36氪独家 | 威胁情报公司「微步在线」完成3亿元
36氪获悉,「微步在线ThreatBook」(以下简称「微步)」已于日前获得3亿元D轮融资,本轮投资方包括中金资本、中信证券和云晖资本等多家国资背景基金。微步成立于2015年7月,是36氪持续关注的一家公司,一直专注威胁情报领域。
具体来说,威胁情报是指通过一系列安全相关的信息,还原已发生的攻击和预测未发生的攻击,为公司提供安全机制、指标,以及可指导行动的建议,核心在于是“可指导行动的建议”而不是单点信息。对企业方而言,威胁情报的意义在于主动发现各类威胁,其流程包括发现、理解情报等,并将情报用于安全监控的措施中。
作为细分领域的头部厂商,公司创始人兼CEO薛锋认为公司的壁垒和特点可以从以下几个方面展开,分别是产品能力、数据分析能力和商业模式。
在产品能力上,薛锋认为过去几年微步发生的一个变化在于,公司将威胁情报作为基础核心能力,然后在能力之上提供给客户相应产品。具体在落地上,微步已经构建了一套产品矩阵,主要包括:
软/硬件产品:网络威胁感知平台(TDP)和威胁情报管理平台(TIP)
SaaS产品:OneDNS互联网安全接入服务、微步在线云API
安全服务:检测及相应服务MDR
其他:开放威胁情报社区X、恶意软件分析平台S
分析能力,可以保证公司能根据已有数据分析出更多、更精确的结果。客户方在采购这类产品时,在技术上最看重的衡量标准是检出率和误报率,即谁发现的多和谁发现的准。薛锋介绍,在现实情况下,多和准两个指标并不是割裂的,“经常的情况是一家厂商可以做到既多又准,因为这两个指标都是厂商分析后得到的结果,整体分析能力的高低决定了这两个维度的表现”,而微步在线的分析能力得益于团队背景、模型研发能力和情报的积累程度。
在“威胁情报”这个标签之外,SaaS模式也是微步的另一特点。当前,有较多安全公司是以软硬件产品的方式,开展定制化项目,这和客户对产品形态和交付方式的接受度紧密关联——硬件包装的产品更容易被付费,定制化更容易满足客户的特殊需求。但薛锋介绍,微步是国内网络安全厂商中较早进行SaaS模式的公司,这也是其相较其他安全厂商的一个差异。
之所以能走SaaS模式,和威胁情报的业务模式有关。威胁情报公司的核心是帮助客户做数据分析,通过数据、建模分析出的结果会不断通过云端同步给客户,客户会不断为其更新的数据分析结果买单——在行业中,持续输出的数据类安全产品也是客户接受度较高的SaaS产品。
在美国,一些专注于安全云化的厂商已获得了资本和市场的认可,典型两家如CrowdStrike和Zscaler。其中CrowdStrike成立于2011 年,于2012-2013年推出威胁情报服务 Falcon X 及终端检测与响应(EDR)产品 Falcon Inshight,后不断增设产品线,并于今年推出 PaaS安全平台CrowdStrike Store,构建了终端安全产品+威胁情报服务+专家服务,SaaS + PaaS的完整安全生态。2019年,CrowdStrike订阅服务收入占比为 88%,营收留存率达98%,净留存率为124%。目前CrowdStrike的市值是288亿美元。
续约率、客户类型、客单价,是SaaS厂商衡量自身的几个指标。前文提到,当前微步也有软硬件产品,但薛锋觉得,当前SaaS的核心不在于是否一定用硬件或软件,还是在于产品是否足够标准化,是否按月或年交费。当前微步有约80%的收入都来自订阅制,并且由于是在帮助大型客户持续做分析,所以用户粘性较高,续约率达到95%左右。
据了解,当前微步已服务三百多家大型企业,客户行业覆盖银行、券商、互联网公司及大型能源企业等。在本轮融资后,公司将持续在技术研发和市场推广方面发力。
团队层面,目前微步在线团队大部分为研发及技术人员。创始人兼CEO薛锋本人曾任亚马逊中国首席信息安全官,微软中国互联网安全战略总监,核心团队其他成员来自亚马逊、微软、BAT、美团等公司。
关于投资:
本轮投资方「中金资本」:在实体经济不断互联,数字资产价值持续提升的大背景下,各种网络威胁形成的潜在风险也越来越严峻。以“建高墙、筑关卡、宁杀错不放过”为基础的传统安全手段已逐渐无法应对威胁和风险。
然而,以动态威胁情报为基础,以有效主动侦测手段为工具,赋能企业及时发现威胁并集中优势资源迅速应对风险将成为网络安全发展的趋势。具备不断演进完善能力的动态威胁情报在网络安全中拥有长期重要价值。