80%头部企业都在用的威胁情报“最强大脑”是什么?

近日,威胁情报领军企业微步在线宣布已于2019年7月完成亿元级C轮融资,由星路资本和高瓴资本联合领投。资本寒冬下大笔投资的出现,让业界注意到信息安全行业的又一细分领域——威胁情报正在崛起。

微步在线创始人&CEO 薛锋接受采访(左二)

说起威胁情报,大多数人可能一脸茫然。当网络病毒来袭时,人们往往只看见各种安全机构在发布事件告警,持续更新破解方案,但是很少有人知道,这背后其实是一次次分秒必争的网络战争,而威胁情报则是赢下战争的关键一环。

震惊全球的WannaCry事件,正是威胁情报立下汗马功劳的一场著名战役。虽然已过去两年,但是对于政府和企业而言,这场网络攻防战带来的震撼和焦灼感,依然历历在目。

2017年5月12日,WannaCry勒索病毒爆发。次日,国内主流网络安全企业都在抢先发布紧急预警,建议用户尽快升级安装Windows操作系统相关补丁,已感染病毒的机器立即断网。

令人不安的是,WannaCry病毒仍在疯狂扩张领地。如同一场互联网领域的“生化危机”,病毒感染以小时为单位发生着几何倍数的增长。

13日,一个WannaCry溯源分析与应急响应报告突然出现在网上。

报告显示,WannaCry病毒存在一个秘密开关,用户可以通过关掉开关,完全控制住内部的WannaCry病毒。报告详细呈现了开关的机制、原理,甚至连背后的团伙和攻击目的都全部分析出来。

这份来自威胁情报企业——微步在线的溯源分析与应急响应报告,在发布后的2小时内,转发量暴涨到10万+。很多政府机构和通信企业听闻消息,纷纷主动联系微步在线咨询应对策略。

然而,情况突然再次恶化:WannaCry勒索攻击出现变种!与之前版本的不同是,WannaCry 2.0取消了秘密开关,且该变种传播速度可能会更快。

变种的出现,让众多政府机构和企业再度陷入恐慌和焦虑。很快,微步在线又一次率先发布了对攻击变种的分析报告,详细呈现出两批不同的变种蠕虫的特征。更重要的是,微步在线准确的指出,经测试该变种无法有效进行加密,后续大范围传播的可能性极小。

“变种无用”的结论,像一把尖刀插在敌人的心脏上,迅速恢复了全球用户的信心。

根据微步在线的威胁情报指导,大量企业利用配置内部DNS等方法,两天之内就把所有内部存在WannaCry攻击可能的机器免疫攻击,有的企业客户数十万台终端没有一台遭遇损失。

这一仗,让微步在线的名声响彻全国,事后很多企业向微步在线发来了感谢信。

不同于其他安全机构的威胁情报,微步在线以准确、快速、 的情报分析,帮助大量政府机构和企业免受病毒肆虐,保护了国家关键IT基础设施的安全。

事实上,这并不是微步在线第一次“出名”。从2015年成立之初,微步在线就屡屡创下全球威胁情报的纪录。

2015年,Xcode Ghost病毒迅速扩散,国内很多大型互联网企业的APP都相继中招,累计受感染用户数亿人。

当其他安全厂商还在关注哪些企业被感染了该病毒的时候,初出茅庐的微步在线直接在安全社区里扔出了一个分析报告:攻击团伙是谁,什么时候开始干的,怎么进行攻击的,一整套的关联分析和结论,讲得明明白白。

这份 的威胁情报,让外界大为震惊,也让当时还挤在中关村大厦某个小办公室里的微步在线“一炮而红”。

之后,在乌克兰电网攻击事件、暗黑客栈攻击事件等全球著名的网络安全事件中,微步在线都是第一个发现攻击者和攻击方式的安全厂商。

在一次次的高手对战交锋中,微步在线的名字开始频繁出现在国内外网络安全届的视野中。他们发现,原来在威胁情报领域,还有一家如此强悍的中国企业。

2017年起,微步在线连续三年成为成为重大会议或庆典网络安保技术支撑单位,荣获多个国家级奖项。

为什么微步在线能够在成立短短四年内屡立战功,并得到资本和市场的大力认可?微步在线的威胁情报产品,具体是如何发挥作用来保护企业信息安全的呢?

决定生死的“情报战”

2017年,Gartner在《安全威胁情报服务市场指南》中提出,威胁情报是一种基于证据的知识,包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。

简而言之,通过对威胁情报的收集和分析,企业能够准确判断威胁的发展现状与趋势,并进行相应的决策,从而实现较为精准的动态防御。

在微步在线创始人&CEO薛锋看来,网络攻防战需要“知己知彼”,传统的安全防护主要是“知己”,即企业对自身的业务和资产情况很了解,但是掌握不了攻击方的动态,就只能被动挨打,而威胁情报赋予企业的是”知彼”的能力,能够变被动为主动防护。

这就好比决定战争胜负的关键,其实在于情报。如果拿到假的情报,道听途说的情报,不可用的情报,都会导致战争的失败。在明枪暗箭的网络战争中,胁情报正是安全防护的核心能力

那么,一份真正有价值的威胁情报是如何产生的呢?在开放的网络世界,海量信息如同空气一样充斥在每一个空间,真正的情报就蕴藏在千丝万缕的信息中,到底哪些信息才能产生真正的价值?

微步在线联合创始人李秋石表示,微步在线的核心能力就在于对互联网上人人皆可用的IP、域名等数据进行大数据分析,从中发现有价值的威胁情报。

“就像在患者一开始的发烧症状中,准确快速的筛选出它是普通感冒还是严重疫情,导致的患者死亡率和疫情传播结果是完全不一样的,这对于机构的专业度和时效性要求非常高。”

和医疗行业类似,在威胁情报这个“科室”,微步在线是业内公认的专家。

2017、2019年,微步在线两年被Gartner评为亚洲地区最专业的威胁情报公司,并多次入选全球网络安全500强(CyberSecurity 500)。

从公司成立到入选Gartner,微步在线只花了两年时间,创造了全球安全公司的最快纪录。

据薛锋介绍,微步在线的这种核心能力,来源于大数据积累、AI技术和专家经验的结合,并将其转化为一个云端的“最强大脑”——微步在线安全云,背后有70多个系统在进行支撑,通过复杂的流程和核心模型对威胁情报进行24小时的收集、发现和处理。

在此基础上,微步在线研发出三款主打产品:网络威胁感知平台(TDP)、本地威胁情报管理平台(TIP)和安全DNS服务(OneDNS®),分别帮助大型企业在海量流量中发现威胁,管理威胁情报并沉淀安全能力,以及赋予中小企业及多地办公的企业获得统一的云安全防护。

威胁情报界的“扛把子”

根据全球市场研究与咨询公司Marketsandmarket的数据预测,到2022年,全球威胁情报市场将达到89.4亿美元。

可以看到,威胁情报已成为信息安全能力发展的必然趋势。然而早在2015年,威胁情报在中国还是一个绝对的市场空白点。

当时在亚马逊(中国)担任首席信息安全官(CISO)的薛锋,预感到了这一趋势的到来。

作为甲方企业的安全从业者,薛锋深知国内企业的安全防护有多薄弱,安全专业人员的极度缺乏,让企业安全运维举步维艰,而威胁情报的出现,能够很大程度上弥补企业安全能力的不足。

认同薛锋观点的,还有他的一帮老同事。威胁情报市场作为一个新兴的安全细分领域,其中的机会和潜力让他们兴奋不已。

这群当时还在阿里云、支付宝、美团等知名互联网企业担任中高管、年薪加起来超千万的技术人,毅然辞职创建了微步在线。

他们最初的想法很简单,也很极客,如同微步在线(ThreatBook)的名字寓意,每天一小步而至千里,他们希望像“维基百科”一样,给安全界也创造一个“危机百科”,让所有的网络威胁都能够被发现、被解释。

即便有着令人动容的初心和超豪华的创业阵容,微步在线在创立最初的一两年内,依然是个名不见经传的小厂商,只是一心扑在威胁情报技术构建上。

但是在安全技术圈里,微步在线却有着大批的追随者。除了在一次次的全球安全事件中崭露头角,微步在线还成立了一个公共的威胁情报社区——X情报社区。

所有的企业和技术爱好者都可以把相关信息提交到社区里,供其他人免费查询,以防止攻击团伙再去攻击别人,同时也能让大家一起揪出幕后黑手。

这种极客精神,为微步在线赢得了大量人气,从一开始的几百人注册,到如今上万的日活跃量,每天社区都能收到30-50万条威胁信息。X情报社区成为微步在线一个强有力的情报共享阵地,也让更多技术负责人和爱好者认识了微步在线。

不同于大多数创业公司主动获客的方式,微步在线的商业起步颇为另类,客户往往是慕名而来。2016年,孟加拉国SWIFT清算系统被攻陷,微步在线第一时间将威胁情报汇报给国内有关部门,让国内很多金融机构对微步在线有了深刻印象。

注重资产和信息安全的金融机构,很快成为微步在线的第一批种子用户。在看重技术能力,对技术保持开放心态的金融企业中,效果是最大的度量。通过POC测试,微步在线的技术指标在十几家竞争的厂商中全部排名第一,直接靠技术实力拿下了一个又一个金融机构。

与金融业类似的,还有业务体量更加庞大的能源行业,重视信息安全,愿意对安全建设进行投入,但前提是技术投入必须带来真正的效果。这类看重实际效果的大型企业客户,反而成了没有客户资源、销售占比极低的微步在线最初的用户群。

凭着硬碰硬的技术实力比拼,微步在线开始在金融、能源、互联网等行业快速拓展。如今,中国10大银行中的8家,10大证券公司中的8家,10大能源企业中的5家,5大互联网公司中的4家,5大智能手机中的4家,都成为微步在线的客户。

除此之外,微步在线还将抽象的安全能力,以非常容易理解和落地的方式,赋能给大量的中小企业。以OneDNS®为例,企业只需要花十几秒设置一下DNS地址,就能够获得微步在线云端“最强大脑”的能力。

从商业模式看,微步在线主要是基于SaaS的订阅服务,但是微步在线却通过本地化软件交付、软硬一体交付、SaaS云化交付等多种灵活的部署方式,满足了从大客户到中小客户的不同需求,年续费率高达95%以上。

对于大型机构,微步在线提供一整套的本地化行业解决方案,并配合少量的定制化,来满足企业复杂IT环境下的安全需求。

对于500人左右的中小企业,每年使用微步在线安全DNS服务的费用较低,成本在可承受范围内。

对于在分支机构众多的企业而言,安全DNS服务能够为企业节省购买硬件和安全设备的庞大开支,将成本降至原先的1%-10%,并对分支机构的安全进行统一管理,因而备受企业青睐。

这也就不难理解,为什么成立短短四年,微步在线的产品就成为金融、能源、互联网、政府等行业80%头部企业的必选项。

在技术上,微步在线的威胁情报能力遥遥领先,威胁发现的准确率高达99.9%,同时覆盖度也保持着绝对的领先,在大量的客户实践中得到了长期验证。出众的技术能力,为微步在线赢得了客户的信任和口碑,让业务具备了较高的粘性。

在商业模式上,微步在线没有照搬国外SaaS公司的模式,而是巧妙的将标准化产品、SaaS订阅付费方式与少量的定制化相结合,前期先满足了中国市场大型头部客户的需求。在行业标杆客户的支撑下,再覆盖中小企业的长尾市场,快速起跑,体现了灵活的商业策略。

在产品和运营上,微步在线非常注重安全能力的落地,能够站在企业客户的角度,将抽象的安全能力转化为标准化产品,以简单的部署方式,让企业快速获得安全效应,并通过持续的运营将安全落到实处。反过来看,能够用得起来的安全产品,也为企业长期续费奠定了基础。

在行业覆盖上,威胁情报的能力适用于全行业,但是针对不同行业体现出的不同攻击特征,微步在线也积累了大量的行业经验,并推出了相应的行业解决方案,能够让产品快速落地到不同行业中。

如此看来,微步在线是国内威胁情报领域不折不扣的“扛把子”,以强大的技术实力和产品落地能力,扛起了国家和企业大部分关键IT基础设施的安全重担。

威胁发现与响应的专家

2019年,网络安全等级保护制度2.0标准正式发布,“威胁情报检测系统”和“威胁情报库”首次进入了等保评测的要求中。这表明在网络安全建设中,威胁情报的重要性越来越清晰地体现出来。

在市场侧,威胁情报市场也随着网络安全行业也出现了爆发式增长。

根据信通院数据,2018年我国网络安全产业规模总量510.92亿元,增长率19.2%,预计2019年达到631.29亿元,国内威胁情报安全服务提供商2018年威胁情报直接收入,相较于2017年也普遍呈现高速增长态势。

而在国外,威胁情报企业CrowdStrike的市值曾经超过200亿美元,甚至一度超过全球市值最高的网络安全公司Palo Alto Networks。

威胁情报领域作为当下热门的安全技术之一,吸引了360、奇安信、绿盟等多个大型安全厂商入场,阿里云、腾讯云等公有云巨头也不甘落后,纷纷成立安全实验室发展威胁情报能力。

虽然威胁情报领域竞争激烈,但是在薛锋看来,多个厂商进入这一领域竞争,说明市场蛋糕足够大,红利期才刚刚到来。

目前,微步在线在各个方面都建立了很高的壁垒,行业领头羊地位暂时难以撼动。

一是技术门槛较高。威胁情报技术的核心,在于大数据的处理和分析能力。与大型安全厂商相比,微步在线all in威胁情报的技术投入,已经取得了持续性的领先。随着大数据的积累、AI模型的优化和知识经验的沉淀越来越深厚,微步在线安全云的技术门槛还将进一步加高。

二是社区的生态建设,成为微步在线独特的优势。X情报社区不仅是微步在线获得情报信息的来源之一,更是优秀人才、企业客户与微步在线产生互动与认同的渠道,长期看来会成为国内威胁情报信息交流的重要聚集地,这也将持续扩大微步在线的行业影响力。

今年,微步在线向全社会发起了总奖金额为1000万的情报奖励计划,鼓励大家收集各种威胁情报,以众包的形式发起情报共享,这一动作也将进一步推动社区的生态建设。

三是与大型云厂商的 合作,让微步在线能够更快的拓展市场。在去年的云栖大会上,微步在线和阿里云安全达成了产品级 合作,微步在线的产品是唯一内嵌在阿里云安全中心里的威胁情报服务,购买了阿里云安全产品的用户,也能够一键采购微步在线的服务。

四是在行业标准的制定和推动上,微步在线始终发挥着重要作用。作为中国互联网协会威胁情报共享工作组组长,微步在线参与了等保2.0标准的编写工作。

在推动情报共享方面,微步在线联合国家监管单位、企业用户和多家厂商,共同定义数据共享标准接口,发挥着行业领导者的作用,推动国内威胁情报领域持续向前发展。

从今年C轮以后,微步在线的Slogan从“安全智能,情报驱动”变成了“威胁发现与响应专家”。

薛锋表示,在威胁情报的发现能力之上,进一步对威胁进行处置是微步在线的优势所在。未来,微步在线将加强产品自动化响应的能力,从威胁的发现到响应形成一个闭环,从根本上解决企业用户的安全问题。

薛锋认为,目前在金融、能源、互联网等行业,还有巨大的市场空间等待发掘。以SaaS标准化产品为主的交付方式,让微步在线能够在获客越多的情况下,进一步摊薄前期安全云的成本投入,而不会陷入到人力成本增加的怪圈里。

随着未来几年信息安全和企业全面上云的红利到来,如微步在线这样的技术领导者企业,很有可能从威胁情报细分领域的创业公司,成长为安全领域的巨头。但这一过程,也考验着微步在线快速开疆扩土的能力。

【科技云报道原创】

微信公众账号:科技云报道


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2019-12-02
80%头部企业都在用的威胁情报“最强大脑”是什么?
近日,威胁情报领军企业微步在线宣布已于2019年7月完成亿元级C轮融资,由星路资本和高瓴资本联合领投。资本寒冬下大笔投资的出现,让业界注意到信息安全行业的又一细分领域——威胁情报正在崛起。 微步在线创

长按扫码 阅读全文

Baidu
map