微步在线:威胁情报这三年
中国威胁情报起步之时,没有香槟砰砰,却有平板车辚辚。
2015年,中关村e世界的卖场还没未完全清空,穿着深色T恤的商贩们神色匆匆,推着一辆又一辆装满纸箱的平板车,和几个西装革履打着商务电话的人擦肩而过。打电话的人有时候是微步在线的创始人薛锋,有时候是市场合伙人李秋石——如果打电话的人穿着拖鞋,他可能是技术合伙人,任政。他们的办公地点就在中关村e世界一个狭窄、逼仄的小房间里,而公司所有人辞职之前的年薪,加起来差不多千万人民币。
“家具还挺小清新的。”对于那段日子,李秋石一笑而过。
就这样,微步在线启动了。
2015.7-2016.7:观望
在平板车的轧轧声里,震惊全网的XCodeGhost事件被微步在线溯源而大白于天下,从攻击者开始着手的时间,到战术、技术和过程的历史溯源以及相对应的数据证据链,都被微步在线的报告公开。值得一提的是,当XCodeGhost的始作俑者发现自己暴露的时候,曾在微博上表示,这只是一次实验,他并不存在恶意,而微步在线的报告则证明了他作案时间长、获取数据多,对他的行为定性有重要作用。
“当时我们线上还只有第一版的X情报社区,非常简单,但是后台数据能力其实已经就位,而且已经运营了一段时间。薛锋通过查询后台数据发现了蛛丝马迹,当时就把团队所有人集合起来,开始了我们第一次追踪溯源。”李秋石口中的X情报社区,是微步在线旗下的第一款产品,基于微步在线的威胁情报能力而设计成的“情报搜索引擎+开放社区”。XCodeGhost事件被Vista看天下、路透社和国外知名科技媒体DarkReading等媒体争相报道,威胁情报的威力开始在国内被人所知。
但是如果用一个词来概括2015年中国的威胁情报市场,这个词应该是“观望”。
“我们参加市场活动打造影响力,但是市场普遍的疑问是,威胁情报是很厉害,可它能帮我们做什么呢?”从2015年7月之后成立的各家威胁情报公司,商业化的产品一般都是威胁情报数据API,还没有后来的平台类、管理类、溯源类产品。李秋石认为,这是产品化之路上的必要过程。
简单的产品仍然有明显的效果,李秋石说,就在2015年,微步在线的API帮助一家客户破获了一起被控制主机超过千台的攻击事件,由于处置迅速,这家客户的安全团队当年绩效十分优秀。
“当时我们已经有了一些忠实客户,但付费并不多,选择我们的客户都是在安全上投入比较多、有自主研发能力、知道怎么落地威胁情报的技术型客户。”
李秋石表示,回头来看,API上云是最好的售卖方式,但是当时云上的安全市场还并不成熟,因此最早的销售是以线下to大B的方式卖API。而大部分潜在客户一边叫好一边观望,一方面是因为国内的需求才刚刚起步,另一方面也是因为第一批国产威胁情报公司实在太年轻,还没有做出框架完整、具备一定功能的产品。
“那时威胁情报在中国刚刚落地,还不是很大众化。当第一代威胁情报公司在验证自己能力的时候,其实客户也在等待着公司情报能力的验证。”
2016.7-2017.7:开荒
如果说第一年是坚冰融化,露出土地;那么第二年就是筚路蓝缕,春耕夏耘。从微步在线参加了2016年的RSA大会开始,中国威胁情报市场开始有了那么一些温度:
产品化方面,那一整年微步在线都在主动出击、收集客户需求,而从2016年开始,微步在线的两条产品线“威胁情报检测平台”和“威胁情报管理平台”都正式发布并且开始频繁迭代。“不止一个客户提出了产品化的需求,威胁情报管理平台更是中石油提出的明确需求。”李秋石介绍道。
市场进度方面,这一年中微步在线在很多行业中进行开荒,除去常规的金融、能源、互联网行业外,制造业、游戏行业等也有尝试。李秋石透露,目前微步在线的大型客户中,银联、招行、中石油等都是在2016年开始接触的。“我们通过立体作战方式打入每个目标行业,并把客户做成标杆,这样我们在目标行业就有条件遍地开花。”
客户服务体系上,微步在线完善了客户服务流程,还组建了分析师团队,负责对客户提供MDR服务和定期发布威胁情报报告。
“我们在不同行业里开始不断出现标杆客户,这些标杆又会形成一个新的循环,加快市场对威胁情报的认知。而客户从开始了解到最后成为我们的客户,也会经历一定的周期,但是这个周期会随着客户对我们认识的加深而越来越短。”李秋石说。
例如证券行业。微步在线借助连续多个行业内安全事件的及时响应与分析形成良好口碑,配合行业快速推进,因此证券业成了微步在线进展最快的行业之一。另一个是能源行业,听上去有些难以置信,行业的领军企业找到微步在线,明确提出要对多源威胁情报进行管理,支持多人研判。这个需求无疑是超出当时市场平均需求的,但恰恰是微步在线创建公司时的基础技术能力。现在威胁情报管理平台已经成为了微步在线的主要产品线之一,而微步在线也打入了更多能源类客户。
春耕夏耘之后,收获的季节正在向微步在线一步一步走来。
2017.7-2018.7生长
这只是中国威胁情报市场的第三年,这个市场仍然处在增长期,拥有无穷的可能性,还远远不到丰收的时候。拥有被市场认可的威胁情报能力,也只是微步在线奋斗的起点。此时,微步在线已经建立起以下产品线:
基于流量监测,微步在线对应的产品线是威胁检测平台TDP,能够基于企业内部的日志、流量与微步威胁情报数据和机器学习模型,快速、精准发现被黑客和木马控制的主机;
针对多源威胁情报,则有前文提到的威胁情报管理平台TIP,部署在企业内部,加载微步威胁情报并能对多个源的情报进行统一存储、检索、对比,并使用统一的生命周期管理情报从产生、使用、静默与消亡的完整过程,助力企业全业务线应用威胁情报;
对于主要需求为情报查询的用户,X社区和情报搜索引擎能够满足他们大部分需求,针对文件在线查毒,微步在线也开发了具有威胁情报能力的云沙箱产品,微步在线还有DNS产品;
虽然拥有了丰富的产品线,李秋石仍然认为,微步在线的产品化之路还有很大的拓展空间。
从技术上来讲,微步在线已经建立了一个庞大的网络威胁数据图谱(ThreatGraph)。结合目前的人工智能应用已经能够满足自动化数据清洗、情报提取、情报生命周期管理、安全狩猎等方面的需求,相比于微步在线的大数据能力,人工智能技术正在成长为微步在线的第二个支柱。
从产品覆盖面来说,微步在线仍然在开发新产品,从更多维度保护企业的数据和业务安全。2018年,微步在线推出了威胁检测平台的服务器版以及云沙箱,目标为“安全智能,情报驱动”,目前产品线仍在不断完善中。
而市场进展方面,微步在线已经在上海和深圳开设了分公司,还成功举办了第一届网络安全分析与情报大会,成为国内威胁情报行业中第一个行业性大会。李秋石透露,今年的情报大会已经准备就绪,将于8月29日在北京开幕。
三生万物,这刚刚过去的三年对于微步在线来说,只是新阶段的开端。李秋石表示,微步在线会一直以独立的姿态生长下去,那么,或许此刻很适合用丘吉尔的一句话来为本文做结尾:
“Nowthisisnottheend.Itisnoteventhebeginningoftheend.Butitis,perhaps,theendofthebeginning.”(这不是结束,甚至不是结束的开始,而可能是开始的结束。)束始。