編者按：日前，微步在線宣布完成E輪5億人民幣融資，同時正式發(fā)布主機(jī)威脅檢測響應(yīng)產(chǎn)品OneEDR，從而拉開了企業(yè)向XDR目標(biāo)邁進(jìn)的序幕。疊加旗下基于網(wǎng)絡(luò)流量檢測的威脅感知平臺TDP、互聯(lián)網(wǎng)安全接入服務(wù)OneDNS、本地多源威脅情報管理平臺TIP，共同構(gòu)成微步在線的“云+流量+端點”威脅檢測響應(yīng)產(chǎn)品矩陣。為了更進(jìn)一步了解微步在線企業(yè)發(fā)展戰(zhàn)略和產(chǎn)品路線，筆者專訪了北京微步在線科技有限公司創(chuàng)始人薛鋒先生。

　　記者：近兩來，XDR成為各大網(wǎng)絡(luò)安全公司競相追逐的新技術(shù)，請您詳細(xì)介紹下XDR的核心理念以及發(fā)展趨勢。

　　薛鋒：XDR是Gartner在2020年的《Top Security and Risk Management Trends》調(diào)研報告中提到的一項新技術(shù)和解決方案。XDR在Gartner的定義是：SaaS類型的安全威脅檢測和響應(yīng)平臺，集成了大量的產(chǎn)品，并統(tǒng)一了相關(guān)license收費，具體產(chǎn)品功能視廠商而有所不同。

　　XDR產(chǎn)品主要有三大價值：1.直接集成安全產(chǎn)品開箱即用；2.有統(tǒng)一的安全數(shù)據(jù)歸一化和中心化可供分析和查詢；3.由于有多種產(chǎn)品的配合和協(xié)調(diào)，因此可以改進(jìn)檢測的敏感性；4.多產(chǎn)品聯(lián)動處理改變單一產(chǎn)品的響應(yīng)過程。

　　記者：貴公司宣布向XDR供應(yīng)商轉(zhuǎn)型，請您具體介紹在這方面取得在成果和未來計劃。

　　薛鋒：一般情況下，XDR需要包括的安全產(chǎn)品有EDR、NTA/NDR、UBA、蜜罐等，某些安全廠商會把SIEM和SOAR也囊括在XDR的范圍內(nèi)。本次微步在線推出終端檢測響應(yīng)產(chǎn)品OneEDR，是微步在線邁向XDR的一大步。

　　作為中國新興網(wǎng)絡(luò)安全公司中的領(lǐng)軍企業(yè)，微步在線長期、持續(xù)專注于威脅檢測領(lǐng)域，威脅情報和威脅檢測分析能力是我們的長項，也基于此，我們研發(fā)了流量和終端的“云+流量+端點”全方位威脅檢測響應(yīng)產(chǎn)品矩陣，幫助企業(yè)建立全方位的威脅監(jiān)控體系，持續(xù)為客戶提供專業(yè)的技術(shù)、產(chǎn)品和服務(wù)。

　　得益于微步在線在威脅發(fā)現(xiàn)領(lǐng)域多年的技術(shù)積累，OneEDR的入侵檢測能力已經(jīng)比較完善，具有業(yè)界領(lǐng)先水平。其創(chuàng)新的入侵鏈路可視化技術(shù)提供了威脅溯源能力，結(jié)合一鍵處置，能夠做到快速響應(yīng)。同時，OneEDR也搭載了微步在線的網(wǎng)絡(luò)威脅情報模塊、具備自適應(yīng)的機(jī)器學(xué)習(xí)能力、支持日志調(diào)查自定義檢索、多視角可視化跟蹤主機(jī)入侵過程，并且自動化聚合攻擊事件完整鏈路。

　　目前OneEDR能夠全面檢測Webshell、反彈Shell、木馬后門、主機(jī)提權(quán)、僵尸網(wǎng)絡(luò)、挖礦威脅、勒索病毒、虛假內(nèi)核、遠(yuǎn)控工具、惡意環(huán)境變量、漏洞利用、惡意進(jìn)程、賬號爆破等多種幾十種威脅類型，全面檢測已知和未知的攻擊和威脅。同時能將安全運營人員的處置記錄作為反饋信息，利用機(jī)器學(xué)習(xí)算法持續(xù)優(yōu)化、自適應(yīng)更新檢測算法，打造專屬該企業(yè)的檢測引擎系統(tǒng)，有針對性地加強企業(yè)檢測能力。

　　未來，微步在線還會推出更式基于XDR思想的安全產(chǎn)品和解決方案，加速向國內(nèi)平臺化SaaS安全公司轉(zhuǎn)變。

　　記者：相較市面產(chǎn)品，微步在線的OneEDR產(chǎn)品具備哪些優(yōu)勢？

　　薛鋒：OneEDR的優(yōu)勢體現(xiàn)為檢測能力強、可視化效果好、占用戶資源少等三個方面。

　　OneEDR具備全面的檢測能力。基于微步在線專業(yè)威脅情報、啟發(fā)式的漏洞、木馬行為特征檢測、文件靜態(tài)和動態(tài)監(jiān)測、基于AI的終端行為數(shù)據(jù)異常分析模型等機(jī)制，微步在線OneEDR全面檢測Webshell、反彈Shell、木馬后門、主機(jī)提權(quán)、僵尸網(wǎng)絡(luò)、挖礦威脅、勒索病毒、虛假內(nèi)核、遠(yuǎn)控工具、惡意環(huán)境變量、漏洞利用、惡意進(jìn)程、賬號爆破等多種幾十種威脅類型，全面檢測已知和未知的攻擊和威脅。同時，OneEDR能夠?qū)⑺袉吸c檢測告警進(jìn)行關(guān)聯(lián)，生成攻擊事件，并對一次攻擊事件進(jìn)行全鏈路取證，明確黑客攻擊鏈路方才告警，做到極少誤報。

　　OneEDR能夠以可視化的方式清晰展現(xiàn)安全事件的來龍去脈，幫助分析人員快速掌握當(dāng)前攻擊狀態(tài)與手法。首先，OneEDR能夠智能挖掘告警之間的關(guān)聯(lián)關(guān)系，自動聚合多條告警，以“威脅事件”為維度顯示整體攻擊的上下文，對同一團(tuán)伙的告警進(jìn)行是識別和分類，幫助安全運維人員在大量告警中更高效地理清安全事件的脈絡(luò)，更有針對性地去處理安全事件。其次，在處理安全事件的過程中，OneEDR提供“事件圖”和“進(jìn)程鏈圖”，實現(xiàn)對安全事件的可視化，理清安全事件的來龍去脈，直觀展示安全事件涉及的用戶、主機(jī)、進(jìn)程、IP等實體的關(guān)聯(lián)關(guān)系，同時將每個告警和事件按照ATT&CK模型進(jìn)行映射。

　　此外，OneEDR不斷收集用戶的處置反饋，學(xué)習(xí)誤報告警特征，不斷優(yōu)化機(jī)器學(xué)習(xí)算法，使其具備針對單一用戶環(huán)境的自適應(yīng)性，進(jìn)一步降低誤報。“在企業(yè)上云戰(zhàn)略和黑客專業(yè)化的大環(huán)境下， 主機(jī)安全已成為一個強對抗的領(lǐng)域。

　　記者：隨著網(wǎng)絡(luò)安全市場的蓬勃發(fā)展，網(wǎng)絡(luò)安全企業(yè)受到資本的追捧，請您談?wù)勝Y本運作在助推企業(yè)發(fā)展壯大過程中的影響。

　　薛鋒：網(wǎng)絡(luò)安全產(chǎn)業(yè)具有一個顯著的特點，產(chǎn)品研發(fā)和銷售的周期特別長。研發(fā)新技術(shù)和產(chǎn)品，通常需要兩三年以上的時間。銷售端也是如此，建一支銷售的力量渠道，也需要若干年的時間。雖然網(wǎng)絡(luò)安全并不是一個燒錢的行業(yè)，但網(wǎng)絡(luò)安全企業(yè)想打好堅實基礎(chǔ)發(fā)展更長遠(yuǎn)的話，前期就要做大量的投入，對于現(xiàn)金流的要求會更高。

　　因此，不斷對外融資成為網(wǎng)絡(luò)安全企業(yè)必須要走的一條道路。

　　截至目前，微步在線已經(jīng)經(jīng)歷了6輪融資，總的融資額度達(dá)到了10億元人民幣。最近的E輪5億元融資，由CPE源峰領(lǐng)投，老股東云暉資本等繼續(xù)跟投，是2021年開年以來到現(xiàn)在為止網(wǎng)絡(luò)安全行業(yè)中最大的一筆融資。

　　2020年9月微步在線剛剛完成了3億元左右D輪融資，半年內(nèi)合計完成融資8億元。

　　記者：我們看到這6輪融資的參與機(jī)構(gòu)有很多家，請請問微步在線在選擇投資方時有什么具體的要求和偏好嗎？

　　薛鋒：說到投資方的選擇，錢多錢少不是考慮的重點。投資方首先是要認(rèn)同微步在線的發(fā)展理念，同時能夠提供強有力的資源來促進(jìn)企業(yè)的發(fā)展。投資方不會介入到公司的運營里面去，只是在你需要什么幫助的時候，他們會看看是否能提供這個資源。像高瓴資本的投后就做得非常好，高瓴會特別注重在投完之后，看看你企業(yè)有什么樣的需求，從最基本的招人，包括一些其他方面的策劃，包括你的一些可能你需要的一些資源的協(xié)調(diào)等等。

　　記者：微步在線接下來有沒有上市的日程表？

　　薛鋒：暫時還沒有這樣的日程表。核心原因是因為我們覺得這是一個長期過程，公司的文化建設(shè)和組織能力都還需要花一點時間，因為公司畢竟到現(xiàn)在還不滿6歲，所以我們可能在多花幾年時間做一些建設(shè)的工作，發(fā)展得更穩(wěn)一些。

　　記者：作為創(chuàng)始人，您如何評價微步在線目前的行業(yè)地位和發(fā)展?fàn)顩r？

　　薛鋒：我們本輪的投資方CPE源峰這樣評價我們，”微步在線是安全云服務(wù)領(lǐng)域的領(lǐng)先企業(yè)，基于其領(lǐng)先威脅情報能力，打造了全面的威脅發(fā)現(xiàn)和響應(yīng)產(chǎn)品體系，在網(wǎng)絡(luò)安全領(lǐng)域?qū)崿F(xiàn)了訂閱制的商業(yè)模式，從技術(shù)、產(chǎn)品和商業(yè)模式上看，都具有高度稀缺性，是中國非常優(yōu)秀的網(wǎng)絡(luò)安全企業(yè)。“

　　當(dāng)前微步在線公司規(guī)模近三百人，創(chuàng)始成員來自于亞馬遜、微軟、阿里巴巴、百度、美團(tuán)等公司。微步在線正在服務(wù)包括國家電網(wǎng)、中石油、工商銀行、招商銀行、OPPO、滴滴、京東、中信集團(tuán)、國家信息中心等來自能源、金融、智能制造、互聯(lián)網(wǎng)、政府等行業(yè)的三百余家大型政企客戶。

　　隨著互聯(lián)網(wǎng)和云計算在我國各行各業(yè)生產(chǎn)和辦公環(huán)境中得到廣泛應(yīng)用，組織的信息安全面臨著邊界模糊、環(huán)境復(fù)雜、威脅多樣化等多方挑戰(zhàn)。

　　因此，將云計算、大數(shù)據(jù)等技術(shù)與網(wǎng)絡(luò)安全行業(yè)進(jìn)行結(jié)合是必然趨勢，網(wǎng)絡(luò)安全公司需要把自身安全能力云化后賦能給企業(yè)客戶。

　　微步在線正在走著一條正確的發(fā)展道路，迎來快速發(fā)展的機(jī)遇期。