中國(guó)威脅情報(bào)起步之時(shí),沒(méi)有香檳砰砰�,卻有平板車(chē)轔轔����。
2015年��,中關(guān)村e(cuò)世界的賣(mài)場(chǎng)還沒(méi)未完全清空,穿著深色T恤的商販們神色匆匆����,推著一輛又一輛裝滿(mǎn)紙箱的平板車(chē),和幾個(gè)西裝革履打著商務(wù)電話(huà)的人擦肩而過(guò)�。打電話(huà)的人有時(shí)候是微步在線(xiàn)的創(chuàng)始人薛鋒,有時(shí)候是市場(chǎng)合伙人李秋石——如果打電話(huà)的人穿著拖鞋���,他可能是技術(shù)合伙人�����,任政�。他們的辦公地點(diǎn)就在中關(guān)村e(cuò)世界一個(gè)狹窄�、逼仄的小房間里,而公司所有人辭職之前的年薪��,加起來(lái)差不多千萬(wàn)人民幣�。
“家具還挺小清新的。”對(duì)于那段日子�,李秋石一笑而過(guò)。
就這樣����,微步在線(xiàn)啟動(dòng)了�����。
2015.7-2016.7:觀望
在平板車(chē)的軋軋聲里����,震驚全網(wǎng)的XCodeGhost事件被微步在線(xiàn)溯源而大白于天下���,從攻擊者開(kāi)始著手的時(shí)間��,到戰(zhàn)術(shù)����、技術(shù)和過(guò)程的歷史溯源以及相對(duì)應(yīng)的數(shù)據(jù)證據(jù)鏈�����,都被微步在線(xiàn)的報(bào)告公開(kāi)�。值得一提的是�����,當(dāng)XCodeGhost的始作俑者發(fā)現(xiàn)自己暴露的時(shí)候�,曾在微博上表示�����,這只是一次實(shí)驗(yàn)�,他并不存在惡意�����,而微步在線(xiàn)的報(bào)告則證明了他作案時(shí)間長(zhǎng)��、獲取數(shù)據(jù)多�,對(duì)他的行為定性有重要作用。
“當(dāng)時(shí)我們線(xiàn)上還只有第一版的X情報(bào)社區(qū)�����,非常簡(jiǎn)單���,但是后臺(tái)數(shù)據(jù)能力其實(shí)已經(jīng)就位����,而且已經(jīng)運(yùn)營(yíng)了一段時(shí)間。薛鋒通過(guò)查詢(xún)后臺(tái)數(shù)據(jù)發(fā)現(xiàn)了蛛絲馬跡���,當(dāng)時(shí)就把團(tuán)隊(duì)所有人集合起來(lái)���,開(kāi)始了我們第一次追蹤溯源。”李秋石口中的X情報(bào)社區(qū)��,是微步在線(xiàn)旗下的第一款產(chǎn)品����,基于微步在線(xiàn)的威脅情報(bào)能力而設(shè)計(jì)成的“情報(bào)搜索引擎+開(kāi)放社區(qū)”。XCodeGhost事件被Vista看天下��、路透社和國(guó)外知名科技媒體DarkReading等媒體爭(zhēng)相報(bào)道����,威脅情報(bào)的威力開(kāi)始在國(guó)內(nèi)被人所知。
但是如果用一個(gè)詞來(lái)概括2015年中國(guó)的威脅情報(bào)市場(chǎng)��,這個(gè)詞應(yīng)該是“觀望”�����。
“我們參加市場(chǎng)活動(dòng)打造影響力,但是市場(chǎng)普遍的疑問(wèn)是����,威脅情報(bào)是很厲害,可它能幫我們做什么呢?”從2015年7月之后成立的各家威脅情報(bào)公司����,商業(yè)化的產(chǎn)品一般都是威脅情報(bào)數(shù)據(jù)API,還沒(méi)有后來(lái)的平臺(tái)類(lèi)����、管理類(lèi)、溯源類(lèi)產(chǎn)品�。李秋石認(rèn)為�,這是產(chǎn)品化之路上的必要過(guò)程。
簡(jiǎn)單的產(chǎn)品仍然有明顯的效果�����,李秋石說(shuō)��,就在2015年�,微步在線(xiàn)的API幫助一家客戶(hù)破獲了一起被控制主機(jī)超過(guò)千臺(tái)的攻擊事件,由于處置迅速�����,這家客戶(hù)的安全團(tuán)隊(duì)當(dāng)年績(jī)效十分優(yōu)秀。
“當(dāng)時(shí)我們已經(jīng)有了一些忠實(shí)客戶(hù)����,但付費(fèi)并不多,選擇我們的客戶(hù)都是在安全上投入比較多��、有自主研發(fā)能力�、知道怎么落地威脅情報(bào)的技術(shù)型客戶(hù)。”
李秋石表示���,回頭來(lái)看�,API上云是最好的售賣(mài)方式��,但是當(dāng)時(shí)云上的安全市場(chǎng)還并不成熟����,因此最早的銷(xiāo)售是以線(xiàn)下to大B的方式賣(mài)API。而大部分潛在客戶(hù)一邊叫好一邊觀望�,一方面是因?yàn)閲?guó)內(nèi)的需求才剛剛起步,另一方面也是因?yàn)榈谝慌鷩?guó)產(chǎn)威脅情報(bào)公司實(shí)在太年輕����,還沒(méi)有做出框架完整��、具備一定功能的產(chǎn)品�����。
“那時(shí)威脅情報(bào)在中國(guó)剛剛落地�,還不是很大眾化���。當(dāng)?shù)谝淮{情報(bào)公司在驗(yàn)證自己能力的時(shí)候���,其實(shí)客戶(hù)也在等待著公司情報(bào)能力的驗(yàn)證。”
2016.7-2017.7:開(kāi)荒
如果說(shuō)第一年是堅(jiān)冰融化�,露出土地;那么第二年就是篳路藍(lán)縷,春耕夏耘�����。從微步在線(xiàn)參加了2016年的RSA大會(huì)開(kāi)始�����,中國(guó)威脅情報(bào)市場(chǎng)開(kāi)始有了那么一些溫度:
產(chǎn)品化方面��,那一整年微步在線(xiàn)都在主動(dòng)出擊���、收集客戶(hù)需求�����,而從2016年開(kāi)始�����,微步在線(xiàn)的兩條產(chǎn)品線(xiàn)“威脅情報(bào)檢測(cè)平臺(tái)”和“威脅情報(bào)管理平臺(tái)”都正式發(fā)布并且開(kāi)始頻繁迭代��。“不止一個(gè)客戶(hù)提出了產(chǎn)品化的需求���,威脅情報(bào)管理平臺(tái)更是中石油提出的明確需求。”李秋石介紹道����。
市場(chǎng)進(jìn)度方面,這一年中微步在線(xiàn)在很多行業(yè)中進(jìn)行開(kāi)荒��,除去常規(guī)的金融��、能源�、互聯(lián)網(wǎng)行業(yè)外,制造業(yè)�、游戲行業(yè)等也有嘗試��。李秋石透露��,目前微步在線(xiàn)的大型客戶(hù)中���,銀聯(lián)、招行�����、中石油等都是在2016年開(kāi)始接觸的���。“我們通過(guò)立體作戰(zhàn)方式打入每個(gè)目標(biāo)行業(yè)����,并把客戶(hù)做成標(biāo)桿�,這樣我們?cè)谀繕?biāo)行業(yè)就有條件遍地開(kāi)花。”
客戶(hù)服務(wù)體系上���,微步在線(xiàn)完善了客戶(hù)服務(wù)流程,還組建了分析師團(tuán)隊(duì)�,負(fù)責(zé)對(duì)客戶(hù)提供MDR服務(wù)和定期發(fā)布威脅情報(bào)報(bào)告。
“我們?cè)诓煌袠I(yè)里開(kāi)始不斷出現(xiàn)標(biāo)桿客戶(hù)���,這些標(biāo)桿又會(huì)形成一個(gè)新的循環(huán)�����,加快市場(chǎng)對(duì)威脅情報(bào)的認(rèn)知����。而客戶(hù)從開(kāi)始了解到最后成為我們的客戶(hù),也會(huì)經(jīng)歷一定的周期���,但是這個(gè)周期會(huì)隨著客戶(hù)對(duì)我們認(rèn)識(shí)的加深而越來(lái)越短�����。”李秋石說(shuō)����。
例如證券行業(yè)����。微步在線(xiàn)借助連續(xù)多個(gè)行業(yè)內(nèi)安全事件的及時(shí)響應(yīng)與分析形成良好口碑,配合行業(yè)快速推進(jìn)����,因此證券業(yè)成了微步在線(xiàn)進(jìn)展最快的行業(yè)之一�����。另一個(gè)是能源行業(yè)�����,聽(tīng)上去有些難以置信����,行業(yè)的領(lǐng)軍企業(yè)找到微步在線(xiàn)�����,明確提出要對(duì)多源威脅情報(bào)進(jìn)行管理��,支持多人研判��。這個(gè)需求無(wú)疑是超出當(dāng)時(shí)市場(chǎng)平均需求的�,但恰恰是微步在線(xiàn)創(chuàng)建公司時(shí)的基礎(chǔ)技術(shù)能力。現(xiàn)在威脅情報(bào)管理平臺(tái)已經(jīng)成為了微步在線(xiàn)的主要產(chǎn)品線(xiàn)之一�,而微步在線(xiàn)也打入了更多能源類(lèi)客戶(hù)。
春耕夏耘之后���,收獲的季節(jié)正在向微步在線(xiàn)一步一步走來(lái)�。
2017.7-2018.7生長(zhǎng)
這只是中國(guó)威脅情報(bào)市場(chǎng)的第三年�,這個(gè)市場(chǎng)仍然處在增長(zhǎng)期,擁有無(wú)窮的可能性���,還遠(yuǎn)遠(yuǎn)不到豐收的時(shí)候��。擁有被市場(chǎng)認(rèn)可的威脅情報(bào)能力�,也只是微步在線(xiàn)奮斗的起點(diǎn)��。此時(shí)�,微步在線(xiàn)已經(jīng)建立起以下產(chǎn)品線(xiàn):
基于流量監(jiān)測(cè),微步在線(xiàn)對(duì)應(yīng)的產(chǎn)品線(xiàn)是威脅檢測(cè)平臺(tái)TDP����,能夠基于企業(yè)內(nèi)部的日志、流量與微步威脅情報(bào)數(shù)據(jù)和機(jī)器學(xué)習(xí)模型�,快速、精準(zhǔn)發(fā)現(xiàn)被黑客和木馬控制的主機(jī);
針對(duì)多源威脅情報(bào)���,則有前文提到的威脅情報(bào)管理平臺(tái)TIP����,部署在企業(yè)內(nèi)部,加載微步威脅情報(bào)并能對(duì)多個(gè)源的情報(bào)進(jìn)行統(tǒng)一存儲(chǔ)�、檢索、對(duì)比��,并使用統(tǒng)一的生命周期管理情報(bào)從產(chǎn)生���、使用����、靜默與消亡的完整過(guò)程�,助力企業(yè)全業(yè)務(wù)線(xiàn)應(yīng)用威脅情報(bào);
對(duì)于主要需求為情報(bào)查詢(xún)的用戶(hù),X社區(qū)和情報(bào)搜索引擎能夠滿(mǎn)足他們大部分需求���,針對(duì)文件在線(xiàn)查毒��,微步在線(xiàn)也開(kāi)發(fā)了具有威脅情報(bào)能力的云沙箱產(chǎn)品���,微步在線(xiàn)還有DNS產(chǎn)品;
雖然擁有了豐富的產(chǎn)品線(xiàn),李秋石仍然認(rèn)為�����,微步在線(xiàn)的產(chǎn)品化之路還有很大的拓展空間���。
從技術(shù)上來(lái)講�,微步在線(xiàn)已經(jīng)建立了一個(gè)龐大的網(wǎng)絡(luò)威脅數(shù)據(jù)圖譜(ThreatGraph)。結(jié)合目前的人工智能應(yīng)用已經(jīng)能夠滿(mǎn)足自動(dòng)化數(shù)據(jù)清洗���、情報(bào)提取、情報(bào)生命周期管理���、安全狩獵等方面的需求����,相比于微步在線(xiàn)的大數(shù)據(jù)能力�����,人工智能技術(shù)正在成長(zhǎng)為微步在線(xiàn)的第二個(gè)支柱��。
從產(chǎn)品覆蓋面來(lái)說(shuō)�����,微步在線(xiàn)仍然在開(kāi)發(fā)新產(chǎn)品��,從更多維度保護(hù)企業(yè)的數(shù)據(jù)和業(yè)務(wù)安全�。2018年��,微步在線(xiàn)推出了威脅檢測(cè)平臺(tái)的服務(wù)器版以及云沙箱��,目標(biāo)為“安全智能��,情報(bào)驅(qū)動(dòng)”�����,目前產(chǎn)品線(xiàn)仍在不斷完善中���。
而市場(chǎng)進(jìn)展方面,微步在線(xiàn)已經(jīng)在上海和深圳開(kāi)設(shè)了分公司�,還成功舉辦了第一屆網(wǎng)絡(luò)安全分析與情報(bào)大會(huì),成為國(guó)內(nèi)威脅情報(bào)行業(yè)中第一個(gè)行業(yè)性大會(huì)����。李秋石透露,今年的情報(bào)大會(huì)已經(jīng)準(zhǔn)備就緒�����,將于8月29日在北京開(kāi)幕��。
三生萬(wàn)物�,這剛剛過(guò)去的三年對(duì)于微步在線(xiàn)來(lái)說(shuō)���,只是新階段的開(kāi)端。李秋石表示��,微步在線(xiàn)會(huì)一直以獨(dú)立的姿態(tài)生長(zhǎng)下去�����,那么��,或許此刻很適合用丘吉爾的一句話(huà)來(lái)為本文做結(jié)尾:
“Nowthisisnottheend.Itisnoteventhebeginningoftheend.Butitis,perhaps,theendofthebeginning.”(這不是結(jié)束�,甚至不是結(jié)束的開(kāi)始�,而可能是開(kāi)始的結(jié)束。)束始�。
鄂公網(wǎng)安備 42112402000149號(hào)