微步在线半年融资8亿,综合型网络安全新 [复制链接]

来源：金融界网

　　年3月17日，微步在线宣布完成E轮5亿元人民币融资，此轮由CPE源峰领投，老股东云晖资本等继续跟投。

　　微步在线创始人兼CEO薛锋

　　此前，微步在线于年9月完成了3亿元人民币的D轮融资。

　　从D轮到E轮累积8亿融资规模，微步在线仅用了半年时间，从公开统计数据来看，这是近几年国内安全领域非上市公司中融资额度最高的一家。

　　在宣布融资当天，微步在线介绍了重点产品TDP（基于网络流量检测的威胁感知平台）的新功能和一款全新的EDR产品——OneEDR（主机威胁检测响应平台），并通过将TDP与OneEDR方案在内核级别实现结合，形成“流量+端点”的检测响应模式，向XDR（扩展的检测和响应）方向迈出了重要一步。

　　作为一家成立不到6年的新一代网络安全公司，微步在线以亮眼的融资记录，一次次刷新着国内网络安全领域投融资的新高。

　　这让人不禁好奇，微步在线凭什么获得多家知名投资机构的追捧，又被资本认定为国内网络安全的“新贵”？

　　构建以XDR为核心的综合安全能力

　　调研机构Gartner在年的时候指出，未来五年企业网络安全投入的重心将从阻断（Prevent）向检测（Detect）和响应（Response）倾斜。

　　微步在线CEO薛锋也多次在公开演讲中提到，检测技术是一种核心技术，将在未来的安全方面发挥重要作用，而且情报驱动的安全检测和响应体系将是大势所趋。

　　年，微步在线给自己的目标定位是要做“威胁发现和响应专家”，业务重点从威胁情报向威胁检测和响应倾斜，具体到微步在线的产品重点，就是从威胁情报检测API向威胁感知平台TDP倾斜。

　　而在年，随着其终端检测响应产品OneEDR的推出，威胁检测和响应能力进一步增强，意味着微步在线向XDR迈出了一大步。

　　那么，到底什么是XDR？微步在线为何要迈向XDR呢?

　　在Gartner《InnovationInsightforExtendedDetectionandResponse》报告中，XDR被描述为安全威胁检测和事件响应SaaS工具，它从终端、流量、蜜罐、网关等处发现网络威胁，并与云端威胁情报、签名、规则库、特征库等数据进行联动比对，通过机器学习等技术，过滤数据噪声，减少误报和漏报，将告警自动聚合为完整安全事件，并实现一键处置。

　　目前，XDR市场仍处于发展的早期阶段，市场相对混乱，但要认识到，XDR不仅是一种具体的技术，更是一种方法。它将多种技术能力集成，同时也加入了高级分析能力，以此提高威胁检测和响应的速度，实际表现会优于把一个个独立安全工具组合的方式。

　　而微步在线正是将TDP和OneEDR两个产品以XDR的方式进行融合，这种融合可以被称之为“内核级”的融合，是一种比常规组合更深入的融合方式。

　　具体而言，微步在线的TDP，作为一种NDR（网络检测与响应）服务，提供网络流量的监测，它可以作为防火墙和DNS解析等安全措施的一个补充。当前者失效，NDR的流量检测能力可以通过网络攻击的行进路线来判断分析。

　　但仅有NDR也是不够的。如果攻击突破了NDR，也就是突破了网络流量层的层层把关，进入到服务器、PC等终端设备，NDR是无法知道攻击者在设备内做了什么。

　　而EDR作为端点的检测与响应服务，则能够在服务器和PC这类终端内部，做安全的检测与响应。这也是此次微步在线重点推出OneEDR产品的原因之一。

　　微步在线OneEDR业务负责人陈杰表示，主机安全是企业安全的最后屏障，OneEDR可提供全面、精准、可溯源的主机威胁检测，具有检测精准度高、资源占用少、可视化能力强等优势。其中，入侵事件检出率达99%，在业界处于顶尖水平。

　　微步在线OneEDR业务负责人陈杰

　　当微步在线将TDP与OneEDR结合，正是将网络流量监测和端点监测两部分联动起来，两者能相互告知已获得的告警和敏感行为。如果TDP和OneEDR都发现了一个低风险告警，那联动起来就有可能是一个高风险告警，这是任何单一一种分析手段都无法作出的判断。

　　值得注意的是，目前市场上大多数NDR和EDR联动的产品，同样做不到这一点。

　　据微步在线技术合伙人TDP产品负责人赵林林介绍，其主要原因在于“一般NDR和EDR的联动，只能做到两者互为彼此的眼睛，但却无法使用同一个大脑来分析”。

　　而微步在线实现的联动，不仅能让两者共享数据，还能在分析层面参照两方面的信息，其背后正是微步在线强大的“云安全大脑”——基于海量数据和分析的情报引擎。

　　微步在线技术合伙人TDP产品负责人赵林林

　　可以看到，深度融合了NDR和EDR能力的XDR，其实也是一种综合的、高纬度的分析能力，最大的价值在于让安全人员对威胁的认知视角从“一维”进化到“多维”。

　　目前，微步在线旗下的基于网络流量检测的威胁感知平台TDP、主机威胁检测响应产品OneEDR、互联网安全接入服务OneDNS、本地多源威胁情报管理平台TIP等产品，共同构成微步在线的“云+流量+端点”威胁检测响应产品矩阵，为全面迈向XDR打下了坚持基础。

　　薛锋表示，考虑到XDR的内涵非常丰富，XDR的“X”包含所有对检测有帮助的技术或者是产品，未来微步在线的XDR方案中还会加入更多产品技术，并且与场景进行深入融合，因此融合的过程还会持续很长时间，这也将成为微步在线长期的业务方向。

　　一直以来，微步在线都是国内威胁情报领域的代表厂商，但现在看来，这种标签化的认识对于微步在线来说有些片面。

　　从微步在线布局XDR的方向不难看出，威胁情报只是微步在线的底层核心能力，围绕“安全检测和响应”横向发展的业务路线，成为一家综合型的网络安全企业，才是微步在线真正的野心所在。

　　引领安全行业SaaS服务的新模式

　　作为新一代的信息安全厂商，微步在线在许多时候都需要和市场上大体量的安全厂商正面竞争。在竞争中，能拼的只有过硬的技术和产品。

　　在此次发布会上，薛锋分享了微步在线的四个关键数据：一是有多家大企业用户，二是平均年增长率高达%，三是PoC胜率高达95%，四是客户续约率高达95%。

　　数量可观的大客户和高速增长的业绩，足以说明微步在线这些年的迅猛发展。不过更让资本感兴趣的是微步在线的商业模式。

　　微步在线是国内最早一批尝试以SaaS模式提供安全服务的厂商，通过机器学习和大数据的数据分析能力，以SaaS的方式持续不断向用户输出实时性更强的安全服务，也就是所谓SECaaS（安全即服务）模式。

　　在国外市场，SECaaS模式已经不是新鲜概念。全球最大的五家网络安全公司中，有四家都是SaaS服务，其市场体量比国内最大的安全企业还要大得多，如：CrowdStrike,Okta,Cloudflare,Zscaler等。其中，成立于年的CrowdStrike，目前市值约为亿美元。

　　尽管SaaS被业界认为是网络安全服务发展的必然趋势，但早期国内对于SaaS化的安全服务接受度并不高，企业普遍习惯一次性购买的方式，对于SaaS订阅续费的模式感觉很陌生。

　　随着近几年数字化应用的快速兴起和持续的市场教育，薛锋表示，微步在线的用户群里确实有许多接受了SaaS模式，并成为了微步在线SaaS服务的“铁杆粉丝”，愿意向微步在线共享一部分脱敏数据，以获得强化后的威胁检测和响应服务能力。

　　迎难而上的微步在线，可以说在一定程度上引领了中国安全行业向云化SaaS发展的潮流。

　　除此之外，健康的业务数据也是微步在线吸引资本的重要原因。要知道SaaS产品成功最重要的指标就是客户续费率，只有客户持续续费，SaaS模式才有商业价值。

　　以国外的CrowdStrike为例，年，其订阅服务收入占比为88%，营收留存率达98%，净留存率为%。

　　作为一款价格不低的SaaS服务，微步在线能在国内保持95%的续约率，无论是在网络安全行业，还是在整个SaaS领域，这一数据都堪称黄金比率。超高的续约率，充分说明了用户对其技术和服务的认可。

　　作为一个SaaS服务商，微步在线无疑是非常成功的。

　　从产品路线和产品构成上来看，微步在线与CrowdStrike的路线也有许多相似之处。

　　CrowdStrike先是推出了威胁情报服务FalconX及终端检测与响应(EDR)产品FalconInshight，而后又构建了终端安全产品+威胁情报服务+专家服务，即SaaS+PaaS的完整安全生态。

　　微步在线也是构建了终端安全产品+威胁情报服务+专家服务三种服务，而且基于SaaS的服务模式也取得了较好的市场反应。CrowdStrike这类上市企业的成功，无疑为微步在线的未来发展留下了很大的想象空间。

　　值得注意的是，年是极为特殊的一年，疫情突发使得许多企业都收紧了财务开支。然而在这一年，微步在线依然通过高速增长证明了它的“市场韧性”。

　　同时，考虑到SaaS模式本身可以快速部署、快速复制的特点，微步在线天然拥有大规模业务拓展的潜力，这也就不难理解为何微步在线能获得大批投资机构的青睐。

　　追求实战化效果的新转变

　　近年来，国家层面通过立法来加强网络安全管理，行业监管方面对于企业安全建设也有了更高要求，企业自身对于安全的意识也在不断提升。在刚刚结束的全国两会上，国家对于个人信息保护方面也提出了更多要求。

　　在这样的趋势下，国内许多企业对于安全的认识也在发生转变，从原来单纯为了满足合规性要求而做安全，开始转变为真正
　　相较于国内很多安全产品还停留在“合规化”阶段，微步在线从一开始就聚焦在“实战化”的效果上。

　　据赵林林介绍，以前国内有许多安全产品都是服务于企业管理者的，而不是安全管理人员。这类产品更重视华丽的大屏展示能力，而不重视安全人员需要的检测响应能力。

　　微步在线做的是许多厂商以前并不愿意花力气去做的事情——从千万条无用的告警信息中，精准找出威胁所在，全面提高威胁检测和响应的能力。

　　对于如今
　　作为成立于年的网络安全公司，微步在线在发展初期最为突出的优势，就是威胁检测的准确率奇高。从上文提到的POC胜率95%就能看到，微步在线的方案能真正帮用户发现企业的存在的安全问题，让用户从安全的表象下发现问题。

　　据薛锋介绍，微步在线在很多政府部门、金融企业、大型制造企业，甚至在包括滴滴、京东等大型互联网公司中部署的过程中，经常可以帮助用户发现很多安全问题，在用户的攻防演习中也能直观看到明显的效果，因此用户对于微步在线的方案有很高的认可度。

　　此外，微步在线的服务也有助于解决部分用户对于安全领域的错误认知。由于安全产品的价值很难被量化，以至于很多企业不愿为安全产品买单，只有真正意识到安全上存在的问题，才可能转化为安全产品的购买力。

　　在全面迈向XDR之后，具备综合安全能力的微步在线，将更容易向用户展现“实战化”的效果。可以预见，这类数量庞大、具备新安全认知的企业，将成为微步在线潜在的客户群体。

　　结语

　　近年来，我国网络安全产业促进政策的不断加码、产品体系的逐步完善、生态建设的持续推进，都为产业发展提供了良好的环境。

　　根据中国信通院统计测算，年我国网络安全产业规模达到.59亿元，预计年产业规模约为亿元。

　　按照工信部此前发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》的要求，网络安全行业发展目标是：到年，培育形成一批年营收超过20亿元的网络安全企业，形成若干具有国际竞争力的网络安全骨干企业，网络安全产业规模超过亿元。

　　随着国内安全市场的发展和用户对于安全的重视，像微步在线这类采用新一代技术，并能迎合安全实战性需求的安全公司，毫无疑问更容易获得资本和市场的认可。在技术领先、业务健康、现金流充沛等多项优势下，微步在线成为一家综合型网络安全企业指日可待。