今日,微步在线ThreatBook正式对外宣布,已完成1.2亿元人民币B轮融资。本轮融资由高瓴资本高瓴智成人工智能基金领投,同时A轮和天使轮领投方如山资本和北极光继续跟投。融资资金将用于支持微步在线加大研发投入,建立健全营销体系,拓展市场。
根据KMPG mometum partners 的数据,到2020年,威胁情报和威胁分析领域全球市场为350亿元。从用户数量来看,Gartner预测,2017年全球范围内的大型公司只有1%应用了威胁情报,而2020年这个数字将增长为15%。
威胁情报是指一种基于证据的知识,包括上下文、机制、指标、和可指导行动的建议。在适应性安全模型中,分为防御、检测、响应、预测这四个象限,网络安全威胁情报属于检测与响应这两个象限。目前,互联网巨头如谷歌、Facebook等公司已经在威胁情报领域展开了一些动作;同时赛门铁克、卡巴斯基、FireEye等老牌安全厂商也将威胁情报作为一块重要的分支业务;此外还有微步在线这类创业公司。
微步在线成立于2015年,主要是帮企业客户在攻击的早期发现关键的攻陷指标,从海量的报警和日志中发现最高优先级的威胁。简单的比喻,消防人员每天最重要的事情是最早的发现火苗在哪里,并且需要知道什么材料失火需要怎么处置,而不是被大量的无效的火警分散资源和精力。威胁情报的价值就体现在帮助消防人员早一点发现失火,并且能够提供失火的原因分析。
落实到客户的直接价值就是,可以直接降低平均威胁检测时间(MTTD)和平均威胁响应时间(MTTR)。
在适应性安全体系中,威胁情报应当与企业其他安全设施如SIEM、SOC、WAF等进行联动,安全团队根据威胁情报提供的信息进行决策。因此在衡量一家威胁情报公司实力的时候,一般从数据能力、服务能力和分析能力三个维度进行甄别:
数据是进行威胁情报分析的基础,一家公司积累的数据资产和每日更新的数据量级,将直接影响到威胁情报的标准性、准确度、误报率和漏报率,而这些都是企业在测试时比较看重的指标;
服务能力主要体现在产品线的完善度上;
分析能力则取决于一家威胁情报公司在大型安全事件发生后,对外发布事件报告的速度和质量。
目前,微步的产品线共覆盖三个场景:情报收集与恶意指标检测、威胁情报溯源分析、多源情报管理。于此相对应的产品分别是:威胁情报云(Threat Intelligence Cloud)、网络威胁监测预警平台(Threat Intelligence Platform)、威胁情报管理平台(Threat Intelligence Management)。此外,微步在线也会定期公布一些安全事件的战略情报报告。
至于收费,微步在线目前走项目制,以大客户、独立私有化部署为主,社区免费。已有付费客户数十家,分布在能源、金融和互联网等行业,威胁分析社区企业用户三百多家。
据悉,微步在线创始人兼CEO薛锋曾任亚马逊中国首席安全官,微软中国互联网安全战略总监,是Blackhat欧洲安全大会和微软蓝帽子大会Bluehat上首位来自中国的演讲者。团队其他成员分别来自于来自亚马逊、阿里巴巴、微软、支付宝、京东、搜狗等。现在团队有55人,总部位于北京,并设有上海分公司,深圳分公司正在筹备过程中。
关联阅读:
《已勒索了150多个国家的WannaCry病毒,或出新变种》
《疑点披露:XcodeGhost 威胁情报分析》