微步在线：威胁情报这三年

　　中国威胁情报起步之时，没有香槟砰砰，却有平板车辚辚。

　　2015年，中关村e世界的卖场还没未完全清空，穿着深色T恤的商贩们神色匆匆，推着一辆又一辆装满纸箱的平板车，和几个西装革履打着商务电话的人擦肩而过。打电话的人有时候是微步在线的创始人薛锋，有时候是市场合伙人李秋石——如果打电话的人穿着拖鞋，他可能是技术合伙人，任政。他们的办公地点就在中关村e世界一个狭窄、逼仄的小房间里，而公司所有人辞职之前的年薪，加起来差不多千万人民币。

　　“家具还挺小清新的。”对于那段日子，李秋石一笑而过。

　　就这样，微步在线启动了。

　　2015.7-2016.7：观望

　　在平板车的轧轧声里，震惊全网的XCodeGhost事件被微步在线溯源而大白于天下，从攻击者开始着手的时间，到战术、技术和过程的历史溯源以及相对应的数据证据链，都被微步在线的报告公开。值得一提的是，当XCodeGhost的始作俑者发现自己暴露的时候，曾在微博上表示，这只是一次实验，他并不存在恶意，而微步在线的报告则证明了他作案时间长、获取数据多，对他的行为定性有重要作用。

　　“当时我们线上还只有第一版的X情报社区，非常简单，但是后台数据能力其实已经就位，而且已经运营了一段时间。薛锋通过查询后台数据发现了蛛丝马迹，当时就把团队所有人集合起来，开始了我们第一次追踪溯源。”李秋石口中的X情报社区，是微步在线旗下的第一款产品，基于微步在线的威胁情报能力而设计成的“情报搜索引擎+开放社区”。XCodeGhost事件被Vista看天下、路透社和国外知名科技媒体DarkReading等媒体争相报道，威胁情报的威力开始在国内被人所知。

　　但是如果用一个词来概括2015年中国的威胁情报市场，这个词应该是“观望”。

　　“我们参加市场活动打造影响力，但是市场普遍的疑问是，威胁情报是很厉害，可它能帮我们做什么呢?”从2015年7月之后成立的各家威胁情报公司，商业化的产品一般都是威胁情报数据API，还没有后来的平台类、管理类、溯源类产品。李秋石认为，这是产品化之路上的必要过程。

　　简单的产品仍然有明显的效果，李秋石说，就在2015年，微步在线的API帮助一家客户破获了一起被控制主机超过千台的攻击事件，由于处置迅速，这家客户的安全团队当年绩效十分优秀。

　　“当时我们已经有了一些忠实客户，但付费并不多，选择我们的客户都是在安全上投入比较多、有自主研发能力、知道怎么落地威胁情报的技术型客户。”

　　李秋石表示，回头来看，API上云是最好的售卖方式，但是当时云上的安全市场还并不成熟，因此最早的销售是以线下to大B的方式卖API。而大部分潜在客户一边叫好一边观望，一方面是因为国内的需求才刚刚起步，另一方面也是因为第一批国产威胁情报公司实在太年轻，还没有做出框架完整、具备一定功能的产品。

　　“那时威胁情报在中国刚刚落地，还不是很大众化。当第一代威胁情报公司在验证自己能力的时候，其实客户也在等待着公司情报能力的验证。”

　　2016.7-2017.7：开荒

　　如果说第一年是坚冰融化，露出土地;那么第二年就是筚路蓝缕，春耕夏耘。从微步在线参加了2016年的RSA大会开始，中国威胁情报市场开始有了那么一些温度：

　　产品化方面，那一整年微步在线都在主动出击、收集客户需求，而从2016年开始，微步在线的两条产品线“威胁情报检测平台”和“威胁情报管理平台”都正式发布并且开始频繁迭代。“不止一个客户提出了产品化的需求，威胁情报管理平台更是中石油提出的明确需求。”李秋石介绍道。

　　市场进度方面，这一年中微步在线在很多行业中进行开荒，除去常规的金融、能源、互联网行业外，制造业、游戏行业等也有尝试。李秋石透露，目前微步在线的大型客户中，银联、招行、中石油等都是在2016年开始接触的。“我们通过立体作战方式打入每个目标行业，并把客户做成标杆，这样我们在目标行业就有条件遍地开花。”

　　客户服务体系上，微步在线完善了客户服务流程，还组建了分析师团队，负责对客户提供MDR服务和定期发布威胁情报报告。

　　“我们在不同行业里开始不断出现标杆客户，这些标杆又会形成一个新的循环，加快市场对威胁情报的认知。而客户从开始了解到最后成为我们的客户，也会经历一定的周期，但是这个周期会随着客户对我们认识的加深而越来越短。”李秋石说。