微步在线：安全SaaS化道路跑出“另类独角兽”

近期，第一新声联合天眼查正式发布了《2023年中国最佳信创厂商系列榜单》，其中微步在线（以下简称“微步”）由于在网络威胁的发现和响应上，拥有全面、成熟、稳定的产品及服务，被多家金融机构信息化负责人推荐，成功入选“2023年度最佳信息安全厂商”榜。

根据第一新声在安全领域的持续研究，2015年微步作为国内首个专以网络威胁情报( Cyber Threat Intelligence)切入市场的新兴安全厂商，在近8年时间里，公司基于SECaaS（安全即服务）的商业模式连续得到北极光创投、高瓴资本、中金资本、云晖资本、CPE源峰、鼎晖资本等一线知名创投机构的青睐，成为了网络安全领域的明星独角兽企业。

多次入选全球网络安全500强，成为唯一连续四次入选Gartner《全球威胁情报市场指南》的中国公司，获评工信部专精特新“小巨人”企业，微步的崛起备受资本与产业的关注。为此，本期第一新声【标杆】系列，聚焦网络安全赛道，采访到微步创始人兼CEO薛锋，通过对其发展历程、产品布局、商业模式、行业洞察等方面的研究，为大家展示网络安全圈这只“另类独角兽”是怎样炼成的。

01 专注威胁发现，变被动防御为主动防护

2015年7月，美国威胁情报公司CrowdStrike宣布完成1亿美元融资，公司估值超过10亿美元，正式进入“独角兽”俱乐部。几乎同一时间点，在大洋彼岸的中国，第一家专注于威胁情报的创业公司微步成立，开创并引领了中国威胁情报行业的发展。

微步创始人薛锋是一名资深的网络安全专家，先后担任微软中国/微软亚太研究院互联网安全战略总监、亚马逊（中国）首席信息安全官（CISO），还曾就职于公安部第三研究所，是欧洲BlackHat大会、微软BlueHat大会首位中国演讲者。

谈及为何选择威胁情报作为最初的创业方向，薛锋表示，彼时国内网络安全领域整体上偏防守、偏合规，“修城墙式”的被动防御无法应对日益复杂的安全威胁，而威胁情报技术在国外的落地应用，让他看到了通过大数据分析，实现有效预判危机并进行主动防御的可能性。

“打好网络攻防战需要知己知彼，传统的安全防护主要是知己，即企业对自身的业务和资产情况很了解，但是掌握不了攻击方的动态，就只能被动挨打，而威胁情报赋予企业的是知彼的能力，能够变被动防御为主动防护。”薛锋说道。

在早期阶段，薛锋的原始产品设想是做一个威胁情报搜索引擎，考虑到威胁情报是安全价值很高的数据，应当有属于中国自己的威胁情报数据库，情报搜索引擎上线后不久便升级为“X情报社区”。这个在线社区成为微步一个强有力的威胁情报共享阵地，从一开始的几百人注册，到如今数万的日活跃量，用户每天在社区贡献的新情报量达30-50万条。

“当时行业还没有这样的情报社区，上线之后用户非常喜欢。我们不会限制用户身份，包括我们自己生产的情报也是共享给所有行业使用者，因此经常会遭遇爬虫攻击，最夸张的时候有人动用了10万个独立IP来社区爬取情报信息，后来不得不限制了未登录IP的每日搜索次数。这也侧面印证了这些情报信息的宝贵价值。”薛锋介绍道。

情报社区上线不久，微步很快就凭借XcodeGhost事件展现了自身在情报领域的技术实力。2015年9月，XcodeGhost病毒迅速扩散，国内很多大型互联网企业的APP都相继中招。当其他安全厂商还在关注哪些企业又被感染的时候，微步通过威胁情报分析技术，第一时间将XcodeGhost攻击者的信息和作案手法在情报社区公之于众。这件事情大大提高了微步的知名度，也吸引了更多的安全工程师成为情报社区的用户。

此后在乌克兰电网攻击事件、暗黑客栈攻击事件等全球著名的网络安全事件中，微步都是第一个发现攻击者和攻击方式的安全厂商。“现在来看，情报社区像微步的一张名片，很好地展示了我们的实力，同时也贡献了社会价值。”薛锋说道。

然而，尽管彼时的微步拥有国内最大的威胁情报数据库和最强的数据分析能力，但这些并非产品，很难直接卖给用户。薛锋将威胁情报技术比喻为“电”，用户当时并非不认知和认可威胁情报技术，而是需要具体的“电器”。为此，在随后的7年时间里，微步不断将领先的威胁情报能力产品化，先后推出了一系列基于不同安全场景和需求的网络威胁检测与响应产品。

2017年研发面向流量检测与响应的威胁感知平台TDP和威胁情报管理平台TIP，2019年推出面向企业办公网的互联网安全接入服务OneDNS，2021年发布面向主机和服务器的威胁检测与响应平台OneEDR，2022年推出安全情报网关OneSIG和攻击面管理平台OneRisk，2023年发布面向PC终端的安全管理平台OneSEC。从流量到网关到终端，微步的安全能力和业务范围逐渐从威胁情报拓展到全方位的威胁发现和响应，其定位也从最初的威胁情报专家升级为威胁应对专家。

谈及产品布局逻辑，薛锋告诉第一新声，未来会始终聚焦流量、网关和终端这三个网络安全行业最关键核心的位置。“不管黑客进来还是出去，三个位置至少要有一个可以清晰看到黑客用什么方法和手段。黑客从哪里来，我们就一定要在那个地方设关卡，去布置我们的威胁检测产品。”

在薛锋看来，网络安全面临的威胁好比医疗行业的疾病，早发现非常关键。不同之处在于疾病发现只是一半，后续如何治疗更加重要；而在网络安全领域，发现后的治疗往往很简单，前期发现占比非常重，是安全厂商的核心能力。未来微步会专注于精准、高效、智能的网络威胁发现和响应，始终沿着“发现”这一核心能力做闭环。

02 订阅付费是SECaaS模式的核心

对比CrowdStrike和微步，两者的相似之处不仅都以威胁情报起家，通过威胁情报赋能不断推出新的产品，在商业模式上也都坚持SECaaS（安全即服务）模式。2019年6月，成立8年的CrowdStrike在纳斯达克上市，市值一度突破600亿美元，超过老牌安全厂商Palo Alto Networks成为全球网安行业市值第一名。

作为云计算时代下的新型服务模式，SECaaS以订阅制方式向用户提供安全能力，其在敏捷性、可扩展性与收入持续性上具备的优势，让薛锋很早就坚定了这一模式选择。“然而国内网络安全行业，在微步之前没有人推行订阅模式。就算是现在，不管是独立安全厂商还是大型综合型厂商，订阅业务真正能占据一定比例的还是很少。”

谈及其中的挑战，薛锋指出，SECaaS模式下涉及两个方面：一个是订阅付费；一个是云化交付。首先在付费模式上，以往传统安全厂商的销售模式都是一次性买断盒子，按年订阅付费对客户的采购习惯是一个巨大的挑战；其次，受监管要求或技术限制，导致部分行业客户或应用场景无法用SaaS化云端部署，只能进行本地化或以硬件方式进行部署。

在薛锋看来，订阅付费是SECaaS模式的核心。在订阅付费模式下，如果一家企业持续多年都是微步的客户，那么微步可实现的收益会远超售卖安全硬件产品的模式。他举例说道：“假设不同模式下两家公司的安全产品第一年都卖100元的话，从第二年开始硬件类公司可能只有10元维护费用，而订阅模式下每年会有80元续费，五年下来，前者共收益140元，而后者可能达到420元。”

当然，这种订阅模式对企业用户也是一种更好地选择。不同于卖硬件的买断制，订阅制的核心点在于用户是否对你的产品或服务满意。一旦发现产品效果不佳，用户可以随时停止续订。这就把主动权交给了用户，把产品创新的压力、服务质量的压力留给厂商，倒逼厂商不断改进。

“好比爱奇艺等长视频平台的影视会员，当你发现这个平台总有最新的影视剧，其实你是愿意订阅付费的；但是开通之后发现都是飞机上的老电影，你是大概率不会再续费的。”薛锋认为，只要你的产品、服务和提供的价值足够好，用户采购习惯也在发生着改变。而对微步来说，获得用户只是第一步，订阅付费模式下真正的考验是用户留存和续约率。

对此，微步把SaaS行业中客户成功理念带到了网络安全行业，并于2017年成立了客户成功团队，成为国内最早拥有客户成功团队的安全企业。“过去很多客户买了安全产品只能打400电话提工单才能找到厂商，而微步客户有问题微信在几分钟内就有响应，最长SLA不超过15分钟，另外我们的人员会定时主动上门拜访，询问产品使用效果，看看有什么问题需要帮助解决。”薛锋透露，过去8年来，微步整体续费率达到95%，大客户续费率120%。

而在交付模式上，微步没有照搬国外SaaS公司的模式，而是灵活的将SaaS标准化产品与少量的定制化相结合，前期先满足头部客户的需求，在行业标杆客户的支撑下，再覆盖中小企业的长尾市场，快速起跑。目前，微步主流行业头部覆盖率达到88%，来自政府、金融、能源、智能制造、互联网等行业的上千家客户正在应用微步提供的新一代安全解决方案。

薛锋认为，从行业趋势上看，大规模的政企单位、金融机构会越来越拥抱SaaS化。一方面云化交付可以使用更多计算资源解决本地盒子解决不了的问题；另一方面，企业用户自身的能力也在不断上升，能够区分一款SaaS化安全产品到底看见了什么数据，其效果究竟如何。从微步的用户订阅数量来看，过去三年呈倍数级增长，已经有越来越多的人拥抱云化，这注定是未来的大势所趋。

海比研究院数据也显示，2022年中国SaaS市场规模达786.1亿元，五年复合增长率23.5%。其中信息安全类SaaS市场规模为42.5亿元，近五年复合增长率为33.9%，增速远超办公沟通类、经营管理类以及行业垂直类等SaaS类别。

03 应对新威胁和新需求需要新思路新模式

云化交付、订阅服务，在产品载体和服务模式上的这些新变化，既是我国网络安全从传统安全向新安全转变呈现出来的新特征，也是新安全应对新威胁的现实之需。近年来，国际局势复杂严峻，网络空间的对抗趋势日益突出，我国网络安全态势面临新威胁挑战。薛锋指出，新威胁和新需求源自基础设施、监管要求、网络攻击发起方和用户实际需求等方面的变化。

首先是基础设施的变化。在我国大力发展数字经济和信息产业的大背景下，5G、IoT、云等新兴技术及伴生的相关场景带动IT基础设施发生巨变，给网络安全带来了诸多新挑战。以办公场景为例，远程或混合办公模式成为新常态，导致此前传统办公模式下的众多安全措施不再可靠，亟需新的解决方案。

其次是监管要求的变化。当前，我国对网络安全监管提出了更高的要求，推动网络安全技术和产业发展出台了一系列法规和措施。与此同时，行业级、区域级乃至国家级攻防演练活动范围、规模和要求逐步升级，极大地促进了政府和企业对网络安全实战的关注和投入。

再次是攻击者的变化。一方面，APT频发，APT技术平民化、蠕虫化使得一些技术水平较低的不法分子可以利用他人制作好的攻击工具发起对各类目标的无差别攻击；另一方面，数字货币和暗网的流行，为黑客顺利完成攻击、勒索和变现提供了便利；此外，地缘政治引起的国家间网络对抗逐渐增加，为窃取文件、个人信息、研究成果等核心数据，网络攻击团队经常会对他国政府、高精尖技术行业、科研机构及高校等开展高级针对性攻击。

最后是用户需求的变化。过去企业按照国家法律的要求做好安全防护，更多的是合规需求。随着企业数字化转型进程加速，企业的云上资产数据爆炸式增长，导致用户的需求更加注重效果、注重发现、注重运营、注重实战。

由于需求侧的变化，新威胁的存在，导致网络安全行业不能再以传统安全产品和模式提供服务，在供给侧，必须以新的安全模式应对新的威胁。新安全之新，在薛锋看来，除了上述提到的产品载体从硬件盒子转向云化交付、服务模式从一次性买断转向订阅服务，还体现在以下两个方面：

一个是安全技术的变化。过去的网络安全技术多以特征码、规则和策略为核心能力，侧重于将威胁抵挡在外。伴随网络攻击技术的更新，结合云计算、大数据、人工智能的新安全技术应运而生。新安全技术以数据驱动，注重对网络威胁的及时发现和响应，能够在威胁导致实质性损失之前将其彻底解决。

另一个是安全效果的变化。在新监管要求和新威胁引发的需求刺激下，各行业头部企业逐渐认识到网络安全建设和运营的重要性，网络安全建设和运营也从基础建设和合规导向逐渐过渡为效果导向。网络安全厂商作为供给方应该捕捉市场需求，助力企业提升实战化安全运营能力，帮助其真正解决问题，而非简单的满足用户填补安全空白。

04 网络安全运营走向“自动驾驶”

在此背景下，微步在今年5月发起并举办“CSOP 2023网络安全运营与实战大会”。大会以“新威胁 新安全”为主题，邀请了权威专家学者以及来自金融、能源、制造、互联网等热门行业安全负责人，在新威胁与新安全的攻防博弈中，共探面向实战化的安全建设和运营之道。

薛锋在会上做主题演讲时表示，无论网络安全的需求和模式如何变化，安全运营始终保有其第一性原理。安全从业者要拥抱新技术、应对新变化，需要处理好风险、资产、威胁网络安全运营三要素，不断探索大数据、威胁情报、AI大模型等新技术在网络安全运营中的落地应用。

演讲最后，薛锋还演示了微步X情报社区最新上线的安全GPT技术应用。该应用可以帮助企业安全运营人员对相关威胁情报进行智能化归集汇总，以便快速找到分析切入的视角和线索，做出更明智的决策，提高工作效率，进而实现对风险的有效管控。

在当前网安人才缺口巨大的形势下，薛锋认为，数据、情报和AI技术会极大提升网络安全运营的自动化、实战化能力，助力网络安全运营从“辅助驾驶”走向“自动驾驶”时代。在会后的媒体交流环节，薛锋向第一新声进一步分享了自己对安全GPT的观察和理解。

“GPT一定程度上会改变网络安全行业，这是大概率事件。特别是当你的公司和产品离数据越近，GPT对你的冲击和颠覆就会越大。”薛锋比较认同“数据+情报+AI=安全GPT”这个理念，但他也指出，安全GPT的核心不在于AI基础模型的创新，而取决于数据和情报，前两者才是构建安全GPT壁垒的关键。

“假如数据不准确、情报不精准，那么GPT学习得出的安全报告结论也将是错误的。这里面的核心逻辑在于，GPT更多起到的作用是辅助推理，而不太擅长做专业检测，病毒检测还是要靠专业引擎、专业工具。”因此薛锋认为，任何想要打造安全GPT的厂商首先要思考自身掌握的数据是否足够丰富、威胁情报技术是否精准，其次才是考虑自己是否擅长AI基础模型的训练。

他介绍，当前各个安全厂商在AI基础模型上都站在同一起跑线，但微步凭借在威胁检测与响应领域的多年积累，在数据与威胁情报上已经抢占了先发优势。只不过以前给到用户的都是结论，没有把背后的数据展示出来。这次通过安全GPT，能够以一种更好理解上下文的方式，把它综合起来做了更深的咀嚼和分析后赋能给用户。

在薛锋的演示中也能够清晰地看到，X情报社区的安全GPT功能已经能够帮助用户自动化判定可疑IP和相关攻击事件，包括它是不是做过扫描，扫描过端口的时间、攻击负载等，更进一步还会有相关背景或恶意关联信息的延伸介绍，极大地提升了安全分析的效率，降低了安全运营工作技术门槛。

“GPT在安全的应用是一场万里长征，目前才刚刚开始，今天我们演示的只是不到1/10的安全GPT。但即便只有这十分之一的变化，已经为每天的安全运营工作带来了大量的突破和创新。我相信未来会迎来一个自动驾驶的安全运营时代，在这个时代：我们的安全产品、安全运营是机器在运行，大家坐在副驾上，只需要吩咐一些指令，这个车就会自动朝着目的地出发。路途之中，大家可以非常安心地刷刷手机、打打电话，享受一路的风景。”薛锋憧憬道。