安全大数据公司微步在线ThreatBook获3500万A轮融资

近日，微步在线(ThreatBook)宣布完成A轮融资，本轮投资由如山创投领投，北极光与华软投资共同参与，投资规模达3500万元。其中北极光为天使轮领投方，本轮继续跟投。本轮投资将用于进一步加大研发投入，扩大在威胁情报领域的领先优势。

“微步在线”自2015年6月成立于北京， 定位以安全威胁情报(Threat Intelligence)服务为中心的安全公司。创始人兼CEO薛锋曾任亚马逊中国首席安全官，微软中国互联网安全战略总监，是Blackhat欧洲安全大会和微软蓝帽子大会Bluehat上首位来自中国的演讲者。团队其他成员分别来自于来自亚马逊、阿里巴巴、微软、支付宝、京东、搜狗等。

微步方面告知，目前没有一个实在的方法方式能保证企业的数据绝对不会泄漏，但还是有一套体系可以参考：

第一步，要有基础的防御措施。如要有墙，要有足够的工具和方法去侦测。

第二步，威胁感知。在第一时间知道和发现威胁，发现“有谁在搞你，怎么搞你，为什么搞你，从哪里搞你，搞了哪些数据”等。

第三步，加密算法。在数据即便被拿走的情况下，让对方事后也没法使用。

这时候企业就需要有自己自主可控的情报平台。像是IP、事实、访问时间点等，这些就是原数据。经过情报的处理和分析，通过分析师、自动化和人工处理之后，它会变成情报。这些情报的获取难度和破解难度也是呈金字塔型的。

第一层是Hash Values，获取和变换起来都很容易。逐层递增，到最高层就是TTPS——工具、技术和流程，也就是说攻击者用的是什么战术，用的什么技术和方法。这些东西获取之后的变换成本非常高。

那么，检测和响应就成了情报所带来的最核心的价值。基于此，微步在线在全球范围收集威胁情报，包括千万级实时更新的全球失陷主机数据、数亿IDC服务器及代理、数十亿动态IP、十亿级存量域名和每日千万新增域名等。每日处理样本300万以上，5亿白名单累积；时间跨度包括5年的pDNS数据，3年以上的域名whois注册信息数据。

产品形态上包括威胁分析平台、IOCfeed、资产发现：

威胁分析平台——可以提供鉴别分析（IP、域名、样本等）、关联数据拓展线索、掌握IOC上下文、溯源攻击者身份等功能。

IOCfeed——以C&C控制服务器为主，可下发到IPS、NGFW、SIEM等设备中，及时发现失陷主机并阻断控制通信，以控制实际危害发生。结合威胁分析平台可以完成从检测到响应再到溯源的闭环过程。

资产发现——通过逆向whois和子域名查询功能，全面掌握黑客组织的所有对外业务，可结合漏洞扫描器以分析安全风险，并监控新上线业务。

最后，微步强调，情报落地一定要和业务关联，形成一套体系。还有分析师是关键，在整个体系当中真正懂业务，懂情报，懂怎么来调用手头工具的分析师是难求的。

相关阅读：《疑点披露：XcodeGhost 威胁情报分析》

• 我是 36 氪作者徐宁，长期关注企业服务，如果你认为自己的项目质量够硬，近期又要融资，欢迎与我联系（微信：xu95704331）。