年度公司 | 年营收增速超150%，始于威胁情报的「微步在线」，未来会成为综合型厂商吗？

一家80%收入来自SaaS订阅模式的安全公司意味着什么？

这一成绩在国外或许不稀奇。但在中国，众多安全公司的服务对象以大型金融、能源、政企客户为主，此类客户对轻型服务的接受程度还存疑，所以大量安全公司的交付模式仍以重项目制为主。和SaaS整体的几度浮沉一样，安全领域中的中国公司想做到如上成绩，并不容易。

不过，在一些特定的细分领域，SaaS火苗却显示出燎原之势。本文的重点讨论对象，成立于2015年的安全公司「微步在线」是一家以SaaS订阅模式创造收入的企业。这家公司以威胁情报为基础能力提供产品，这些产品中虽有软硬件交付形式，但在收费模式上已做到按年订阅制收费。

这和其具备的核心能力——威胁情报技术有着紧密关联。关于“威胁情报”这一技术名词，Gartner曾给出专业定义，它认为，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议。这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。

简单理解，威胁情报通过对大量相关数据积累和分析，在攻击发生之前告知企业等防守方需要注意的方向，希望达到防患于未然的效果。这类持续输出价值的数据类安全产品，是客户接受度较高的SaaS产品。

站在行业特性之外，「微步在线」以威胁情报为基础的产品化能力也值得研究。当前，国内威胁情报领域的参与者大致分为全栈型厂商和专精型厂商两类，前者典型如「奇安信」、「安恒信息」、「绿盟科技」、「安天」等，而专精型厂商包括「微步在线」和「天际友盟」等。各家公司的路线并不相同，「微步在线」作为其中一家专精型厂商，围绕威胁情报为技术内核进行产品化，这种业务走向也具备特殊性。

可以说，SaaS订阅模式+产品化是「微步在线」作为威胁情报公司的特点。在本文中，我们将重点关注这家公司的产品特点、商业模式以及未来的想象力，并将其放在行业中讨论，以期为读者呈现以小见大的案例视角。

营收增长的秘密：从技术到产品化

知己知彼百战百胜，这句话用在网络攻防战中也十分恰当。

在过去的惯常操作中，企业依据经验构建防御策略、部署产品，无法应对未发生的攻击。但是经验无法完整表达现在和未来安全状况，而且攻击手法和工具变化多样，防御永远是在攻击发生之后才产生的。简而言之，依据已有的、并未及时更新的经验，达不到知己知彼的目的。

所以，通过对海量大数据的监控，抽离出有意义的情报，虽不太可能百战百胜，但可以尽量提前预知攻击的发生，了解黑客的行为，这就是威胁情报的意义。

“好比警察抓小偷，传统的模式是案件发生后根据坏人的特征细节、作案方法去找到坏人。但是新模式下我们可以提前通过大数据对城市里的一千万人进行分析，并判断出里面有多少人是小偷。通过数据分析我们甚至可以预判出小偷即将下手的地点以及可能出现的作案方式。”「微步在线」创始人兼CEO薛锋曾打过比方。

从美国到中国，威胁情报已发展数年，按照Gartner的成熟度曲线来看，该领域已经度过了所谓的“炒作期”。不过，一个有趣的问题是，为什么中国市场内主攻威胁情报的专精型公司数量如此稀少？而这一问题的答案和行业特性分不开。

如今在行业内，除了「微步在线」、「天际友盟」等少量专攻威胁情报行业的公司，剩下提供威胁情报服务的公司多是综合型厂商。如果简单粗暴地从收益角度看，威胁情报需要高端数据和安全人才的持续投入，再加上所需的存储计算资源，产品交付成本较高几乎是必然，这是如今行业中专精型厂商不多的一个原因。

不同背景参与者选择的路线也不尽相同。

36氪通过采访业内人士了解到，对一些数据基础充足的综合型厂商而言，威胁情报的价值主要体现在解决内生需求上，即帮助其自身产品（如态势感知、新型防火墙等）提升能力。

而独立威胁情报公司的路径粗略可分两种，一种是专注直接输出自身的分析能力，这种路线些许对应“没有经过研判的数据不能称之为情报”理念，其客户也包括许多需要补充情报的安全厂商。第二种聚焦将威胁情报作为技术能力赋予产品，本着让产品更好用的目的，主攻较大的客户。如今，微步的客户包括国家电网、中石油、工商银行、小米、格力、京东、中信集团等来自能源、金融、智能制造、互联网等行业的300+家大型企业客户。在2019年中国净利润排名前20的企业中，有17家企业已经成为了微步在线的客户，从客户构成看得出来，微步的方式更偏后者。

在此前的采访中，薛锋曾数次提及，产品化是「微步在线」自B轮融资后产生的最大变化。他将威胁情报和延展的产品比喻为“电”和“电器”，“就好像我们以前是以电力资源为主的一家公司，现在我们做电灯、电瓶车等等应用。”他打比方介绍。这种举措的考量来自客户调研——无论是数据还是分析后产生的情报都非直接的产品，教育客户成本较高，而且客户难以直接买单。

于是从2016年开始，微步在线开始研发威胁感知平台（TDP）和本地威胁情报管理平台（TIP）。如今，微步在线已经打造“检测-响应”产品矩阵——其旗下有三大主打产品线：威胁感知平台（TDP）、本地威胁情报管理平台（TIP）和OneDNS互联网安全接入服务，三个产品覆盖了全流量威胁检测、本地化威胁情报管理和互联网安全接入等多个安全检测场景。另外还包括威胁情报检测与分析API、开放威胁情报社区X、恶意软件分析平台S、企业安全服务MDR、外部威胁监控服务OneRisk、终端威胁检测与响应平台OneEDR等。

当直接的产品出现，客户的买单效果也日渐提升。举例而言，目前微步的产品中占营收比例最大的是威胁感知平台（TDP），这一产品通过后台的威胁情报能力，通过检测企业流量，帮助客户分析和准确发现网络安全中的威胁。据公司介绍，微步TDP已经成为大型企业，尤其是参与重保的标配。

财务数据也说明了产品化的必要——微步今年上半年的营收是去年同期的2.4倍，而过去几年微步的营收均保持着150%以上的增速。在整体数据上，据36氪了解，今年公司的营收过亿，计划实现盈亏平衡甚至阶段性盈利。

上市或是必然，SaaS订阅模式创造利润

作为一家已经走到D轮的安全公司，微步的上市计划或许不是是否问题，而是早晚问题。

自从科创板推出之后，由于行业符合“新一代信息技术领域”，当前安全公司选择科创板上市渐成风潮，已上市成功的有「奇安信」、「安恒信息」、「山石网科」等，流程中的公司有「信安世纪」、「齐治科技」，身份领域头部公司「派拉软件」也在不久前公布进行科创板上市辅导的消息。

微步作为典型的安全公司，处于“新一代信息技术领域”，再加上今年威胁情报也被纳入《中国禁止出口技术最新目录》中，也意味着这一技术的价值被更高维度肯定。36氪了解到，目前也有一些券商看重其可能的“安全SaaS第一股”、“威胁情报第一股”名号。

而科创板虽对科技企业上市的标准更宽容，但对公司估值和收入也均有要求。目前微步的估值或许不是问题，下一步的重点应该还在财务表现。

在产品化之外，微步的做法是通过SaaS的方式，先解决客户的共性需求，其次覆盖企业用户的新场景化需求，以尽量轻的方式提供服务，优化成本，提高服务和赚钱效率。

和市场认知不同的是，在威胁情报领域，大客户已经接受了订阅制的收费模式，这也和威胁情报的特性有关。威胁情报公司的核心是帮助客户做数据分析，通过数据、建模分析出的结果会不断通过云端同步给客户，客户会不断为其更新的数据分析结果买单，由此产品的价值得以不断突显。

当前微步也有软硬件交付的产品，但薛锋觉得，当前SaaS的核心不在于是否一定用硬件或软件，还是在于产品是否足够标准化，是否按月或年交费。当前微步有约80%的收入都来自订阅制，并且由于是在帮助大型客户持续做分析，并不是简单的工具，所以用户粘性较高，续约率达到95%左右。

在利润维度上，由于硬件成本不断摊薄，订阅制让微步每年的毛利率都在提升，现已至少达到80%以上。再加上服务付费力够强的大客户，微步的路线打破了SaaS只能服务中小客户的认知。

如果问到服务大客户的秘诀，除却威胁情报产生的持续性价值，不可忽视的特点是微步服务客户的方式。尤其在中国，软件即服务并不意味着售卖了软件就可以坐等收年费，如何用后续客户服务留住客户、提高软件的附加价值，也是非常重要的因素。

薛锋认为，「微步在线」做到近95%续约率，对“客户成功”的重视起到关键作用。薛锋透露，微步十分重视客户成功和安全服务，客户成功人员占比约为营销团队的1/3，同时公司也将应急响应服务进行了产品化，无论是在平时，还是在重保活动期间，都能给企业客户提供线上甚至驻场服务，这正是提高产品附加价值的手段。

判断产品：数据为基，分析能力为王

如果商业模式可以决定一家公司走多远，那么产品力往往决定了公司的出发点，而数据能力和分析能力是判断威胁情报质量的两个基本维度。

1. 数据能力

有业内人士曾抽离出一个逻辑，把威胁情报看做是经过研判的安全信息，三者的关系为：安全基础信息 + 研判 = 威胁情报，任何未经研判的安全信息，都不能称之为“威胁情报”。如果要谈及威胁情报领域中什么样的公司才算好公司？首先，和所有to B一样，具备突出价值的产品才是基础。信息/数据以及分析能力决定了威胁情报的价值。

所以，威胁情报的第一个基础是数据，其深度、广度、时效性是判断的重要指标。数据之上，分析能力也十分必要，安全分析师的判断能力，乃至从经验抽离出的模型是否准确，是让海量数据成为情报的前提条件，也对应上文的研判能力。这两个核心决定了产品效果。

数据基础或是微步的优势之一。此前公司首席分析师曾介绍，在数据泄露的来源上，公司的覆盖度远超过同类很多产品。为了达到数据的深度和广度，微步的监控范围深入至论坛、网盘、暗网等，这保证了公司对数据基础的覆盖。当前，微步的安全云能力覆盖全球，具备PB级威胁情报知识图谱，42亿全球IP信誉与标签情报数据，以及数百起大型攻击事件画像信息，数千个流行黑客工具、特征等攻击手法情报信息。当前，由于数据网的铺开，其数据每分钟都在持续增加、更新，由此形成更踏实的数据基础。

当前业内一些公司也通过结盟的方式覆盖更多的数据。比如烽火台威胁情报联盟，目前成员有十余家安全公司，在合作方式上，其官网显示，要求联盟内的基础数据共享建立在国家法律法规要求及客户保密协议的基础上，基础数据仍归成员单位所有，联合挖掘获得的情报归成员共有，成员单位可以自由使用，并共同进行推广，收益按贡献进行分配。

所以，威胁情报提供商不但使用自有数据采集源，并且会采取多种方式获取其他情报数据源来丰富威胁情报数量，之后才对数据进行研判。

不过在现今的市场中，仍然存在部门之间、政府与企业之间资源共享不够的问题，一方面是技术格式的问题，同时也会出于信任考虑。在未来网络安全市场中，威胁情报数据来源的完善程度也会成为相关厂商竞争的关键之一。 

2. 分析能力

有了海量数据的支持，分析能力也无法忽视。

前文提到，没有经过分析的数据只是大量的信息而已，并不能成为情报。当前威胁情报数据的来源有自行采集、交换，采购等几种方式，自行采集和采购属于厂商的个体行为，交换行为的产生，是因为现在厂商覆盖的客户范围有些许差异，各自具备优势的数据维度也有所差异，交换可以帮厂商在一定程度上防止自身数据源覆盖维度不够的问题。

不过往更深层，此类现象或许也侧面印证，数据的覆盖只是衡量威胁情报全面性的一个指标。当前，或许没有哪家厂商能声称自己的数据已涵盖所有类型。所以，在全面性之外，客户的最终需求是从海量情报中获取自身需要的价值信息，即有效的威胁情报，威胁情报厂商的能力更体现在分析能力上。

此前在36氪的采访中，薛锋通过对比的方式提及分析能力的必要性，“比如同样的两组数据，可能别人看上去没有大不同，但微步的人可以分析出来里面的好坏，以及具体是怎么好怎么坏。微步的分析能力在国际和国内上都是领先的。”

模型的能力或许不言而喻。曾有业内人士提及，目前网络安全公司每天收集到的报警信息量级在上百万个日志事件和数十万个指标的数据。这种情况对于威胁情报分析师而言过于复杂，完成每天的分析工作已经无法仅通过人力实现。

当前威胁情报实际应用中，有些客户还对此类技术的效果存疑，其中的一大原因正是一些厂商将数据和情报的效果混淆，客户无法从中获得精确可用的信息。

导致这种情况的原因有二，第一是意识问题，一些厂商可能将情报分析的重点放在信息采集和感知技术方面，较少关注分析的质量，未对情报本身进行充分分析；第二，当前安全从业人员的短缺已成为业内共识。有专家曾在早前预测，2020年网络安全人才缺口将达到140万。而威胁情报领域对安全人才的要求更高，需要他们既熟悉情报分析理论又能熟练使用大数据分析方法、工具并且拥有较充足的分析经验，专业情报分析人员数量不足也会影响威胁情报分析的质量。

数据量复杂加上人力短缺，所以相关公司需通过尽量自动化的方式开展工作。当前，基于对威胁情报的理解，「微步在线」已研发出近百个模型，在经验的基础上基于大数据分析、知识图谱、机器学习、人工智能及其他技术完成对海量数据的快速准确分析、针对性识别和安全防范建议。

客户在采购这类产品时，在技术上最看重的衡量标准是检出率和误报率，即谁发现的多和谁发现的准。

这两个指标听似分别和数据量、分析能力挂钩，但薛锋介绍，在现实情况下，多和准两个指标并不是割裂的，“经常的情况是一家厂商可以做到既多又准，因为这两个指标都是厂商分析后得到的结果，整体分析能力的高低决定了这两个维度的表现”，而微步的分析能力得益于团队背景、模型研发能力和情报的积累程度。根据介绍，微步的产品由于数据+算法驱动，情报准确率已经大于99.9%。

模型研发能力和情报积累程度有着相辅相成关系。走规模化路线对威胁情报厂商有着促进作用——厂商在一个行业内覆盖的客户量级越多，越能理解业务，也越可以提供有价值的情报，并且厂商也可以在客户同意的情况下将情报共享给其他公司，以产生客户价值循环。前文提到，目前微步在线已经服务了300+家大型企业客户。

“情报本身有网络效应。我们的客户很受益于这张网络。”薛锋曾说。

未来：从威胁情报衍生至全栈能力？

当前在专注威胁情报的公司中，微步的产品线是较全面的——从2015年发布X情报社区开始，其在2017年至2019年期间推出了TDP、TIP、云沙箱、OneDNS等一系列产品。有业内人士认为，技术成本加上产品线的完善，微步的成本支出可能比同业更多。不过，或许也正是这种不断延展产品的方式让微步产生更大的想象力。

前文提到，如今一些在威胁情报市场中占有一席之地的综合型厂商，会以情报为基础提升自身各产品能力。微步的未来或许也能达到这种效果，只不过其路径是先从威胁情报出发，再完善产品线。

这种路线在国外已有例证，比如前文提到的CrowdStrike，该公司成立于2011年，于2012-2013年推出威胁情报服务Falcon X及终端检测与响应(EDR)产品Falcon Insight，后不断增设产品线，并于今年推出PaaS安全平台CrowdStrike Store，构建了终端安全产品+威胁情报服务+专家服务。目前其市值已近400亿美元，是全世界市值最高的网络安全企业。

从战略端，这样做的益处很明显——目前单纯威胁情报市场并不算大，一家威胁情报公司如果可以将产品线不断延展，并拓展至终端安全、邮件安全等更多领域，也必然做进了更大的市场，将来的想象力是当前无法匹敌的。

那么接下来的一个问题是，当前这些分属不同细分市场的产品已有入局者，微步从威胁情报切入的优势是什么？

Gartner曾指出，威胁情报通常是安全产品的差异化因素和能力核心。例如防火墙和统一威胁管理（UTM）系统、入侵检测和防御（IDP）、SWG和安全电子邮件网关（SEG）、端点保护（EPP）、Web应用防火墙（WAF）、还有分布式拒绝服务攻击防御产品（DDoS）、安全信息和事件管理（SIEM）、漏洞管理、安全协调、MSS、托管检测和响应等。SANS的数据也显示有82%的企业会把SIEM系统和威胁情报一起用，77%的企业会用情报辅助网络流量检测系统。这些现象或许意味着，以强大威胁情报能力为内核的安全产品，在产品能力上更可能得到保障。

然而不可忽视，目前国内的综合型安全厂商不少，大厂的数据覆盖面、品牌、拿单能力、可支配现金以及客户资源均积累已久。倘若微步的终局也是较综合路线，其威胁情报内核或是一个壁垒，除此之外，如何在以上维度和大厂PK，也是一个值得关注的话题。

不过，“竞争”的B面也可以是合作。毕竟在2018年，微步联合阿里云发布了公有云威胁情报服务。这种利用双方既有优势一起探索创新产品的形式，也较适合具备新型技术基因的安全公司。

整体而言，当前「微步在线」还被视作威胁情报公司，但从各种线索推断，其最终或会成为以威胁情报为核心的全栈型厂商。而威胁情报作为安全产品的基础技术能力，技术的落地故事也会增添新可能。