2015 年 6 月，有著光鮮打工履歷的薛鋒正式創(chuàng)業(yè)，成立了主打安全威脅情報(bào)分析的微步在線。

此前，他歷任亞馬遜中國首席安全官，微軟中國互聯(lián)網(wǎng)安全戰(zhàn)略總監(jiān)，是 Blackhat 歐洲安全大會(huì)和微軟藍(lán)帽子大會(huì) Bluehat 上首位來自中國的演講者……

“大牛”創(chuàng)業(yè)，也吸引了不少來自亞馬遜、阿里巴巴、微軟、支付寶、京東、搜狗等公司的人才加入。

除此之外，微步在線在三年中也敲定了三筆融資，資方陣容中包括高瓴、北極光等知名投資機(jī)構(gòu)，尤其是去年 9 月對(duì)外公布的 1.2 億 B 輪融資，如此規(guī)模的融資在當(dāng)時(shí)國內(nèi)安全初創(chuàng)企業(yè)中并不多見。

▲微步在線融資歷程

可以說，無論是團(tuán)隊(duì)還是投資方，都可以算是安全初創(chuàng)公司中的“豪華陣容”了。

那么，在人才和資本的助力下，三年來薛鋒在與黑產(chǎn)實(shí)力懸殊的對(duì)抗中，使出了哪些新的應(yīng)對(duì)招式？對(duì)于做威脅情報(bào)的同行們，他看到了哪些改變？三年來微步自身又進(jìn)行了哪些改變？

8月29日，在微步自己搭臺(tái)的網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)間隙，薛鋒跟包括雷鋒網(wǎng)在內(nèi)的媒體聊了創(chuàng)業(yè)三年來他對(duì)威脅情報(bào)市場(chǎng)發(fā)展的看法。

面對(duì)強(qiáng)大的敵人，我們正在進(jìn)行的改變

在去年的“網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)”上，薛鋒曾經(jīng)分享了與黑產(chǎn)在攻防力量上的不對(duì)稱現(xiàn)狀，雷鋒網(wǎng)對(duì)這種敵眾我寡、敵暗我明的態(tài)勢(shì)也進(jìn)行過報(bào)道（點(diǎn)這里）。

1.敵在暗，我在明。

攻擊者在發(fā)動(dòng)攻擊之前，已經(jīng)將攻擊對(duì)象的情況摸了個(gè)底朝天，雖然防衛(wèi)系統(tǒng)警報(bào)已經(jīng)拉響，但應(yīng)急響應(yīng)再快，從知道到正確處置，這段時(shí)間差依然可以“發(fā)生很多事兒”。

2.黑產(chǎn)更舍得花錢。

與安全的投入只是止損相比，壞人買一個(gè)工具就可以搶銀行，投入產(chǎn)出比很高，愿意投入。

3.人數(shù)和時(shí)間不對(duì)等。

一個(gè)企業(yè)的安全團(tuán)隊(duì)人數(shù)有限，但卻要面對(duì)手拿重型武器、跨區(qū)域合作的眾多黑客團(tuán)體7×24小時(shí)的攻擊。

4.沒有把現(xiàn)有的安全防護(hù)工具進(jìn)行最優(yōu)利用。

不管邊界圍得多好，敵人一定會(huì)進(jìn)來。所以，邊界已經(jīng)不是企業(yè)的問題，敵人進(jìn)來之后如果沒有更多的部署（比如，探針），很多工作根本沒法開展。

這就像你家總是遭到小偷的偷竊，但是你只能通過上鎖來被動(dòng)防御，那個(gè)人長什么樣，有哪些特征，拿什么工具來撬的鎖統(tǒng)統(tǒng)不知道，你沒法通過這些信息來鎖定壞人，更沒法子針對(duì)他的套路來進(jìn)行有效的應(yīng)對(duì)。

不過這兩年，隨著大數(shù)據(jù)和云計(jì)算的發(fā)展，這種狀態(tài)出現(xiàn)了轉(zhuǎn)機(jī)。

薛鋒告訴雷鋒網(wǎng)，雖然黑產(chǎn)依舊強(qiáng)大，但有了大數(shù)據(jù)和云計(jì)算這些技術(shù)后，整體上安全威脅情報(bào)的發(fā)展還是在往容易的方向走，“當(dāng)你有了監(jiān)控、探針和數(shù)據(jù)后，很多東西就記下來了?！边@種敵暗我明的狀況，正在悄然改變。

換句話說，也許小偷下次再來你家，依舊偷走了東西，但是這次他被監(jiān)控拍到了，他的很多特征被記錄下來后，這些數(shù)據(jù)可以拿去做關(guān)聯(lián)分析，這個(gè)人還犯過什么事，慣用的伎倆有哪些？針對(duì)這些伎倆采取什么樣的方式來防御會(huì)更有效？通過什么方式能追溯到他？安全人員會(huì)根據(jù)搜集來的數(shù)據(jù)來研究這些。

“他們最害怕的就是關(guān)聯(lián)分析，比如做黑產(chǎn)為了抹掉痕跡會(huì)換一個(gè)手機(jī)號(hào)，但如果不換手機(jī)的話它的 IMEI 我們依舊能識(shí)別?！爆F(xiàn)在，在攻防中安全人員可以大量采集流量和日志等內(nèi)容做分析，這一點(diǎn)壞人是沒辦法干涉的，就好像我街上裝了那么多攝像頭，小偷沒辦法擦除這里面的信息，甚至他雖然沒有干壞事，只是經(jīng)過了一條有監(jiān)控的街道，這個(gè)圖像也可以存儲(chǔ)被用來分析，這是網(wǎng)絡(luò)防御方第一次比攻方更有利。

不過，薛鋒也坦言，目前攻防雙方的力量依然不對(duì)稱，黑產(chǎn)一年造成的損失是幾千億甚至上萬億美金，但安全市場(chǎng)總體而言大概只有千分之一于他們的收益，這就是真實(shí)的現(xiàn)狀。

同行們有哪些改變

在全球最為成熟的北美市場(chǎng)，沒有使用威脅情報(bào)，也沒有計(jì)劃使用威脅情報(bào)的受訪者比例只有11%，比去年的15%進(jìn)一步降低。

在采訪中，薛鋒引用了SANS在今年針對(duì)北美市場(chǎng)所做的網(wǎng)絡(luò)威脅情報(bào)調(diào)研中的結(jié)論：與之前大多是專業(yè)的情報(bào)公司在做不同，現(xiàn)在大多數(shù)安全公司都非常注重對(duì)威脅情報(bào)的分析和運(yùn)用。

薛鋒透露，在美國大的IT公司當(dāng)中，幾乎每個(gè)公司都在做威脅情報(bào)，SANS 評(píng)選的美國過去幾年最佳的威脅情報(bào)公司，都不是大家印象中的情報(bào)公司。

“比如 FireEye、CrowdStrike 都不是傳統(tǒng)的情報(bào)公司，但這些都是被評(píng)選出來的最佳情報(bào)公司?！边@說明，業(yè)內(nèi)大家都在用情報(bào)作為一種驅(qū)動(dòng)力改變現(xiàn)有的產(chǎn)品，這是一個(gè)大的趨勢(shì)，而不光是微步這樣的情報(bào)公司在做。

這也正是薛鋒希望看到的：當(dāng)有了越來越多的伙伴加入威脅情報(bào)的研究，就意味著可以對(duì)現(xiàn)有的安全產(chǎn)業(yè)進(jìn)行聯(lián)動(dòng)，防守方聯(lián)合起來就會(huì)有更強(qiáng)大的戰(zhàn)斗力。

那這樣會(huì)對(duì)微步構(gòu)成競(jìng)爭(zhēng)壓力嗎？

對(duì)于雷鋒網(wǎng)編輯的這個(gè)問題，薛鋒回應(yīng)，微步不是直接賣情報(bào)的廠商，賣的是流量分析產(chǎn)品、郵件等場(chǎng)景和產(chǎn)品，但安全產(chǎn)品背后的技術(shù)、理念是截然不同的，這不僅是產(chǎn)品上的差異，更是背后對(duì)技術(shù)和安全理解的差異。

相比競(jìng)爭(zhēng)，目前還是合作的廠商更多一些。“情報(bào)在這當(dāng)中是聯(lián)動(dòng)、驅(qū)動(dòng)很多方面的組件，我們和絕大部分廠商都是合作關(guān)系，包括防火墻、SIEM和終端也都是合作關(guān)系?！毖︿h透露，目前國內(nèi)在威脅情報(bào)共享方面也在進(jìn)行努力，比如中國互聯(lián)網(wǎng)協(xié)會(huì)就成立了一個(gè)威脅治理聯(lián)盟，聯(lián)盟當(dāng)中有幾百家企業(yè)，前一段時(shí)間剛剛成立了威脅情報(bào)共享工作組，目前正在開展共享工作。

“以前壞人進(jìn)步比較快，安全研究人員進(jìn)步比較慢，是因?yàn)檫^去沒有情報(bào)共享和交換，更多的是單打獨(dú)斗，現(xiàn)在我們有很多共同的客戶，客戶也會(huì)進(jìn)行驅(qū)動(dòng)，希望這些信息和情報(bào)在企業(yè)和行業(yè)內(nèi)部流轉(zhuǎn)，工作組主要的目的就是開展這種信息共享?！毖︿h說。

微步有哪些改變

在2015年創(chuàng)業(yè)伊始，薛鋒看好的是威脅情報(bào)的發(fā)展前景，更多的是看“這個(gè)事情重不重要、對(duì)不對(duì)、有沒有價(jià)值、大家的需求大不大。”

但究竟能落地到哪些具體的場(chǎng)景？到底要做什么產(chǎn)品？是硬件還是軟件？是SaaS還是API？這在當(dāng)時(shí)都沒想清楚，創(chuàng)業(yè)的三年更多是實(shí)戰(zhàn)和落地的過程。

三年中，很多人認(rèn)識(shí)微步是從下面這個(gè)搜索界面開始的， 一個(gè)名為 x.threatbook.cn 的情報(bào)社區(qū)。

去年底雷鋒網(wǎng)采訪薛鋒時(shí)，這個(gè)社區(qū)有幾萬注冊(cè)用戶，日活在幾千人左右，每天新情報(bào)的貢獻(xiàn)量保持在20萬~30萬條，而目前最新的數(shù)字是，每天能收到30萬到50萬條威脅信息。

以這些威脅信息為原料，會(huì)做成兩道菜，一是把壞人標(biāo)記出來，到底有哪些IP在不停地干壞事，大家看要不要把這個(gè)IP加入黑名單。二是對(duì)這些信息進(jìn)行再加工，盡可能的了解這次威脅事件的全貌。

雖然微步并未憑社區(qū)賺到錢，但圈內(nèi)人都通過社區(qū)了解到了微步。

除了情報(bào)社區(qū)，從去年開始，他們開始考慮如何讓產(chǎn)品落地。推出了TDP、TIP 兩套系統(tǒng)，一套能對(duì)企業(yè)內(nèi)部流量進(jìn)行分析，并且結(jié)合外部搜集到的其他威脅情報(bào)，來綜合判斷威脅；另外一套則是幫助企業(yè)高效地管理威脅情報(bào)。

這解決了客戶的兩個(gè)疑問：到底誰在搞我？怎么搞的我？

憑借這兩套系統(tǒng)，他們拿下了國內(nèi)金融、互聯(lián)網(wǎng)、能源等行業(yè)的眾多標(biāo)桿客戶。

在大會(huì)現(xiàn)場(chǎng)，薛鋒也坦言，作為一家只成立3年的公司，產(chǎn)品肯定有不足的地方，他很感謝合作伙伴給了他們信任和試煉的機(jī)會(huì)，得以讓產(chǎn)品不斷完善。

從最早的搜索界面到 API，再到現(xiàn)在的軟硬件產(chǎn)品，他們一直在根據(jù)用戶的需求不斷的摸索產(chǎn)品形態(tài)，而未來，也將出現(xiàn)更多形態(tài)的產(chǎn)品。

目前，他們推出一款云沙箱(s.threatbook.cn)，特殊之處就是最終輸出的不僅是這個(gè)樣本在機(jī)器上的行為，更多的會(huì)基于基礎(chǔ)的東西來做更多的關(guān)聯(lián)分析，最后用于真實(shí)網(wǎng)絡(luò)環(huán)境的檢測(cè)。

除此之外，他們一直也在做有關(guān)威脅情報(bào)的報(bào)告，會(huì)針對(duì)國內(nèi)外的黑客團(tuán)伙進(jìn)行追蹤和發(fā)現(xiàn)，在提供威脅監(jiān)測(cè)服務(wù)的同時(shí)，也會(huì)提供應(yīng)急預(yù)案?，F(xiàn)在擺在企業(yè)的面前的，最缺的是信息安全人才，急需能夠處置不同的事件，包括對(duì)高復(fù)雜Case進(jìn)行分析的人。而微步和他們提供的產(chǎn)品就是為了解決這個(gè)問題，提升安全運(yùn)營效率，將復(fù)雜問題簡單化。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。