Yahoo奇摩新聞 
年度公司 | 年營收增速超150%,始於威脅情報的「微步在線」,未來會成為綜合型廠商嗎?
一家80%收入來自SaaS訂閱模式的安全公司意味著什麼?
這一成績在國外或許不稀奇。但在中國,眾多安全公司的服務對象以大型金融、能源、政企客戶為主,此類客戶對輕型服務的接受程度還存疑,所以大量安全公司的交付模式仍以重項目製為主。和SaaS整體的幾度浮沉一樣,安全領域中的中國公司想做到如上成績,並不容易。
不過,在一些特定的細分領域,SaaS火苗卻顯示出燎原之勢。本文的重點討論對象,成立於2015年的安全公司「微步在線」是一家以SaaS訂閱模式創造收入的企業。這家公司以威脅情報為基礎能力提供產品,這些產品中雖有軟硬件交付形式,但在收費模式上已做到按年訂閱制收費。
這和其具備的核心能力——威脅情報技術有著緊密關聯。關於「威脅情報」這一技術名詞,Gartner曾給出專業定義,它認為,威脅情報是某種基於證據的知識,包括上下文、機制、標示、含義和能夠執行的建議。這些知識與資產所面臨已有的或醞釀中的威脅或危害相關,可用於資產相關主體對威脅或危害的響應或處理決策提供信息支持。
簡單理解,威脅情報通過對大量相關數據積累和分析,在攻擊發生之前告知企業等防守方需要注意的方向,希望達到防患於未然的效果。這類持續輸出價值的數據類安全產品,是客戶接受度較高的SaaS產品。
站在行業特性之外,「微步在線」以威脅情報為基礎的產品化能力也值得研究。當前,國內威脅情報領域的參與者大致分為全棧型廠商和專精型廠商兩類,前者典型如「奇安信」、「安恆信息」、「綠盟科技」、「安天」等,而專精型廠商包括「微步在線」和「天際友盟」等。各家公司的路線並不相同,「微步在線」作為其中一家專精型廠商,圍繞威脅情報為技術內核進行產品化,這種業務走向也具備特殊性。
可以說,SaaS訂閱模式+產品化是「微步在線」作為威脅情報公司的特點。在本文中,我們將重點關注這家公司的產品特點、商業模式以及未來的想像力,並將其放在行業中討論,以期為讀者呈現以小見大的案例視角。
營收增長的秘密:從技術到產品化
知己知彼百戰百勝,這句話用在網絡攻防戰中也十分恰當。
在過去的慣常操作中,企業依據經驗構建防禦策略、部署產品,無法應對未發生的攻擊。但是經驗無法完整表達現在和未來安全狀況,而且攻擊手法和工具變化多樣,防禦永遠是在攻擊發生之後才產生的。簡而言之,依據已有的、並未及時更新的經驗,達不到知己知彼的目的。
所以,通過對海量大數據的監控,抽離出有意義的情報,雖不太可能百戰百勝,但可以儘量提前預知攻擊的發生,瞭解黑客的行為,這就是威脅情報的意義。
「好比警察抓小偷,傳統的模式是案件發生後根據壞人的特徵細節、作案方法去找到壞人。但是新模式下我們可以提前通過大數據對城市裡的一千萬人進行分析,並判斷出裡面有多少人是小偷。通過數據分析我們甚至可以預判出小偷即將下手的地點以及可能出現的作案方式。」「微步在線」創始人兼CEO薛鋒曾打過比方。
從美國到中國,威脅情報已發展數年,按照Gartner的成熟度曲線來看,該領域已經度過了所謂的「炒作期」。不過,一個有趣的問題是,為什麼中國市場內主攻威脅情報的專精型公司數量如此稀少?而這一問題的答案和行業特性分不開。
如今在行業內,除了「微步在線」、「天際友盟」等少量專攻威脅情報行業的公司,剩下提供威脅情報服務的公司多是綜合型廠商。如果簡單粗暴地從收益角度看,威脅情報需要高端數據和安全人才的持續投入,再加上所需的存儲計算資源,產品交付成本較高幾乎是必然,這是如今行業中專精型廠商不多的一個原因。
不同背景參與者選擇的路線也不盡相同。
36氪通過採訪業內人士瞭解到,對一些數據基礎充足的綜合型廠商而言,威脅情報的價值主要體現在解決內生需求上,即幫助其自身產品(如態勢感知、新型防火牆等)提升能力。
而獨立威脅情報公司的路徑粗略可分兩種,一種是專注直接輸出自身的分析能力,這種路線些許對應「沒有經過研判的數據不能稱之為情報」理念,其客戶也包括許多需要補充情報的安全廠商。第二種聚焦將威脅情報作為技術能力賦予產品,本著讓產品更好用的目的,主攻較大的客戶。如今,微步的客戶包括國家電網、中石油、工商銀行、小米、格力、京東、中信集團等來自能源、金融、智能製造、互聯網等行業的300+家大型企業客戶。在2019年中國淨利潤排名前20的企業中,有17家企業已經成為了微步在線的客戶,從客戶構成看得出來,微步的方式更偏後者。
在此前的採訪中,薛鋒曾數次提及,產品化是「微步在線」自B輪融資後產生的最大變化。他將威脅情報和延展的產品比喻為「電」和「電器」,「就好像我們以前是以電力資源為主的一家公司,現在我們做電燈、電瓶車等等應用。」他打比方介紹。這種舉措的考量來自客戶調研——無論是數據還是分析後產生的情報都非直接的產品,教育客戶成本較高,而且客戶難以直接買單。
於是從2016年開始,微步在線開始研發威脅感知平台(TDP)和本地威脅情報管理平台(TIP)。如今,微步在線已經打造「檢測-響應」產品矩陣——其旗下有三大主打產品線:威脅感知平台(TDP)、本地威脅情報管理平台(TIP)和OneDNS互聯網安全接入服務,三個產品覆蓋了全流量威脅檢測、本地化威脅情報管理和互聯網安全接入等多個安全檢測場景。另外還包括威脅情報檢測與分析API、開放威脅情報社區X、惡意軟件分析平台S、企業安全服務MDR、外部威脅監控服務OneRisk、終端威脅檢測與響應平台OneEDR等。
當直接的產品出現,客戶的買單效果也日漸提升。舉例而言,目前微步的產品中佔營收比例最大的是威脅感知平台(TDP),這一產品通過後台的威脅情報能力,通過檢測企業流量,幫助客戶分析和準確發現網絡安全中的威脅。據公司介紹,微步TDP已經成為大型企業,尤其是參與重保的標配。
財務數據也說明了產品化的必要——微步今年上半年的營收是去年同期的2.4倍,而過去幾年微步的營收均保持著150%以上的增速。在整體數據上,據36氪瞭解,今年公司的營收過億,計畫實現盈虧平衡甚至階段性盈利。
上市或是必然,SaaS訂閱模式創造利潤
作為一家已經走到D輪的安全公司,微步的上市計畫或許不是是否問題,而是早晚問題。
自從科創板推出之後,由於行業符合「新一代信息技術領域」,當前安全公司選擇科創板上市漸成風潮,已上市成功的有「奇安信」、「安恆信息」、「山石網科」等,流程中的公司有「信安世紀」、「齊治科技」,身份領域頭部公司「派拉軟件」也在不久前公佈進行科創板上市輔導的消息。
微步作為典型的安全公司,處於「新一代信息技術領域」,再加上今年威脅情報也被納入《中國禁止出口技術最新目錄》中,也意味著這一技術的價值被更高維度肯定。36氪瞭解到,目前也有一些券商看重其可能的「安全SaaS第一股」、「威脅情報第一股」名號。
而科創板雖對科技企業上市的標準更寬容,但對公司估值和收入也均有要求。目前微步的估值或許不是問題,下一步的重點應該還在財務表現。
在產品化之外,微步的做法是通過SaaS的方式,先解決客戶的共性需求,其次覆蓋企業用戶的新場景化需求,以儘量輕的方式提供服務,優化成本,提高服務和賺錢效率。
和市場認知不同的是,在威脅情報領域,大客戶已經接受了訂閱制的收費模式,這也和威脅情報的特性有關。威脅情報公司的核心是幫助客戶做數據分析,通過數據、建模分析出的結果會不斷通過雲端同步給客戶,客戶會不斷為其更新的數據分析結果買單,由此產品的價值得以不斷突顯。
當前微步也有軟硬件交付的產品,但薛鋒覺得,當前SaaS的核心不在於是否一定用硬件或軟件,還是在於產品是否足夠標準化,是否按月或年交費。當前微步有約80%的收入都來自訂閱制,並且由於是在幫助大型客戶持續做分析,並不是簡單的工具,所以用戶粘性較高,續約率達到95%左右。
在利潤維度上,由於硬件成本不斷攤薄,訂閱制讓微步每年的毛利率都在提升,現已至少達到80%以上。再加上服務付費力夠強的大客戶,微步的路線打破了SaaS只能服務中小客戶的認知。
如果問到服務大客戶的秘訣,除卻威脅情報產生的持續性價值,不可忽視的特點是微步服務客戶的方式。尤其在中國,軟件即服務並不意味著售賣了軟件就可以坐等收年費,如何用後續客戶服務留住客戶、提高軟件的附加價值,也是非常重要的因素。
薛鋒認為,「微步在線」做到近95%續約率,對「客戶成功」的重視起到關鍵作用。薛鋒透露,微步十分重視客戶成功和安全服務,客戶成功人員佔比約為營銷團隊的1/3,同時公司也將應急響應服務進行了產品化,無論是在平時,還是在重保活動期間,都能給企業客戶提供線上甚至駐場服務,這正是提高產品附加價值的手段。
判斷產品:數據為基,分析能力為王
如果商業模式可以決定一家公司走多遠,那麼產品力往往決定了公司的出發點,而數據能力和分析能力是判斷威脅情報質量的兩個基本維度。
1. 數據能力
有業內人士曾抽離出一個邏輯,把威脅情報看做是經過研判的安全信息,三者的關係為:安全基礎信息 + 研判 = 威脅情報,任何未經研判的安全信息,都不能稱之為「威脅情報」。如果要談及威脅情報領域中什麼樣的公司才算好公司?首先,和所有to B一樣,具備突出價值的產品才是基礎。信息/數據以及分析能力決定了威脅情報的價值。
所以,威脅情報的第一個基礎是數據,其深度、廣度、時效性是判斷的重要指標。數據之上,分析能力也十分必要,安全分析師的判斷能力,乃至從經驗抽離出的模型是否準確,是讓海量數據成為情報的前提條件,也對應上文的研判能力。這兩個核心決定了產品效果。
數據基礎或是微步的優勢之一。此前公司首席分析師曾介紹,在數據洩露的來源上,公司的覆蓋度遠超過同類很多產品。為了達到數據的深度和廣度,微步的監控範圍深入至論壇、網盤、暗網等,這保證了公司對數據基礎的覆蓋。當前,微步的安全雲能力覆蓋全球,具備PB級威脅情報知識圖譜,42億全球IP信譽與標籤情報數據,以及數百起大型攻擊事件畫像信息,數千個流行黑客工具、特徵等攻擊手法情報信息。當前,由於數據網的鋪開,其數據每分鐘都在持續增加、更新,由此形成更踏實的數據基礎。
當前業內一些公司也通過結盟的方式覆蓋更多的數據。比如烽火台威脅情報聯盟,目前成員有十餘家安全公司,在合作方式上,其官網顯示,要求聯盟內的基礎數據共享建立在國家法律法規要求及客戶保密協議的基礎上,基礎數據仍歸成員單位所有,聯合挖掘獲得的情報歸成員共有,成員單位可以自由使用,並共同進行推廣,收益按貢獻進行分配。
所以,威脅情報提供商不但使用自有數據採集源,並且會採取多種方式獲取其他情報數據源來豐富威脅情報數量,之後才對數據進行研判。
不過在現今的市場中,仍然存在部門之間、政府與企業之間資源共享不夠的問題,一方面是技術格式的問題,同時也會出於信任考慮。在未來網絡安全市場中,威脅情報數據來源的完善程度也會成為相關廠商競爭的關鍵之一。
2. 分析能力
有了海量數據的支持,分析能力也無法忽視。
前文提到,沒有經過分析的數據只是大量的信息而已,並不能成為情報。當前威脅情報數據的來源有自行採集、交換,採購等幾種方式,自行採集和採購屬於廠商的個體行為,交換行為的產生,是因為現在廠商覆蓋的客戶範圍有些許差異,各自具備優勢的數據維度也有所差異,交換可以幫廠商在一定程度上防止自身數據源覆蓋維度不夠的問題。
不過往更深層,此類現象或許也側面印證,數據的覆蓋只是衡量威脅情報全面性的一個指標。當前,或許沒有哪家廠商能聲稱自己的數據已涵蓋所有類型。所以,在全面性之外,客戶的最終需求是從海量情報中獲取自身需要的價值信息,即有效的威脅情報,威脅情報廠商的能力更體現在分析能力上。
此前在36氪的採訪中,薛鋒通過對比的方式提及分析能力的必要性,「比如同樣的兩組數據,可能別人看上去沒有大不同,但微步的人可以分析出來裡面的好壞,以及具體是怎麼好怎麼壞。微步的分析能力在國際和國內上都是領先的。」
模型的能力或許不言而喻。曾有業內人士提及,目前網絡安全公司每天收集到的報警信息量級在上百萬個日誌事件和數十萬個指標的數據。這種情況對於威脅情報分析師而言過於複雜,完成每天的分析工作已經無法僅通過人力實現。
當前威脅情報實際應用中,有些客戶還對此類技術的效果存疑,其中的一大原因正是一些廠商將數據和情報的效果混淆,客戶無法從中獲得精確可用的信息。
導致這種情況的原因有二,第一是意識問題,一些廠商可能將情報分析的重點放在信息採集和感知技術方面,較少關注分析的質量,未對情報本身進行充分分析;第二,當前安全從業人員的短缺已成為業內共識。有專家曾在早前預測,2020年網絡安全人才缺口將達到140萬。而威脅情報領域對安全人才的要求更高,需要他們既熟悉情報分析理論又能熟練使用大數據分析方法、工具並且擁有較充足的分析經驗,專業情報分析人員數量不足也會影響威脅情報分析的質量。
數據量複雜加上人力短缺,所以相關公司需通過儘量自動化的方式開展工作。當前,基於對威脅情報的理解,「微步在線」已研發出近百個模型,在經驗的基礎上基於大數據分析、知識圖譜、機器學習、人工智能及其他技術完成對海量數據的快速準確分析、針對性識別和安全防範建議。
客戶在採購這類產品時,在技術上最看重的衡量標準是檢出率和誤報率,即誰發現的多和誰發現的准。
這兩個指標聽似分別和數據量、分析能力掛鉤,但薛鋒介紹,在現實情況下,多和准兩個指標並不是割裂的,「經常的情況是一家廠商可以做到既多又准,因為這兩個指標都是廠商分析後得到的結果,整體分析能力的高低決定了這兩個維度的表現」,而微步的分析能力得益於團隊背景、模型研發能力和情報的積累程度。根據介紹,微步的產品由於數據+算法驅動,情報準確率已經大於99.9%。
模型研發能力和情報積累程度有著相輔相成關係。走規模化路線對威脅情報廠商有著促進作用——廠商在一個行業內覆蓋的客戶量級越多,越能理解業務,也越可以提供有價值的情報,並且廠商也可以在客戶同意的情況下將情報共享給其他公司,以產生客戶價值循環。前文提到,目前微步在線已經服務了300+家大型企業客戶。
「情報本身有網絡效應。我們的客戶很受益於這張網絡。」薛鋒曾說。
未來:從威脅情報衍生至全棧能力?
當前在專注威脅情報的公司中,微步的產品線是較全面的——從2015年發佈X情報社區開始,其在2017年至2019年期間推出了TDP、TIP、雲沙箱、OneDNS等一系列產品。有業內人士認為,技術成本加上產品線的完善,微步的成本支出可能比同業更多。不過,或許也正是這種不斷延展產品的方式讓微步產生更大的想像力。
前文提到,如今一些在威脅情報市場中佔有一席之地的綜合型廠商,會以情報為基礎提升自身各產品能力。微步的未來或許也能達到這種效果,只不過其路徑是先從威脅情報出發,再完善產品線。
這種路線在國外已有例證,比如前文提到的CrowdStrike,該公司成立於2011年,於2012-2013年推出威脅情報服務Falcon X及終端檢測與響應(EDR)產品Falcon Insight,後不斷增設產品線,並於今年推出PaaS安全平台CrowdStrike Store,構建了終端安全產品+威脅情報服務+專家服務。目前其市值已近400億美元,是全世界市值最高的網絡安全企業。
從戰略端,這樣做的益處很明顯——目前單純威脅情報市場並不算大,一家威脅情報公司如果可以將產品線不斷延展,並拓展至終端安全、郵件安全等更多領域,也必然做進了更大的市場,將來的想像力是當前無法匹敵的。
那麼接下來的一個問題是,當前這些分屬不同細分市場的產品已有入局者,微步從威脅情報切入的優勢是什麼?
Gartner曾指出,威脅情報通常是安全產品的差異化因素和能力核心。例如防火牆和統一威脅管理(UTM)系統、入侵檢測和防禦(IDP)、SWG和安全電子郵件網關(SEG)、端點保護(EPP)、Web應用防火牆(WAF)、還有分佈式拒絕服務攻擊防禦產品(DDoS)、安全信息和事件管理(SIEM)、漏洞管理、安全協調、MSS、託管檢測和響應等。SANS的數據也顯示有82%的企業會把SIEM系統和威脅情報一起用,77%的企業會用情報輔助網絡流量檢測系統。這些現象或許意味著,以強大威脅情報能力為內核的安全產品,在產品能力上更可能得到保障。
然而不可忽視,目前國內的綜合型安全廠商不少,大廠的數據覆蓋面、品牌、拿單能力、可支配現金以及客戶資源均積累已久。倘若微步的終局也是較綜合路線,其威脅情報內核或是一個壁壘,除此之外,如何在以上維度和大廠PK,也是一個值得關注的話題。
不過,「競爭」的B面也可以是合作。畢竟在2018年,微步聯合阿里雲發佈了公有雲威脅情報服務。這種利用雙方既有優勢一起探索創新產品的形式,也較適合具備新型技術基因的安全公司。
整體而言,當前「微步在線」還被視作威脅情報公司,但從各種線索推斷,其最終或會成為以威脅情報為核心的全棧型廠商。而威脅情報作為安全產品的基礎技術能力,技術的落地故事也會增添新可能。
原創文章,作者:真梓。
本文經授權發布,不代表36氪立場。
如若轉載請註明出處。來源出處:36氪
