計算專家傾情加盟,世界500強與4A公司營銷人所組成的前沿科技媒體,深入報道云計算、人工智能、大數據、AR/VR等垂直領域
    分享本文到