微步在线:半年融资8亿,综合型网络安全“新贵”诞生

2021年3月17日,微步在线宣布完成E轮5亿元人民币融资,此轮由CPE源峰领投,老股东云晖资本等继续跟投。

微步在线创始人兼CEO 薛锋

此前,微步在线于2020年9月完成了3亿元人民币的D轮融资。

从D轮到E轮累积8亿融资规模,微步在线仅用了半年时间,从公开统计数据来看,这是近几年国内安全领域非上市公司中融资额度最高的一家。

在宣布融资当天,微步在线介绍了重点产品TDP(基于网络流量检测的威胁感知平台)的新功能和一款全新的EDR产品——OneEDR(主机威胁检测响应平台),并通过将TDP与OneEDR方案在内核级别实现结合,形成“流量+端点”的检测响应模式,向XDR(扩展的检测和响应)方向迈出了重要一步。

作为一家成立不到6年的新一代网络安全公司,微步在线以亮眼的融资记录,一次次刷新着国内网络安全领域投融资的新高。

这让人不禁好奇,微步在线凭什么获得多家知名投资机构的追捧,又被资本认定为国内网络安全的“新贵”?

构建以XDR为核心的综合安全能力

调研机构Gartner在2017年的时候指出,未来五年企业网络安全投入的重心将从阻断(Prevent)向检测(Detect)和响应(Response)倾斜。

微步在线CEO薛锋也多次在公开演讲中提到,检测技术是一种核心技术,将在未来的安全方面发挥重要作用,而且情报驱动的安全检测和响应体系将是大势所趋。

2019年,微步在线给自己的目标定位是要做“威胁发现和响应专家”,业务重点从威胁情报向威胁检测和响应倾斜,具体到微步在线的产品重点,就是从威胁情报检测API向威胁感知平台TDP倾斜。

而在2021年,随着其终端检测响应产品OneEDR的推出,威胁检测和响应能力进一步增强,意味着微步在线向XDR迈出了一大步。

那么,到底什么是XDR?微步在线为何要迈向XDR呢?

在Gartner《Innovation Insight for Extended Detection and Response》报告中,XDR被描述为安全威胁检测和事件响应SaaS工具,它从终端、流量、蜜罐、网关等处发现网络威胁,并与云端威胁情报、签名、规则库、特征库等数据进行联动比对,通过机器学习等技术,过滤数据噪声,减少误报和漏报,将告警自动聚合为完整安全事件,并实现一键处置。

目前,XDR市场仍处于发展的早期阶段,市场相对混乱,但要认识到,XDR不仅是一种具体的技术,更是一种方法。它将多种技术能力集成,同时也加入了高级分析能力,以此提高威胁检测和响应的速度,实际表现会优于把一个个独立安全工具组合的方式。

而微步在线正是将TDP和OneEDR两个产品以XDR的方式进行融合,这种融合可以被称之为“内核级”的融合,是一种比常规组合更深入的融合方式。

具体而言,微步在线的TDP,作为一种NDR(网络检测与响应)服务,提供网络流量的监测,它可以作为防火墙和DNS解析等安全措施的一个补充。当前者失效,NDR的流量检测能力可以通过网络攻击的行进路线来判断分析。

但仅有NDR也是不够的。如果攻击突破了NDR,也就是突破了网络流量层的层层把关,进入到服务器、PC等终端设备,NDR是无法知道攻击者在设备内做了什么。

而EDR作为端点的检测与响应服务,则能够在服务器和PC这类终端内部,做安全的检测与响应。这也是此次微步在线重点推出OneEDR产品的原因之一。

微步在线OneEDR业务负责人陈杰表示,主机安全是企业安全的最后屏障,OneEDR可提供全面、精准、可溯源的主机威胁检测,具有检测精准度高、资源占用少、可视化能力强等优势。其中,入侵事件检出率达99%,在业界处于顶尖水平。

  微步在线OneEDR业务负责人 陈杰

当微步在线将TDP与OneEDR结合,正是将网络流量监测和端点监测两部分联动起来,两者能相互告知已获得的告警和敏感行为。如果TDP和OneEDR都发现了一个低风险告警,那联动起来就有可能是一个高风险告警,这是任何单一一种分析手段都无法作出的判断。

值得注意的是,目前市场上大多数NDR和EDR联动的产品,同样做不到这一点。

据微步在线技术合伙人&TDP产品负责人赵林林介绍,其主要原因在于“一般NDR和EDR的联动,只能做到两者互为彼此的眼睛,但却无法使用同一个大脑来分析”。

而微步在线实现的联动,不仅能让两者共享数据,还能在分析层面参照两方面的信息,其背后正是微步在线强大的“云安全大脑”——基于海量数据和分析的情报引擎。

微步在线技术合伙人&TDP产品负责人 赵林林

可以看到,深度融合了NDR和EDR能力的XDR,其实也是一种综合的、高纬度的分析能力,最大的价值在于让安全人员对威胁的认知视角从“一维”进化到“多维”。

目前,微步在线旗下的基于网络流量检测的威胁感知平台TDP、主机威胁检测响应产品OneEDR、互联网安全接入服务OneDNS、本地多源威胁情报管理平台TIP等产品,共同构成微步在线的“云+流量+端点”威胁检测响应产品矩阵,为全面迈向XDR打下了坚持基础。

薛锋表示,考虑到XDR的内涵非常丰富,XDR的“X”包含所有对检测有帮助的技术或者是产品,未来微步在线的XDR方案中还会加入更多产品技术,并且与场景进行深入融合,因此融合的过程还会持续很长时间,这也将成为微步在线长期的业务方向。

一直以来,微步在线都是国内威胁情报领域的代表厂商,但现在看来,这种标签化的认识对于微步在线来说有些片面。

从微步在线布局XDR的方向不难看出,威胁情报只是微步在线的底层核心能力,围绕“安全检测和响应”横向发展的业务路线,成为一家综合型的网络安全企业,才是微步在线真正的野心所在。

引领安全行业SaaS服务的新模式

作为新一代的信息安全厂商,微步在线在许多时候都需要和市场上大体量的安全厂商正面竞争。在竞争中,能拼的只有过硬的技术和产品。

在此次发布会上,薛锋分享了微步在线的四个关键数据:一是有300多家大企业用户,二是平均年增长率高达130%,三是PoC胜率高达95%,四是客户续约率高达95%。

数量可观的大客户和高速增长的业绩,足以说明微步在线这些年的迅猛发展。不过更让资本感兴趣的是微步在线的商业模式。

微步在线是国内最早一批尝试以SaaS模式提供安全服务的厂商,通过机器学习和大数据的数据分析能力,以SaaS的方式持续不断向用户输出实时性更强的安全服务,也就是所谓SECaaS(安全即服务)模式。

在国外市场,SECaaS模式已经不是新鲜概念。全球最大的五家网络安全公司中,有四家都是SaaS服务,其市场体量比国内最大的安全企业还要大得多,如:CrowdStrike, Okta, Cloudflare, Zscaler等。其中,成立于2011年的CrowdStrike,目前市值约为300亿美元。

尽管SaaS被业界认为是网络安全服务发展的必然趋势,但早期国内对于SaaS化的安全服务接受度并不高,企业普遍习惯一次性购买的方式,对于SaaS订阅续费的模式感觉很陌生。

随着近几年数字化应用的快速兴起和持续的市场教育,薛锋表示,微步在线的用户群里确实有许多接受了SaaS模式,并成为了微步在线SaaS服务的“铁杆粉丝”,愿意向微步在线共享一部分脱敏数据,以获得强化后的威胁检测和响应服务能力。

迎难而上的微步在线,可以说在一定程度上引领了中国安全行业向云化SaaS发展的潮流。

除此之外,健康的业务数据也是微步在线吸引资本的重要原因。要知道SaaS产品成功最重要的指标就是客户续费率,只有客户持续续费,SaaS模式才有商业价值。

以国外的CrowdStrike为例,2019年,其订阅服务收入占比为88%,营收留存率达98%,净留存率为124%。

作为一款价格不低的SaaS服务,微步在线能在国内保持95%的续约率,无论是在网络安全行业,还是在整个SaaS领域,这一数据都堪称黄金比率。超高的续约率,充分说明了用户对其技术和服务的认可。

作为一个SaaS服务商,微步在线无疑是非常成功的。

从产品路线和产品构成上来看,微步在线与CrowdStrike的路线也有许多相似之处。

CrowdStrike先是推出了威胁情报服务Falcon X及终端检测与响应(EDR)产品 Falcon Inshight,而后又构建了终端安全产品+威胁情报服务+专家服务,即SaaS + PaaS的完整安全生态。

微步在线也是构建了终端安全产品+威胁情报服务+专家服务三种服务,而且基于SaaS的服务模式也取得了较好的市场反应。CrowdStrike这类上市企业的成功,无疑为微步在线的未来发展留下了很大的想象空间。

值得注意的是,2020年是极为特殊的一年,疫情突发使得许多企业都收紧了财务开支。然而在这一年,微步在线依然通过高速增长证明了它的“市场韧性”。

同时,考虑到SaaS模式本身可以快速部署、快速复制的特点,微步在线天然拥有大规模业务拓展的潜力,这也就不难理解为何微步在线能获得大批投资机构的青睐。

追求实战化效果的新转变

近年来,国家层面通过立法来加强网络安全管理,行业监管方面对于企业安全建设也有了更高要求,企业自身对于安全的意识也在不断提升。在刚刚结束的全国两会上,国家对于个人信息保护方面也提出了更多要求。

在这样的趋势下,国内许多企业对于安全的认识也在发生转变,从原来单纯为了满足合规性要求而做安全,开始转变为真正关注安全的实用价值。

相较于国内很多安全产品还停留在“合规化”阶段,微步在线从一开始就聚焦在“实战化”的效果上。

据赵林林介绍,以前国内有许多安全产品都是服务于企业管理者的,而不是安全管理人员。这类产品更重视华丽的大屏展示能力,而不重视安全人员需要的检测响应能力。

微步在线做的是许多厂商以前并不愿意花力气去做的事情——从千万条无用的告警信息中,精准找出威胁所在,全面提高威胁检测和响应的能力。

对于如今关注实战效果的企业而言,微步在线显然能够发挥出最大的价值。

作为成立于2015年的网络安全公司,微步在线在发展初期最为突出的优势,就是威胁检测的准确率奇高。从上文提到的POC胜率95%就能看到,微步在线的方案能真正帮用户发现企业的存在的安全问题,让用户从安全的表象下发现问题。

据薛锋介绍,微步在线在很多政府部门、金融企业、大型制造企业,甚至在包括滴滴、京东等大型互联网公司中部署的过程中,经常可以帮助用户发现很多安全问题,在用户的攻防演习中也能直观看到明显的效果,因此用户对于微步在线的方案有很高的认可度。

此外,微步在线的服务也有助于解决部分用户对于安全领域的错误认知。由于安全产品的价值很难被量化,以至于很多企业不愿为安全产品买单,只有真正意识到安全上存在的问题,才可能转化为安全产品的购买力。

在全面迈向XDR之后,具备综合安全能力的微步在线,将更容易向用户展现“实战化”的效果。可以预见,这类数量庞大、具备新安全认知的企业,将成为微步在线潜在的客户群体。

结语

近年来,我国网络安全产业促进政策的不断加码、产品体系的逐步完善、生态建设的持续推进,都为产业发展提供了良好的环境。

根据中国信通院统计测算,2019年我国网络安全产业规模达到1563.59亿元,预计2020年产业规模约为1702亿元。

按照工信部此前发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》的要求,网络安全行业发展目标是:到2025年,培育形成一批年营收超过20亿元的网络安全企业,形成若干具有国际竞争力的网络安全骨干企业,网络安全产业规模超过2000亿元。

随着国内安全市场的发展和用户对于安全的重视,像微步在线这类采用新一代技术,并能迎合安全实战性需求的安全公司,毫无疑问更容易获得资本和市场的认可。在技术领先、业务健康、现金流充沛等多项优势下,微步在线成为一家综合型网络安全企业指日可待。