半年融资8亿，威胁情报服务SaaS化为什么被资本看好？

随着信息技术的加速落地，网络安全成为企业数字化建设必须纳入的一项基础设施。根据中国信通院统计测算，2019年我国网络安全产业规模达到1563.59亿元，较2018年增长17.1%，预计2020年产业规模约为1702亿元。

这个势头之下，网络安全细分赛道也开始涌现出一批行业新秀。威胁情报服务商微步在线3月中旬宣布完成E轮5亿元人民币融资，加上2020年9月完成的超3亿元D轮融资，半年时间内，微步在线共计融资8亿元。

究竟是什么样的竞争力让这家企业被资本看好，一家专注提供网络安全威胁情报服务的企业为什么需要这么多钱？

对此，微步在线创始人兼CEO薛锋表示，一方面当前中国各行各业对网络安全会有一些投入，是在补足之前网络安全基础设施不到位的短板，但微步在线受到资本青睐跟其选择的商业模式以及团队的技术积累也是分不开。他也强调，网络安全本身并不是烧钱的行业，这个赛道如果不需要急速扩张基本是小额亏损或盈利。

威胁情报服务为什么被看好？

网络安全中的威胁情报其实跟战事中的“情报”很类似，是企业用来了解已经、将会或当前企业自身可能会遇到的网络安全中的攻击对手信息，以此准备、预防和识别网络威胁，并作出应对。在网络安全行业发展的早期，企业对自身安全的关注会更聚焦到防火墙、日志告警等方面，而随着安全技术及安全态势的发展，威胁情报已经成为企业安不可或缺的一部分。

总体来说，威胁情报服务的角色实际上相当于敌人入侵前的“吹哨人”，同时也能够成为被入侵后的“侦探”。根据今年3月份中国信息通信研究院及FreeBuf联合推出的《国内网络安全信息与事件管理类产品研究与测试报告》，在对SIEM（安全信息和事件管理）能力的改善意见中，威胁情报服务成为呼声最高的功能。

在传统SIEM流程中，系统只分析和检测企业已经存在的日志和事件，然后对风险事件进行告警，而这样的告警发生后，企业在没有“吹哨人”和“侦探”的情况下，无法进行主动防御，同时也不能有效溯源风险。

在与威胁情报平台相结合之后，分析人员结合日志、事件和数据的进一步分析能够锁定恶意行为的所在位置，同时能够显示攻击企业的威胁和可能存在威胁之间的关系，并发现新的相关情报，使被动防御变为主动防御。

威胁情报与SIEM的关系

“SIEM是‘知己’，威胁情报是‘知彼’”。微步在线市场负责人李秋石这样看待两者的协同关系。“虽然企业内部可以根据日志分析安全风险，但如同大海捞针。与情报精准结合，会让风险的预判和应对更加精准。”

威胁情报在企业安全中所扮演的角色以及现阶段频繁发生的网络安全威胁事件，极大提升了威胁情报的市场预期。

除了这些原因，李秋石也表示，微步在线的另一个优势是威胁情报服务的SaaS化。

据了解，微步在线90%以上的营收来自SECaaS(安全即服务)模式，一方面为企业提供纯SaaS订阅服务，一方面也提供私有部署+SaaS订阅的软硬一体化服务。

前者包含OneDNS（Domain Name System赛道，即域名系统威胁防护平台）、威胁情报检测与分析API、OneEDR（Endpoint Detection and Response赛道，终端检测与响应）；后者包含TDP（网络威胁感知软/硬件功能模块，即NDR赛道）、TIP（部署在用户本地的威胁情报管理软/硬件功能模块）。OneDNS、OneEDR与TDP、TIP共同构成了微步在线的“云+流量+端点”威胁检测响应产品矩阵。

由于该模式以SaaS订阅为主，部分结合硬件设备实现私有化部署，所以收入预期相对稳定，微步在线当前的客户续约率能够达到95%，营收年平均增长率超过100%。

但李秋石也表示，轻量化、标准化的SaaS服务并不代表没有深入的专家服务，与一些“铺人”专家服务模式相比，微步在线的专家团队只解决核心问题。“几小时可以解决的复杂问题，我们专家可能只有30分钟-1个小时是介入的，然后交由服务人员，这种方式更高效。”

网络安全行业并不烧钱

市场需求的存在，让威胁情报这个网络安全的垂直分支成为了被看好的对象。

从2015年注册成立以来，微步在线自2019年加速融资进度，当前合计融资超10亿元，最近半年快速融完了8亿。再加上其他网络安全企业在科创板以及各轮次融资中的表现，似乎在释放网络安全行业“烧钱”的信号。

但微步在线创始人兼CEO薛锋表示，网络安全行业其实不算是特别烧钱的行业，相对来说都会有盈利，或者小额的千万级的亏损。除非疯狂地扩张，才会有非常大的几个亿的亏损缺口。

“我们志向比较远大，希望做成一个平台型的企业，行业每10年可能有一拨平台型企业的机会，我们希望能抓住这样的机会。”对于微步在线近期的两轮融资总额8亿元的融资，薛锋说道。

他表示，网络安全投入周期相对而言特别长。表现在研发上，一个想法从念头变成一个不错的产品，通常需要两三年以上的时间；表现在销售端，一支销售的力量渠道的建立，也需要若干年的时间。据钛媒体了解，某教育行业CRM在拥有一定研发基础的情况下，产品的首个版本的研发上线只用了三个月。相对2-3年上线一个产品，网络安全行业的投入周期确实拉长了。

“在我们现在这个阶段，如果我们想打得更好的基础，发展更长远的话，可能从现在就要做大量的投入，到了明年甚至到了后年才会有一些回报。所以这个其实对我们现金流各方面的要求会更高。所以这是我们目前在这方面，资金用途上的一些考虑。”薛锋表示。融资完成后，微步在线的资金将主要用于研发和营销，同时也不排除行业并购。

另一方面，网络安全要加大投入也与整个大背景相关。薛锋认为，当前中国的信息化进程也在提速，但起步可能比一些发达国家要晚，尤其是在安全上的投入，也欠下了一些“技术债”，而当下，中国正处在技术补课阶段。“你要交以前没交的学费，把欠下的建设费用补上。”薛锋说。（本文首发钛媒体App，作者 | 秦聪慧）