拓 扑 社
微步在线 合伙人 李秋石
拓扑社(微信:tobshe)
10月18日报道
文:王艺多
项目名称:
微步在线
成立时间:
2015年7月
主营业务:
企业信息系统威胁情报
近期融资情况:
2017年9月宣布获得1.2亿元B轮融资,投资方是
高瓴资本、如山资本以及北极光创投
阅读本文只需占用你1顿早晨的时间
上个月,威胁情报公司微步在线对外宣布完成由高瓴资本高瓴智成人工智能基金领投,
A轮和天使轮领投方如山资本和北极光跟投的1.2亿元B轮融资。募集的资金将用于支持微步在线加大研发投入,建立健全营销体系,巩固和扩大在威胁情报市场中的领先优势。
对于拓扑社(微信:tobshe)的老读者而言,微步在线这家企业想必并不陌生。拓扑社曾于今年1月对微步在线进行过专访。那么经过了半年多的发展,在B轮融资后,微步在线究竟有了怎样的变化?
近日,拓扑社采访到了微步在线合伙人李秋石。李秋石向拓扑社透露了目前公司的发展情况,以及后续的未来规划。
备受关注的威胁情报
自2013年Gartner提出威胁情报的概念以来,在全球信息安全市场,威胁情报便日益受到关注。相比于海外,国内的威胁情报发展要相对滞后。从2015年开始,国内威胁情报业务才逐步开始。
实际上,成立于2015年7月的微步在线,正是国内首家威胁情报公司。
据拓扑社了解,
自
2016年下半年完成产品研发之后,微步在线便开始进行产品推广,目前已有不少大型标杆客户上线,包括中石油、银联以及一些股份制银行等等。另外,李秋石透露,与2016年相比,今年的收入将实现300-500%的增长。
在高速增长的同时,微步在线也持续受到资本市场的关注,保持着每年一轮的融资节奏。
(数据来源IT桔子)
拓扑社关注到,
在各轮次的股东中,北极光创投以及如山资本,对微步在线都是持续投资。这从侧面也反映着资本对威胁情报市场的持续看好。
事实上,
全球安全威胁情报的市场在迅速扩大。
Gartner预测,2017年,仅有不到1%的大型企业在自身的安全架构中引入威胁情报。而到2020年,这一数字将增长到20%。
何为威胁情报?
对于威胁情报一词,Gartner给出的定义是:基于证据的知识,包括上下文、机制、指标、隐含和可操作的建议,针对一个现存的或新兴的威胁,可用于做出相应决定的知识。
在信息系统安全方面,威胁情报就是基于证据的高价值知识,用来检测与响应正在发生和即将发生的网络攻击行为。
不过这种说法或许还是太过抽象。究竟什么是威胁情报,李秋石对拓扑社解释道:
“一次完整的网络攻击行为,通常
有一定的持续时间。攻击者需要进行踩点、摸底等等。威胁情报就是在真正的危害发生之前,就精准的监测到失陷行为,从而让相关企业或个人进行有针对性的防护。
”
作为国内专业的威胁情报公司,微步在线致力于提供及时准确的威胁情报,用来检测及防御攻击。
据了解,微步在线通过私有化部署配合API的SaaS化模式,为企业提供多种威胁情报产品及服务,用以帮助合作伙伴提升安全产品的检测和防御能力,帮助行业客户更快、更准、更低成本的应对新型、关键的安全威胁。
企业为什么需要威胁情报?
在信息化如此发达的今天,想必任何一家企业都很清楚信息安全的重要性。但为何黑客事件还会屡屡见诸报端?
对此李秋石解释,
Gartner将适应性安全划分为4个象限:防御、检测、响应以及预测。在威胁情报出现之前,企业在安全方面最主要的预算投入便是在防御方面。
从网络攻防方面来说,企业在防火墙方面的投入就像是在修建抵御攻击的城墙。但实际上,如今黑客的攻击手段越发高明,例如绕过防火墙进攻数据服务器等。在黑客与企业的较量中,处于明处的企业方,在绝大多数情况下都处于弱势。
事实上,
越来越多的安全研究者发现,仅仅依靠基本的防御体系,已经不能解决企业目前遇到的安全问题。
甚至大多数企业安全人员无法回答出
“我们现在到底有没有被黑?”这个简单的问题
“现在企业不仅要了解自己的哪些服务被攻击,更想知道自己可能会遭遇到谁发起的怎样的攻击。而威胁情报就是解决检测、响应问题,做到知己知彼。”李秋石说。
威胁情报是如何工作的?
其实在国际上,威胁情报是一个成熟的商业模式。
简单来说,在黑客攻击时,他们可以利用互联网上公开的基础信息如域名、
IP等进行攻击,而安全人员同样也可以利用这些信息,对黑客进行攻击溯源。
“无论黑客进行怎样的攻击,都离不开域名、僵尸主或者IP地址、漏洞、攻击代码等,这就好像是他们的攻击武器。而威胁情报就是对这些基础设施资产进行分析,实现对攻击的跟踪。”李秋石介绍。
具体来说,微步在线的威胁分析平台、威胁情报平台、威胁情报管理平台等产品,能够帮助企业安全团队在海量日志和报警中筛选有价值的信息,滤除噪音,发现失陷主机,并在最短的时间内作出有效回应。
另外李秋石强调,做威胁情报需要在云端有非常庞大的计算能力,需要对僵尸主机和网络进行小时级,甚至分钟级的实时跟踪。也就是说,威胁情报最直接价值,就是直接降低平均威胁检测时间(MTTD)和平均威胁响应时间(MTTR),把损失降到最低。
以今年5月12日爆发的WannaCry勒索软件攻击事件为例:事件爆发后,微步在线第一时间指出了该蠕虫存在一个秘密开关,触发即可免于感染。多个大型企业采用此方案缓解了攻击,为安装补丁赢取了时间。
随后,微步在线又分析了该蠕虫存在秘密开关的原因(为避开沙箱自动化检测),给出了相应的服务器配置,并对开关域名(Kill Switch)持续监测与更新,有效控制了威胁指数级扩散,避免造成更大范围的用户损失。
而汽车之家安全负责人纪舒瀚也曾表示,此前他们在安全方面的主要做法就是通过完全防御的思维来做,例如购买IDS、WAF、防火墙,通过软硬件进行防控。但他直言,被动防御的投入越来越多,但真正带来的产出却并不高。所以他认为,企业安全,检测和响应会更加重要。
纪舒瀚透露,接下来汽车之家将利用威胁情报来匹配公司的所有节点,进而定位出哪些节点曾经被感染过。将所有节点进行串联,就能够量化整个公司的资产情况,甚至对问题点做出预测,让安全更清晰、智能。
国内威胁情报市场尚属蓝海
拓扑社了解到,目前已有不少创业企业从不同角度切入企业信息安全市场。不过,
威胁情报现在在国内仍处蓝海。
今年7月20号,Gartner发布了《全球安全威胁情报产品及服务市场指南》。相比于针对成熟市场的《魔力象限报告》,Gartner发布的市场指南报告,都是尚处蓝海、潜力较大、产品和市场都处于快速发展中的细分领域,所以备受投资人关注。
值得一提的是,微步在线是这份报告中,唯一入选的中国公司。
目前,做威胁情报业务的还主要是那些老牌的安全厂家,如卡巴斯基、赛门铁克等,在国内,包括
360、BAT等也在做相关业务,但初创公司却并不多。究其原因,其实
要做威胁情报,还是需要不小的创业门槛。
现阶段,微步在线团队目前有员工大约60位,团队主要成员来自亚马逊、阿里巴巴、微软等公司,包括顶级的恶意软件分析专家、资深的安全分析师、熟悉大数据和云计算的软件工程师,以及数据分析师、设计师等。
除了分析师团队以外,数据来源也是情报分析的一个重要门槛。
李秋石说,目前微步在线的优势在于他们的全球化布局,并在海外也设有安全分析实验室,让数据来源更全面。从渠道来看,微步在线目前有合作渠道、开源渠道、商业渠道等,目前有超过
200个数据来源。
后续,微步在线将继续完善产品和服务,继续加强在市场推广方面的投入,为更多企业提供威胁情报业务,保障企业信息安全。
声 明
本文为拓扑社(微信:
tobshe)原创稿件,转载须在文章开头明显处注明来源拓扑社(微信:tobshe)及作者名字。如不遵守,拓扑社将向其追究法律责任。
拓扑社报道中所涉及的融资金额均由企业方提供,拓扑社不保证其数字真实性,仅供参考。
投稿、寻求报道或商务合作,请发邮件至
[email protected],或联系拓扑君(微信:tobsir),标注公司-职务-姓名,谢谢。
