专访|从威胁情报到“迈向XDR” 微步在线底气何在？

近两年来，XDR技术在网络安全领域十分火热，相关讨论不断升温，甚至有人称，XDR将成为改变网络安全市场格局的颠覆性力量，但XDR到底是什么？XDR和EDR、NDR有什么关联和区别？这些问题仍然需要这一领域的安全厂商来详细解答。
 
两周前，业内知名的威胁情报厂商微步在线宣布完成了5亿人民币E轮融资，并宣布，之后将通过TDP威胁感知平台与OneEDR终端检测响应产品的结合，形成“端点+流量”的检测响应模式，向XDR技术领域发起持续探索。
 
为什么微步在线这样一家专业做威胁情报的厂商能够在成立6年内发展如此迅猛？微步在线为什么会发出“迈向XDR”这样的信号？安全419（anquan419.com）近日来到了微步在线，看看微步在线迈出这一步背后，对行业趋势有哪些研判和思考。
   
 
“最初我们讨论最多的并非是做什么，而是不做什么。”
SaaS的基因从一开始就被注入到整个团队
 
李秋石告诉安全419，在微步在线正式成立前，薛锋（微步在线创始人兼CEO）当时经常约大家周末坐在一起喝茶，畅谈国内外网络安全行业中的一些圈内事，过程中自然也会涉及到威胁情报行业中的一些机会，谈笑间彼此之间逐步有了一些共识。于是，在薛锋的发起下，大家就走到了一起，2015年7月，微步在线诞生了。
 
前文所述的“大家”，多是来自于亚马逊、微软、阿里、百度等大型互联网公司的安全团队，不乏一些安全总监或安全负责人这种管理角色，除了技术实战经验之外，多年积累的管理经验在创业早期能够发挥很大的作用，可以让一家初创公司直接跨过一个懵懂阶段。
 
“最初我们讨论最多的并非是做什么，而是不做什么。”李秋石道，“这一点其实对于整个公司发展其实很重要，因为你资源是有限的，精力是有限的，而方向却是多元的，此时选择和放弃都很重要，而成功是建立在你先要把一件事情做到极致，尤其是偏重于以技术为核心的行业中，唯有聚焦才能更加专注。”
 
因此，微步在线的团队在创业初期就确立了将安全SaaS化这一理念作为企业的发展思路，并选择威胁情报作为自己的发展方向，从早期产品——情报社区、API开始，到具体的商业化产品推出，再到后面将这一模式通过产品、服务不断地落地和验证，最终不断地收获了客户层面以及资本层面的高度认可。这一过程，也是微步在线选择在这一领域专注并沉淀的自然结果。
 
“无论过去、现在还是未来，我们的主打方向仍是安全+SaaS的模式，也就是SECaaS。”按照李秋石的说法，这也是微步在线在这条赛道中同他人最大的差别之处。
 
 
“安全人员每天疲于处理成千上万条告警，我们希望从根本上解决这一行业痛点。”
抛开传统路线   以“知彼”的能力切入安全市场
 
“微步在线从成立之初就选择了一条和所有的传统安全企业不一样的方向，微步在线找到了一条通过“知彼”的能力来切入安全市场的道路。”李秋石说道。
 
中国信息通信研究院近日发布的2021年《国内网络安全信息与事件管理类产品研究与测试报告》显示，2020年中的企业安全警报数相比2019年增加了1倍以上，增量迅猛，企业在安全运营方面所面临的主要问题仍然是缺乏有效的自动化工具和威胁管理平台，安全运营人员普遍期望提高所在企业的“威胁情报”和“端点安全”能力。由此可见，企业对这方面的需求极大且迫切。
 
传统的防火墙、IDS/IPS威胁检测产品，其威胁发现和感知能力往往都依赖于安装在用户企业内部的安全产品，通过审视自身的安全态势来发现异常，尽管这些产品的安全能力仍然值得信赖，但它们也天然具有一定的局限性。
 
相比之下，微步在线的解决方案不完全依赖于对客户网络流量、数据分析来感知，而是自己构建了一个广阔的威胁情报云，通过对互联网以及多个渠道中开放数据的不断采集，再对这些数据进行加工、分析，进而生产出威胁情报，去感知攻击者的行为、动态以及新变化。在掌握了庞大的威胁情报数据后，只需要和企业用户的信息做比对，就能清晰的洞察企业是否受到攻击，这是微步在线检测模式上和传统安全厂商的本质差异。
 
李秋石给我们举了一个例子，为了排查携带新冠病毒的患者，通常会通过发热等症状来做第一步辅助判断，假设对每一个发热患者都进行核酸检测排查，显然会造成医疗资源的浪费，给医护带来过载的工作压力，毕竟发热并不代表一定是新冠病毒的携带者，此时就需要一种更精确的识别机制来解决这一问题。
 
而微步在线的威胁情报生产工作则完全脱离了对患者自身体征的依赖性，采用分析空气中病毒的方式对空气成分进行持续分析，以更精准的方式识别和发现新冠病毒的携带者，进而去溯源分析和精准隔离，实现对安全风险的疏导和掌控。
 
“因此我们的情报获取能力不会受限于在全国有多少客户、部署了多少安全设备，而是通过对互联网开放数据的大规模数据分析来不断强化‘知彼’的能力，这决定了我们的视角能够看得更宽，看得更远。”

 
“经过谨慎和批判性的思考，我们做出了迈向XDR的决定。”
基于已有能力 从威胁情报领域龙头走向综合型安全厂商
 
尽管2020年突发的疫情让XDR、零信任等理念一夜之间火遍了整个网络安全行业，但当前的XDR市场仍处于发展的早期阶段，一时间很多家安全厂商都热衷于将XDR的概念扣在自家的产品上，这也让市场对于XDR的混乱定义感到困惑。
 
Gartner曾在《Innovation Insight for Extended Detection and Response》（XDR创新见解）报告中下过一个定义：XDR是为安全威胁检测和事件响应SaaS工具，它从终端、流量、蜜罐、网关等处发现网络威胁，并与云端威胁情报、签名、规则库、特征库等数据进行联动比对，通过机器学习等技术，过滤数据噪声，减少误报和漏报，将告警自动聚合为完整安全事件，并实现一键处置。
   
拆分XDR来看，其中的“D”代表着 Detection 检测，而“R”代表着Response 响应，“X”则代表着Extended 可扩展性。X代表着未知，其中包含了所有对检测有所帮助的技术和产品，这也是行业里面对XDR定义理解不清的根本原因，李秋石表示。
 
在微步在线看来，基于网络流量的检测与基于端点的安全检测是构成XDR的两大支柱。当外部的攻击者通过外部网络流量进入时，基于流量检测的NDR就可以通过网络攻击的行进路径来判断异常情况，但仅有NDR能力是不够的。一旦攻击者突破了流量层，进入到了终端服务器或者PC等设备中后，NDR对攻击者的下一步行为的判断是不全面的。
 
而EDR作为端点的检测与应急响应产品，此时就可以进一步的判断攻击者进入房间后的具体行为是否存在异常，保护企业安全的最后一公里。为了拓展自身在端点安全检测与响应的能力，微步在线研发了旗下的OneEDR产品，并将自身的TDP网络检测与响应服务与OneEDR端点检测与响应服务进行了打通和联动。
 
市场上也不乏一些厂商在NDR与EDR产品的联动上做过一些研究，但大多数情况下NDR和EDR的联动，只能做到两者互为彼此的眼睛，但却无法使用同一个大脑来分析。
 
“换句话说，就像是在同一个Excel表格中分别建立了sheet 1和sheet 2表格，尽管他们都位于同一个Excel文件中，同时各自都运用了复杂的函数公式去计算，但它实际上还是两个独立的表格。而微步在线实现的联动，不仅能让两者共享数据，还能在分析层面参照两方面的信。流量侧做分析时，将端作为一个因子，端侧做分析时也能将流量作为一个因子，两者结合，提供一个二维的信息，通过这样的方式，我们的威胁检测能力得到了大幅度提升。”李秋石表示。
 
据有效数据统计，当前微步在线的威胁情报准确度可达99.9%。这已经代表了行业里面的顶尖水准。
 
在实现TDP和EDR产品的联动后，虽然表面上看来微步在线的威胁检测准确度只是细微程度上向前迈出了一小步，但实质上这是向XDR领域迈出的一大步，微步在线正在从一个细分领域的龙头厂商成为一家具备强大竞争力的综合型网络安全企业。
 
“成为一家综合性的安全厂商并不代表我们会去做所谓的全家桶。”李秋石在谈话过程中强调道，“我们将威胁情报能力、威胁检测与响应能力、威胁防护能力产品化，成为基于流量的威胁感知平台TDP、本地威胁管理平台TIP、互联网安全接入服务OneDNS、威胁情报社区X以及我们新发布的产品OneEDR，这是我们的几个不同抓手，再配合安全服务，让我们具备了一个以自身核心能力为出发点转向综合性安全公司的底子，但核心仍然还会围绕检测和响应这两个维度上去思考和解决问题。”
  “威胁情报能力是我们的根和种子，我们正在自己的枝干上面不断生出新的枝条”
基于不同攻击敞口覆盖客户痛点  面向攻击暴露面做安全
 
正如前面提到的，微步在线未来几年内肯定不会成为一家“全家桶”性的综合性厂商，在李秋石看来，未来的微步在线仍然会以企业的痛点和风险的攻击敞口来作为切入点，攻击者的攻击方式也是在不断变化的，而公司也会持续和强化更新自身的安全能力，覆盖更多可能出现安全风险的攻击暴露面。
 
“安全威胁情报能力实际上是我们的根和种子，我们正在自己的枝干上面不断生出新的枝条，所以大家会看到微步在线已经拥有了一个横向发展的业务路线，但这大部分都是基于威胁情报的能力，这也是微步在线的立身之本。或许将来还会拓展出不同的产品，但这背后的核心还是围绕安全威胁治理能力的。”
 
微步在线的目标是成为全球范围内顶级的实战化网络威胁发现专家，希望帮助客户真正地解决在实际运营过程中碰见的威胁和挑战。

 
“在安全SaaS化服务的订阅模式下，我们95%的客户都会选择续费”
远超行业水平的客户续约率背后是微步在线旺盛的生命力
 
在采访中，安全419关注到了一个关键的数据：客户续约率95%。
 
在国外的安全市场上，以SaaS的形式提供安全服务的模式已经十分成熟，包括CrowdStrike, Okta, Cloudflare, Zscaler等全球网络安全行业知名的安全厂商都是SaaS化安全服务的领头羊。
 
尽管SaaS的模式能够帮助企业免去一些本地部署的软硬件成本和时间，只需要注册开通就可以获得相应的安全能力，但因为国内的安全行业起步较晚，市场成熟度较国外仍然存在一些差距，同时，SaaS订阅形式的安全服务价值很难被量化，因此国内接受的程度仍然不高，微步在线的主要客户群体仍然是那些真正重视安全和懂安全的企业。
 
在SaaS领域有一个共识，客户的续约率基本等同于SaaS供应商的生命力和发展潜力，而一家以SaaS形式提供网络安全服务的厂商，能够保持95%的客户续约率，无疑代表着这部分客户群体对微步在线威胁检测和响应能力的认可。
 
用李秋石的话说，对于一些大型的互联网企业而言，他们的安全能力早已经不弱于一些专业安全厂商，自身也具备了相应的威胁检测能力，但当这些大型企业评估了投入产出比之后还是选择了与微步在线合作，这也从另一个方面印证了自己的价值。
 
“目前除了政府部门、金融行业，和一些关键基础设施行业外，微步在线和包括字节跳动、哔哩哔哩、爱奇艺等等所有的互联网企业，以及市场主流手机品牌也都达成了深度合作。”李秋石在对话的最后说道，“从另一个角度看，微步在线已经进入到与衣食住行相关的各个环节中，默默地保护大众的安全，保护每一位互联网用户。”