36氪獲悉,「微步在線ThreatBook」(以下簡稱「微步)」已於日前獲得3億元D輪融資,本輪投資方包括中金資本、中信證券和雲暉資本等多家國資背景基金。微步成立於2015年7月,是36氪持續關注的一家公司,一直專注威脅情報領域。
具體來說,威脅情報是指通過一系列安全相關的信息,還原已發生的攻擊和預測未發生的攻擊,為公司提供安全機制、指標,以及可指導行動的建議,核心在於是「可指導行動的建議」而不是單點信息。對企業方而言,威脅情報的意義在於主動發現各類威脅,其流程包括發現、理解情報等,並將情報用於安全監控的措施中。
作為細分領域的頭部廠商,公司創始人兼CEO薛鋒認為公司的壁壘和特點可以從以下幾個方面展開,分別是產品能力、數據分析能力和商業模式。
在產品能力上,薛鋒認為過去幾年微步發生的一個變化在於,公司將威脅情報作為基礎核心能力,然後在能力之上提供給客戶相應產品。具體在落地上,微步已經構建了一套產品矩陣,主要包括:
軟/硬體產品:網絡威脅感知平臺(TDP)和威脅情報管理平臺(TIP)SaaS產品:OneDNS網際網路安全接入服務、微步在線雲API安全服務:檢測及相應服務MDR其他:開放威脅情報社區X、惡意軟體分析平臺S分析能力,可以保證公司能根據已有數據分析出更多、更精確的結果。客戶方在採購這類產品時,在技術上最看重的衡量標準是檢出率和誤報率,即誰發現的多和誰發現的準。薛鋒介紹,在現實情況下,多和準兩個指標並不是割裂的,「經常的情況是一家廠商可以做到既多又準,因為這兩個指標都是廠商分析後得到的結果,整體分析能力的高低決定了這兩個維度的表現」,而微步在線的分析能力得益於團隊背景、模型研發能力和情報的積累程度。
在「威脅情報」這個標籤之外,SaaS模式也是微步的另一特點。當前,有較多安全公司是以軟硬體產品的方式,開展定製化項目,這和客戶對產品形態和交付方式的接受度緊密關聯——硬體包裝的產品更容易被付費,定製化更容易滿足客戶的特殊需求。但薛鋒介紹,微步是國內網絡安全廠商中較早進行SaaS模式的公司,這也是其相較其他安全廠商的一個差異。
之所以能走SaaS模式,和威脅情報的業務模式有關。威脅情報公司的核心是幫助客戶做數據分析,通過數據、建模分析出的結果會不斷通過雲端同步給客戶,客戶會不斷為其更新的數據分析結果買單——在行業中,持續輸出的數據類安全產品也是客戶接受度較高的SaaS產品。
在美國,一些專注於安全雲化的廠商已獲得了資本和市場的認可,典型兩家如CrowdStrike和Zscaler。其中CrowdStrike成立於2011 年,於2012-2013年推出威脅情報服務 Falcon X 及終端檢測與響應(EDR)產品 Falcon Inshight,後不斷增設產品線,並於今年推出 PaaS安全平臺CrowdStrike Store,構建了終端安全產品+威脅情報服務+專家服務,SaaS + PaaS的完整安全生態。2019年,CrowdStrike訂閱服務收入佔比為 88%,營收留存率達98%,淨留存率為124%。目前CrowdStrike的市值是288億美元。
續約率、客戶類型、客單價,是SaaS廠商衡量自身的幾個指標。前文提到,當前微步也有軟硬體產品,但薛鋒覺得,當前SaaS的核心不在於是否一定用硬體或軟體,還是在於產品是否足夠標準化,是否按月或年交費。當前微步有約80%的收入都來自訂閱制,並且由於是在幫助大型客戶持續做分析,所以用戶粘性較高,續約率達到95%左右。
據了解,當前微步已服務三百多家大型企業,客戶行業覆蓋銀行、券商、網際網路公司及大型能源企業等。在本輪融資後,公司將持續在技術研發和市場推廣方面發力。
團隊層面,目前微步在線團隊大部分為研發及技術人員。創始人兼CEO薛鋒本人曾任亞馬遜中國首席信息安全官,微軟中國網際網路安全戰略總監,核心團隊其他成員來自亞馬遜、微軟、BAT、美團等公司。
關於投資:
本輪投資方「中金資本」:在實體經濟不斷互聯,數字資產價值持續提升的大背景下,各種網絡威脅形成的潛在風險也越來越嚴峻。以「建高牆、築關卡、寧殺錯不放過」為基礎的傳統安全手段已逐漸無法應對威脅和風險。
然而,以動態威脅情報為基礎,以有效主動偵測手段為工具,賦能企業及時發現威脅併集中優勢資源迅速應對風險將成為網絡安全發展的趨勢。具備不斷演進完善能力的動態威脅情報在網絡安全中擁有長期重要價值。
我們認為微步在線作為威脅情報和主動威脅偵測產品的先行者,積累了大量技術產品優勢,並在金融、能源、公共服務等領域積累了大量真實應用場景和客戶基礎,具備長期投資價值。