2015 年 6 月，有著光鮮打工履歷的薛鋒正式創(chuàng)業(yè)，成立了主打安全威脅情報分析的微步在線。

此前，他歷任亞馬遜中國首席安全官，微軟中國互聯(lián)網安全戰(zhàn)略總監(jiān)，是 Blackhat 歐洲安全大會和微軟藍帽子大會 Bluehat 上首位來自中國的演講者……

“大牛”創(chuàng)業(yè)，也吸引了不少來自亞馬遜、阿里巴巴、微軟、支付寶、京東、搜狗等公司的人才加入。

除此之外，微步在線在三年中也敲定了三筆融資，資方陣容中包括高瓴、北極光等知名投資機構，尤其是去年 9 月對外公布的 1.2 億 B 輪融資，如此規(guī)模的融資在當時國內安全初創(chuàng)企業(yè)中并不多見。

▲微步在線融資歷程

可以說，無論是團隊還是投資方，都可以算是安全初創(chuàng)公司中的“豪華陣容”了。

那么，在人才和資本的助力下，三年來薛鋒在與黑產實力懸殊的對抗中，使出了哪些新的應對招式？對于做威脅情報的同行們，他看到了哪些改變？三年來微步自身又進行了哪些改變？

8月29日，在微步自己搭臺的網絡安全分析與情報大會間隙，薛鋒跟包括雷鋒網在內的媒體聊了創(chuàng)業(yè)三年來他對威脅情報市場發(fā)展的看法。

面對強大的敵人，我們正在進行的改變

在去年的“網絡安全分析與情報大會”上，薛鋒曾經分享了與黑產在攻防力量上的不對稱現(xiàn)狀，雷鋒網對這種敵眾我寡、敵暗我明的態(tài)勢也進行過報道（點這里）。

1.敵在暗，我在明。

攻擊者在發(fā)動攻擊之前，已經將攻擊對象的情況摸了個底朝天，雖然防衛(wèi)系統(tǒng)警報已經拉響，但應急響應再快，從知道到正確處置，這段時間差依然可以“發(fā)生很多事兒”。

2.黑產更舍得花錢。

與安全的投入只是止損相比，壞人買一個工具就可以搶銀行，投入產出比很高，愿意投入。

3.人數(shù)和時間不對等。

一個企業(yè)的安全團隊人數(shù)有限，但卻要面對手拿重型武器、跨區(qū)域合作的眾多黑客團體7×24小時的攻擊。

4.沒有把現(xiàn)有的安全防護工具進行最優(yōu)利用。

不管邊界圍得多好，敵人一定會進來。所以，邊界已經不是企業(yè)的問題，敵人進來之后如果沒有更多的部署（比如，探針），很多工作根本沒法開展。

這就像你家總是遭到小偷的偷竊，但是你只能通過上鎖來被動防御，那個人長什么樣，有哪些特征，拿什么工具來撬的鎖統(tǒng)統(tǒng)不知道，你沒法通過這些信息來鎖定壞人，更沒法子針對他的套路來進行有效的應對。

不過這兩年，隨著大數(shù)據(jù)和云計算的發(fā)展，這種狀態(tài)出現(xiàn)了轉機。

薛鋒告訴雷鋒網，雖然黑產依舊強大，但有了大數(shù)據(jù)和云計算這些技術后，整體上安全威脅情報的發(fā)展還是在往容易的方向走，“當你有了監(jiān)控、探針和數(shù)據(jù)后，很多東西就記下來了?！边@種敵暗我明的狀況，正在悄然改變。

換句話說，也許小偷下次再來你家，依舊偷走了東西，但是這次他被監(jiān)控拍到了，他的很多特征被記錄下來后，這些數(shù)據(jù)可以拿去做關聯(lián)分析，這個人還犯過什么事，慣用的伎倆有哪些？針對這些伎倆采取什么樣的方式來防御會更有效？通過什么方式能追溯到他？安全人員會根據(jù)搜集來的數(shù)據(jù)來研究這些。

“他們最害怕的就是關聯(lián)分析，比如做黑產為了抹掉痕跡會換一個手機號，但如果不換手機的話它的 IMEI 我們依舊能識別?！爆F(xiàn)在，在攻防中安全人員可以大量采集流量和日志等內容做分析，這一點壞人是沒辦法干涉的，就好像我街上裝了那么多攝像頭，小偷沒辦法擦除這里面的信息，甚至他雖然沒有干壞事，只是經過了一條有監(jiān)控的街道，這個圖像也可以存儲被用來分析，這是網絡防御方第一次比攻方更有利。

不過，薛鋒也坦言，目前攻防雙方的力量依然不對稱，黑產一年造成的損失是幾千億甚至上萬億美金，但安全市場總體而言大概只有千分之一于他們的收益，這就是真實的現(xiàn)狀。

同行們有哪些改變

在全球最為成熟的北美市場，沒有使用威脅情報，也沒有計劃使用威脅情報的受訪者比例只有11%，比去年的15%進一步降低。

在采訪中，薛鋒引用了SANS在今年針對北美市場所做的網絡威脅情報調研中的結論：與之前大多是專業(yè)的情報公司在做不同，現(xiàn)在大多數(shù)安全公司都非常注重對威脅情報的分析和運用。

薛鋒透露，在美國大的IT公司當中，幾乎每個公司都在做威脅情報，SANS 評選的美國過去幾年最佳的威脅情報公司，都不是大家印象中的情報公司。

“比如 FireEye、CrowdStrike 都不是傳統(tǒng)的情報公司，但這些都是被評選出來的最佳情報公司。”這說明，業(yè)內大家都在用情報作為一種驅動力改變現(xiàn)有的產品，這是一個大的趨勢，而不光是微步這樣的情報公司在做。

這也正是薛鋒希望看到的：當有了越來越多的伙伴加入威脅情報的研究，就意味著可以對現(xiàn)有的安全產業(yè)進行聯(lián)動，防守方聯(lián)合起來就會有更強大的戰(zhàn)斗力。

那這樣會對微步構成競爭壓力嗎？

對于雷鋒網編輯的這個問題，薛鋒回應，微步不是直接賣情報的廠商，賣的是流量分析產品、郵件等場景和產品，但安全產品背后的技術、理念是截然不同的，這不僅是產品上的差異，更是背后對技術和安全理解的差異。

相比競爭，目前還是合作的廠商更多一些?！扒閳笤谶@當中是聯(lián)動、驅動很多方面的組件，我們和絕大部分廠商都是合作關系，包括防火墻、SIEM和終端也都是合作關系?！毖︿h透露，目前國內在威脅情報共享方面也在進行努力，比如中國互聯(lián)網協(xié)會就成立了一個威脅治理聯(lián)盟，聯(lián)盟當中有幾百家企業(yè)，前一段時間剛剛成立了威脅情報共享工作組，目前正在開展共享工作。

“以前壞人進步比較快，安全研究人員進步比較慢，是因為過去沒有情報共享和交換，更多的是單打獨斗，現(xiàn)在我們有很多共同的客戶，客戶也會進行驅動，希望這些信息和情報在企業(yè)和行業(yè)內部流轉，工作組主要的目的就是開展這種信息共享?！毖︿h說。

微步有哪些改變

在2015年創(chuàng)業(yè)伊始，薛鋒看好的是威脅情報的發(fā)展前景，更多的是看“這個事情重不重要、對不對、有沒有價值、大家的需求大不大。”

但究竟能落地到哪些具體的場景？到底要做什么產品？是硬件還是軟件？是SaaS還是API？這在當時都沒想清楚，創(chuàng)業(yè)的三年更多是實戰(zhàn)和落地的過程。

三年中，很多人認識微步是從下面這個搜索界面開始的， 一個名為 x.threatbook.cn 的情報社區(qū)。

去年底雷鋒網采訪薛鋒時，這個社區(qū)有幾萬注冊用戶，日活在幾千人左右，每天新情報的貢獻量保持在20萬~30萬條，而目前最新的數(shù)字是，每天能收到30萬到50萬條威脅信息。

以這些威脅信息為原料，會做成兩道菜，一是把壞人標記出來，到底有哪些IP在不停地干壞事，大家看要不要把這個IP加入黑名單。二是對這些信息進行再加工，盡可能的了解這次威脅事件的全貌。

雖然微步并未憑社區(qū)賺到錢，但圈內人都通過社區(qū)了解到了微步。

除了情報社區(qū)，從去年開始，他們開始考慮如何讓產品落地。推出了TDP、TIP 兩套系統(tǒng)，一套能對企業(yè)內部流量進行分析，并且結合外部搜集到的其他威脅情報，來綜合判斷威脅；另外一套則是幫助企業(yè)高效地管理威脅情報。

這解決了客戶的兩個疑問：到底誰在搞我？怎么搞的我？

憑借這兩套系統(tǒng)，他們拿下了國內金融、互聯(lián)網、能源等行業(yè)的眾多標桿客戶。

在大會現(xiàn)場，薛鋒也坦言，作為一家只成立3年的公司，產品肯定有不足的地方，他很感謝合作伙伴給了他們信任和試煉的機會，得以讓產品不斷完善。

從最早的搜索界面到 API，再到現(xiàn)在的軟硬件產品，他們一直在根據(jù)用戶的需求不斷的摸索產品形態(tài)，而未來，也將出現(xiàn)更多形態(tài)的產品。

目前，他們推出一款云沙箱(s.threatbook.cn)，特殊之處就是最終輸出的不僅是這個樣本在機器上的行為，更多的會基于基礎的東西來做更多的關聯(lián)分析，最后用于真實網絡環(huán)境的檢測。

除此之外，他們一直也在做有關威脅情報的報告，會針對國內外的黑客團伙進行追蹤和發(fā)現(xiàn)，在提供威脅監(jiān)測服務的同時，也會提供應急預案?，F(xiàn)在擺在企業(yè)的面前的，最缺的是信息安全人才，急需能夠處置不同的事件，包括對高復雜Case進行分析的人。而微步和他們提供的產品就是為了解決這個問題，提升安全運營效率，將復雜問題簡單化。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。