年度公司 | 年营收增速超150%始于威胁情报的「微步在线」未来会成为综合型厂商吗？

这一成绩在国外或许不稀奇。

但在中国，浩瀚安全公司的做事工具以大型金融、能源、政企客户为主，此类客户对轻型做事的接管程度还存疑，以是大量安全公司的交付模式仍以重项目制为主。
和SaaS整体的几度浮沉一样，安全领域中的中国公司想做到如上成绩，并不随意马虎。

不过，在一些特定的细分领域，SaaS火苗却显示出燎原之势。
本文的重点谈论工具，成立于2015年的安全公司「微步在线」是一家以SaaS订阅模式创造收入的企业。
这家公司以威胁情报为根本能力供应产品，这些产品中虽有软硬件交付形式，但在收费模式上已做到按年订阅制收费。

这和其具备的核心能力——威胁情报技能有着紧密关联。
关于“威胁情报”这一技能名词，Gartner曾给出专业定义，它认为，威胁情报是某种基于证据的知识，包括高下文、机制、标示、含义和能够实行的建议。
这些知识与资产所面临已有的或酝酿中的威胁或危害干系，可用于资产干系主体对威胁或危害的相应或处理决策供应信息支持。

大略理解，威胁情报通过对大量干系数据积累和剖析，在攻击发生之前奉告企业等防守方须要把稳的方向，希望达到防患于未然的效果。
这类持续输出代价的数据类安全产品，是客户接管度较高的SaaS产品。

站在行业特性之外，「微步在线」以威胁情报为根本的产品化能力也值得研究。
当前，海内威胁情报领域的参与者大致分为全栈型厂商和专精型厂商两类，前者范例如「奇安信」、「安恒信息」、「绿盟科技」、「安天」等，而专精型厂商包括「微步在线」和「天涯友盟」等。
各家公司的路线并不相同，「微步在线」作为个中一家专精型厂商，环绕威胁情报为技能内核进行产品化，这种业务走向也具备分外性。

可以说，SaaS订阅模式+产品化是「微步在线」作为威胁情报公司的特点。
在本文中，我们将重点关注这家公司的产品特点、商业模式以及未来的想象力，并将其放在行业中谈论，以期为读者呈现以小见大的案例视角。

营收增长的秘密：从技能到产品化

心腹知彼百战百胜，这句话用在网络攻防战中也十分恰当。

在过去的惯常操作中，企业依据履历构建防御策略、支配产品，无法应对未发生的攻击。
但是履历无法完全表达现在和未来安全状况，而且攻击手腕和工具变革多样，防御永久是在攻击发生之后才产生的。
简而言之，依据已有的、并未及时更新的履历，达不到心腹知彼的目的。

以是，通过对海量大数据的监控，抽离出故意义的情报，虽不太可能百战百胜，但可以只管即便提前预知攻击的发生，理解黑客的行为，这便是威胁情报的意义。

“好比警察抓小偷，传统的模式是案件发生后根据坏人的特色细节、作案方法去找到坏人。
但是新模式下我们可以提前通过大数据对城市里的一千万人进行剖析，并判断出里面有多少人是小偷。
通过数据剖析我们乃至可以预判出小偷即将下手的地点以及可能涌现的作案办法。
”「微步在线」创始人兼CEO薛锋曾打过比方。

从美国到中国，威胁情报已发展数年，按照Gartner的成熟度曲线来看，该领域已经度过了所谓的“炒作期”。
不过，一个有趣的问题是，为什么中国市场内主攻威胁情报的专精型公司数量如此稀少？而这一问题的答案和行业特性分不开。

如今在行业内，除了「微步在线」、「天涯友盟」等少量专攻威胁情报行业的公司，剩下供应威胁情报做事的公司多是综合型厂商。
如果大略粗暴地从收益角度看，威胁情报须要高端数据和安全人才的持续投入，再加上所需的存储打算资源，产品交付本钱较高险些是一定，这是如今行业中专精型厂商不多的一个缘故原由。

不同背景参与者选择的路线也不尽相同。

36氪通过采访业内人士理解到，对一些数据根本充足的综合型厂商而言，威胁情报的代价紧张表示在办理内生需求上，即帮助其自身产品（如态势感知、新型防火墙等）提升能力。

而独立威胁情报公司的路径粗略可分两种，一种是专注直接输出自身的剖析能力，这种路线些许对应“没有经由研判的数据不能称之为情报”理念，其客户也包括许多须要补充情报的安全厂商。
第二种聚焦将威胁情报作为技能能力授予产品，本着让产品更好用的目的，主攻较大的客户。
如今，微步的客户包括国家电网、中石油、工商银行、小米、格力、京东、中信集团等来自能源、金融、智能制造、互联网等行业的300+家大型企业客户。
在2019年中国净利润排名前20的企业中，有17家企业已经成为了微步在线的客户，从客户构成看得出来，微步的办法更偏后者。

在此前的采访中，薛锋曾数次提及，产品化是「微步在线」自B轮融资后产生的最大变革。
他将威胁情报和延展的产品比喻为“电”和“电器”，“就彷佛我们以前因此电力资源为主的一家公司，现在我们做电灯、电瓶车等等运用。
”他打比方先容。
这种举措的考量来自客户调研——无论是数据还是剖析后产生的情报都非直接的产品，教诲客户本钱较高，而且客户难以直接买单。

于是从2016年开始，微步在线开始研发威胁感知平台（TDP）和本地威胁情报管理平台（TIP）。
如今，微步在线已经打造“检测-相应”产品矩阵——其旗下有三大主打产品线：威胁感知平台（TDP）、本地威胁情报管理平台（TIP）和OneDNS互联网安全接入做事，三个产品覆盖了全流量威胁检测、本地化威胁情报管理和互联网安全接入等多个安全检测场景。
其余还包括威胁情报检测与剖析API、开放威胁情报社区X、恶意软件剖析平台S、企业安全做事MDR、外部威胁监控做事OneRisk、终端威胁检测与相应平台OneEDR等。

当直接的产品涌现，客户的买单效果也日渐提升。
举例而言，目前微步的产品中占营收比例最大的是威胁感知平台（TDP），这一产品通过后台的威胁情报能力，通过检测企业流量，帮助客户剖析和准确创造网络安全中的威胁。
据公司先容，微步TDP已经成为大型企业，尤其是参与重保的标配。

财务数据也解释了产品化的必要——微步今年上半年的营收是去年同期的2.4倍，而过去几年微步的营收均保持着150%以上的增速。
在整体数据上，据36氪理解，今年公司的营收过亿，操持实现盈亏平衡乃至阶段性盈利。

上市或是一定，SaaS订阅模式创造利润

作为一家已经走到D轮的安全公司，微步的上市操持或许不是是否问题，而这天夕问题。

自从科创板推出之后，由于行业符合“新一代信息技能领域”，当前安全公司选择科创板上市渐成风潮，已上市成功的有「奇安信」、「安恒信息」、「山石网科」等，流程中的公司有「信安世纪」、「齐治科技」，身份领域头部公司「派拉软件」也在不久前公布进行科创板上市辅导的。

微步作为范例的安全公司，处于“新一代信息技能领域”，再加上今年威胁情报也被纳入《中国禁止出口技能最新目录》中，也意味着这一技能的代价被更高维度肯定。
36氪理解到，目前也有一些券商看重其可能的“安全SaaS第一股”、“威胁情报第一股”名号。

而科创板虽对科技企业上市的哀求更宽容，但对公司估值和收入也均有哀求。
目前微步的估值或许不是问题，下一步的重点该当还在财务表现。

在产品化之外，微步的做法是通过SaaS的办法，先办理客户的共性需求，其次覆盖企业用户的新场景化需求，以只管即便轻的办法供应做事，优化本钱，提高做事和赢利效率。

和市场认知不同的是，在威胁情报领域，大客户已经接管了订阅制的收费模式，这也和威胁情报的特性有关。
威胁情报公司的核心是帮助客户做数据剖析，通过数据、建模剖析出的结果会不断通过云端同步给客户，客户会不断为其更新的数据剖析结果买单，由此产品的代价得以不断突显。

当前微步也有软硬件交付的产品，但薛锋以为，当前SaaS的核心不在于是否一定用硬件或软件，还是在于产品是否足够标准化，是否按月或年交费。
当前微步有约80%的收入都来自订阅制，并且由于是在帮助大型客户持续做剖析，并不是大略的工具，以是用户粘性较高，续约率达到95%旁边。

在利润维度上，由于硬件本钱不断摊薄，订阅制让微步每年的毛利率都在提升，现已至少达到80%以上。
再加上做事付费力够强的大客户，微步的路线冲破了SaaS只能做事中小客户的认知。

如果问到做事大客户的窍门，除却威胁情报产生的持续性代价，不可忽略的特点是微步做事客户的办法。
尤其在中国，软件即做事并不虞味着售卖了软件就可以坐等收年费，如何用后续客户做事留住客户、提高软件的附加代价，也是非常主要的成分。

薛锋认为，「微步在线」做到近95%续约率，对“客户成功”的重视起到关键浸染。
薛锋透露，微步十分重视客户成功和安全做事，客户成功职员占比约为营销团队的1/3，同时公司也将应急相应做事进行了产品化，无论是在平时，还是在重保活动期间，都能给企业客户供应线上乃至驻场做事，这正是提高产品附加代价的手段。

判断产品：数据为基，剖析能力为王

如果商业模式可以决定一家公司走多远，那么产品力每每决定了公司的出发点，而数据能力和剖析能力是判断威胁情报质量的两个基本维度。

1. 数据能力

有业内人士曾抽离出一个逻辑，把威胁情报看做是经由研判的安全信息，三者的关系为：安全根本信息 + 研判 = 威胁情报，任何未经研判的安全信息，都不能称之为“威胁情报”。
如果要谈及威胁情报领域中什么样的公司才算好公司？首先，和所有to B一样，具备突出代价的产品才是根本。
信息/数据以及剖析能力决定了威胁情报的代价。

以是，威胁情报的第一个根本是数据，其深度、广度、时效性是判断的主要指标。
数据之上，剖析能力也十分必要，安全剖析师的判断能力，乃至从履历抽离出的模型是否准确，是让海量数据成为情报的条件条件，也对应上文的研判能力。
这两个核心决定了产品效果。

数据根本或是微步的上风之一。
此前公司首席剖析师曾先容，在数据透露的来源上，公司的覆盖度远超过同类很多产品。
为了达到数据的深度和广度，微步的监控范围深入至论坛、网盘、暗网等，这担保了公司对数据根本的覆盖。
当前，微步的安全云能力覆盖环球，具备PB级威胁情报知识图谱，42亿环球IP信誉与标签情报数据，以及数百起大型攻击事宜画像信息，数千个盛行黑客工具、特色等攻击手腕情报信息。
当前，由于数据网的铺开，其数据每分钟都在持续增加、更新，由此形成更踏实的数据根本。

当前业内一些公司也通过缔盟的办法覆盖更多的数据。
比如烽火台威胁情报同盟，目前成员有十余家安全公司，在互助办法上，其官网显示，哀求同盟内的根本数据共享建立在国家法律法规哀求及客户保密协议的根本上，根本数据仍归成员单位所有，联合挖掘得到的情报归成员共有，成员单位可以自由利用，并共同进行推广，收益按贡献进行分配。

以是，威胁情报供应商不但利用自有数据采集源，并且会采纳多种办法获取其他情报数据源来丰富威胁情报数量，之后才对数据进行研判。

不过在现今的市场中，仍旧存在部门之间、政府与企业之间资源共享不足的问题，一方面是技能格式的问题，同时也会出于信赖考虑。
在未来网络安全市场中，威胁情报数据来源的完善程度也会成为干系厂商竞争的关键之一。

2. 剖析能力

有了海量数据的支持，剖析能力也无法忽略。

前文提到，没有经由剖析的数据只是大量的信息而已，并不能成为情报。
当前威胁情报数据的来源有自行采集、交流，采购等几种办法，自行采集和采购属于厂商的个体行为，交流行为的产生，是由于现在厂商覆盖的客户范围有些许差异，各自具备上风的数据维度也有所差异，交流可以帮厂商在一定程度上防止自身数据源覆盖维度不足的问题。

不过往更深层，此类征象或许也侧面印证，数据的覆盖只是衡量威胁情报全面性的一个指标。
当前，或许没有哪家厂商能声称自己的数据已涵盖所有类型。
以是，在全面性之外，客户的终极需求是从海量情报中获取自身须要的代价信息，即有效的威胁情报，威胁情报厂商的能力更表示在剖析能力上。

此前在36氪的采访中，薛锋通过比拟的办法提及剖析能力的必要性，“比如同样的两组数据，可能别人看上去没有大不同，但微步的人可以剖析出来里面的好坏，以及详细是怎么好怎么坏。
微步的剖析能力在国际和海内上都是领先的。
”

模型的能力或许不言而喻。
曾有业内人士提及，目前网络安全公司每天网络到的报警信息量级在上百万个日志事宜和数十万个指标的数据。
这种情形对付威胁情报剖析师而言过于繁芜，完整天天的剖析事情已经无法仅通过人力实现。

当前威胁情报实际运用中，有些客户还对此类技能的效果存疑，个中的一大缘故原由正是一些厂商将数据和情报的效果稠浊，客户无法从中得到精确可用的信息。

导致这种情形的缘故原由有二，第一是意识问题，一些厂商可能将情报剖析的重点放在信息采集和感知技能方面，较少关注剖析的质量，未对情报本身进行充分剖析；第二，当前安全从业职员的短缺已成为业内共识。
有专家曾在早前预测，2020年网络安全人才缺口将达到140万。
而威胁情报领域对安全人才的哀求更高，须要他们既熟习情报剖析理论又能闇练利用大数据剖析方法、工具并且拥有较充足的剖析履历，专业情报剖析职员数量不敷也会影响威胁情报剖析的质量。

数据量繁芜加上人力短缺，以是干系公司需通过只管即便自动化的办法开展事情。
当前，基于对威胁情报的理解，「微步在线」已研发出近百个模型，在履历的根本上基于大数据剖析、知识图谱、机器学习、人工智能及其他技能完成对海量数据的快速准确剖析、针对性识别和安全戒备建议。

客户在采购这类产品时，在技能上最看重的衡量标准是检出率和误报率，即谁创造的多和谁创造的准。

这两个指标听似分别和数据量、剖析能力挂钩，但薛锋先容，在现实情形下，多和准两个指标并不是割裂的，“常常的情形是一家厂商可以做到既多又准，由于这两个指标都是厂商剖析后得到的结果，整体剖析能力的高低决定了这两个维度的表现”，而微步的剖析能力得益于团队背景、模型研发能力和情报的积累程度。
根据先容，微步的产品由于数据+算法驱动，情报准确率已经大于99.9%。

模型研发能力和情报积累程度有着相辅相成关系。
走规模化路线对威胁情报厂商有着促进浸染——厂商在一个行业内覆盖的客户量级越多，越能理解业务，也越可以供应有代价的情报，并且厂商也可以在客户赞许的情形下将情报共享给其他公司，以产生客户代价循环。
前文提到，目前微步在线已包办事了300+家大型企业客户。

“情报本身有网络效应。
我们的客户很受益于这张网络。
”薛锋曾说。

未来：从威胁情报衍生至全栈能力？

当前在专注威胁情报的公司中，微步的产品线是较全面的——从2015年发布X情报社区开始，其在2017年至2019年期间推出了TDP、TIP、云沙箱、OneDNS等一系列产品。
有业内人士认为，技能本钱加上产品线的完善，微步的本钱支出可能比同行更多。
不过，或许也正是这种不断延展产品的办法让微步产生更大的想象力。

前文提到，如今一些在威胁情报市场中霸占一席之地的综合型厂商，会以情报为根本提升自身各产品能力。
微步的未来或许也能达到这种效果，只不过其路径是先从威胁情报出发，再完善产品线。

这种路线在国外已有例证，比如前文提到的CrowdStrike，该公司成立于2011年，于2012-2013年推出威胁情报做事Falcon X及终端检测与相应(EDR)产品Falcon Insight，后不断增设产品线，并于今年推出PaaS安全平台CrowdStrike Store，构建了终端安全产品+威胁情报做事+专家做事。
目前其市值已近400亿美元，是全天下市值最高的网络安全企业。

从计策端，这样做的益处很明显——目前纯挚威胁情报市场并不算大，一家威胁情报公司如果可以将产品线不断延展，并拓展至终端安全、邮件安全等更多领域，也一定做进了更大的市场，将来的想象力是当前无法匹敌的。

那么接下来的一个问题是，当前这些分属不同细分市场的产品已有入局者，微步从威胁情报切入的上风是什么？

Gartner曾指出，威胁情报常日是安全产品的差异化成分和能力核心。
例如防火墙和统一威胁管理（UTM）系统、入侵检测和防御（IDP）、SWG和安全电子邮件网关（SEG）、端点保护（EPP）、Web运用防火墙（WAF）、还有分布式谢绝做事攻击防御产品（DDoS）、安全信息和事宜管理（SIEM）、漏洞管理、安全折衷、MSS、托管检测和相应等。
SANS的数据也显示有82%的企业会把SIEM系统和威胁情报一起用，77%的企业会用情报赞助网络流量检测系统。
这些征象或许意味着，以强大威胁情报能力为内核的安全产品，在产品能力上更可能得到保障。

然而不可忽略，目前海内的综合型安全厂商不少，大厂的数据覆盖面、品牌、拿单能力、可支配现金以及客户资源均积累已久。
倘若微步的结局也是较综合路线，其威胁情报内核或是一个壁垒，除此之外，如何在以上维度和大厂PK，也是一个值得关注的话题。

不过，“竞争”的B面也可以是互助。
毕竟在2018年，微步联合阿里云发布了公有云威胁情报做事。
这种利用双方既有上风一起探索创新产品的形式，也较适宜具备新型技能基因的安全公司。

整体而言，当前「微步在线」还被视作威胁情报公司，但从各种线索推断，其终极或会成为以威胁情报为核心的全栈型厂商。
而威胁情报作为安全产品的根本技能能力，技能的落地故事也会增长新可能。