半年融资8亿，威胁情报服务SaaS化为什么被资本看

随着信息技术的加速落地，网络安全成为企业数字化建设必须纳入的一项基础设施。根据中国信通院统计测算，2019年我国网络安全产业规模达到1563.59亿元，较2018年增长17.1%，预计2020年产业规模约为1702亿元。

这个势头之下，网络安全细分赛道也开始涌现出一批行业新秀。威胁情报服务商微步在线3月中旬宣布完成E轮5亿元人民币融资，加上2020年9月完成的超3亿元D轮融资，半年时间内，微步在线共计融资8亿元。

究竟是什么样的竞争力让这家企业被资本看好，一家专注提供网络安全威胁情报服务的企业为什么需要这么多钱？

对此，微步在线创始人兼CEO薛锋表示，一方面当前中国各行各业对网络安全会有一些投入，是在补足之前网络安全基础设施不到位的短板，但微步在线受到资本青睐跟其选择的商业模式以及团队的技术积累也是分不开。他也强调，网络安全本身并不是烧钱的行业，这个赛道如果不需要急速扩张基本是小额亏损或盈利。

威胁情报服务为什么被看好？

网络安全中的威胁情报其实跟战事中的“情报”很类似，是企业用来了解已经、将会或当前企业自身可能会遇到的网络安全中的攻击对手信息，以此准备、预防和识别网络威胁，并作出应对。在网络安全行业发展的早期，企业对自身安全的关注会更聚焦到防火墙、日志告警等方面，而随着安全技术及安全态势的发展，威胁情报已经成为企业安不可或缺的一部分。

总体来说，威胁情报服务的角色实际上相当于敌人入侵前的“吹哨人”，同时也能够成为被入侵后的“侦探”。根据今年3月份中国信息通信研究院及FreeBuf联合推出的《国内网络安全信息与事件管理类产品研究与测试报告》，在对SIEM（安全信息和事件管理）能力的改善意见中，威胁情报服务成为呼声最高的功能。

在传统SIEM流程中，系统只分析和检测企业已经存在的日志和事件，然后对风险事件进行告警，而这样的告警发生后，企业在没有“吹哨人”和“侦探”的情况下，无法进行主动防御，同时也不能有效溯源风险。

在与威胁情报平台相结合之后，分析人员结合日志、事件和数据的进一步分析能够锁定恶意行为的所在位置，同时能够显示攻击企业的威胁和可能存在威胁之间的关系，并发现新的相关情报，使被动防御变为主动防御。

威胁情报与SIEM的关系

“SIEM是‘知己'，威胁情报是‘知彼'”。微步在线市场负责人李秋石这样看待两者的协同关系。“虽然企业内部可以根据日志分析安全风险，但如同大海捞针。与情报精准结合，会让风险的预判和应对更加精准。”

威胁情报在企业安全中所扮演的角色以及现阶段频繁发生的网络安全威胁事件，极大提升了威胁情报的市场预期。

除了这些原因，李秋石也表示，微步在线的另一个优势是威胁情报服务的SaaS化。

据了解，微步在线90%以上的营收来自SECaaS(安全即服务)模式，一方面为企业提供纯SaaS订阅服务，一方面也提供私有部署+SaaS订阅的软硬一体化服务。

前者包含OneDNS（Domain Name System赛道，即域名系统威胁防护平台）、威胁情报检测与分析API、OneEDR（Endpoint Detection and Response赛道，终端检测与响应）；后者包含TDP（网络威胁感知软/硬件功能模块，即NDR赛道）、TIP（部署在用户本地的威胁情报管理软/硬件功能模块）。OneDNS、OneEDR与TDP、TIP共同构成了微步在线的“云+流量+端点”威胁检测响应产品矩阵。

由于该模式以SaaS订阅为主，部分结合硬件设备实现私有化部署，所以收入预期相对稳定，微步在线当前的客户续约率能够达到95%，营收年平均增长率超过100%。

但李秋石也表示，轻量化、标准化的SaaS服务并不代表没有深入的专家服务，与一些“铺人”专家服务模式相比，微步在线的专家团队只解决核心问题。“几小时可以解决的复杂问题，我们专家可能只有30分钟-1个小时是介入的，然后交由服务人员，这种方式更高效。”

网络安全行业并不烧钱

市场需求的存在，让威胁情报这个网络安全的垂直分支成为了被看好的对象。

从2015年注册成立以来，微步在线自2019年加速融资进度，当前合计融资超10亿元，最近半年快速融完了8亿。再加上其他网络安全企业在科创板以及各轮次融资中的表现，似乎在释放网络安全行业“烧钱”的信号。

但微步在线创始人兼CEO薛锋表示，网络安全行业其实不算是特别烧钱的行业，相对来说都会有盈利，或者小额的千万级的亏损。除非疯狂地扩张，才会有非常大的几个亿的亏损缺口。

文章来源：《情报探索》 网址: http://www.qbtszz.cn/zonghexinwen/2021/0414/1032.html