撰稿：贾宁 编辑：刘惜墨  

01 

2017年5月12日，薛锋彻夜不眠。他的客户也一样。 

这一天，勒索病毒WannaCry在世界范围内爆发，包括中国在内的百余个国家遭受大规模攻击。 

病毒首先在英国肆虐，波及各个行业，甚至造成手术被迫中止，危及生命；在中国，机场、银行、医院、甚至出入境等事业单位也受到影响。

不过中国病毒爆发于当天晚上8点，正好是周五，尚且有一个周末做缓冲时间。

薛锋的公司微步在线紧急分析WannaCry勒索病毒，证实了国际上传言的「秘密开关」，该病毒执行时会访问一个很长的域名，一串由没有任何意义的英文和数字组成的字符，后面跟着「.com」。经过深入分析，微步在线发现如果勒索程序可以访问这个域名，病毒就会自毁。

现实中这个域名并没有指向任何网站。但企业将它设置为「可访问」，勒索病毒感染企业机器时，发现域名可访问，就会自毁，黑客的勒索阴谋不攻自破。

凌晨两点半，微步在线将报告发给客户。 

半小时后，有客户微信回复「已上线实施」。 

也有客户半信半疑：「我要上（实施）了，要是中招被开除了，你得收留我。」 

「你上吧。」这是微步在线的回答。 

这场网络安全攻防战的关键在于，能否识破黑客的伎俩，而不是跳进一个黑客故意留下的陷阱。 情报分析必须准确可靠。

▲微步在线CEO薛锋

5月15日，星期一。 

Wannacry勒索病毒爆发后的第一个工作日，也是全球各大安全公司预测的「二次爆发日」。 

微步在线的所有客户，数百万台机器，无一新增发作案例。 

自从微步在线2015年创立以来，已经经历了无数次这样与黑客针锋相对的战役。他们监控着世界上最活跃的一百多个黑客团体的举动。 

微步在线是一家典型的威胁情报公司。IT调研与咨询服务公司Gartner对威胁情报的定义是，对攻击者的情报包括动机、方法等进行收集、分析和传播，帮助各个层面的安全业务成员保护企业关键资产。

2017年7月，Gartner发布《全球安全威胁情报产品及服务市场指南》，微步在线是唯一一家入选的中国公司。 9月，微步在线宣布完成1.2亿元的融资，由高瓴资本高瓴智成人工智能基金领投，如山资本和北极光跟投。

02

黑客与安全公司永远在上演你追我赶的猫鼠游戏。

传统的安全方式，以被动防御为主，构建强大的防火墙，以尽可能少的漏洞抵御黑客入侵。但漏洞是补不完的，黑客总会找到可趁之机。 

威胁情报则是主动出击。它预先掌握黑客的动向，了解病毒的攻击方式和弱点，从而改进自身的防御工事。 

▲微步在线产品演示图

「这个世界好人占大多数，坏人是很少一撮，有能力发起攻击的坏人更少。与其辨别纷乱的、数不清的攻击，还不如抓住根本，找到发起攻击的人。一旦找到他们，世界就清净了。」微步在线创始人兼CEO薛锋告诉「新经济100人」。

2015年，他创办微步在线的时候，威胁情报在国内还属于新鲜事物。类似云计算早期，亚马逊的AWS如一颗冉冉升起的新星，国内还一片迷茫，以为云计算与IDC机房相似。 

最初，微步在线只有一个类似百度的威胁搜索引擎界面，用于搜索可疑文件（样本）。

样本上传之后，来自全球24家厂商的杀毒引擎对它同时进行定性查杀。如果有大量文件需要查询，可以通过API接口快速上传，拿到结果。 

微步在线联合创始人任政解释，当初他们认为很多安全分析人员受到环境与条件限制，微步在线提供的搜索引擎有24款杀毒软件，帮助安全人员发现最新的未知威胁，并且是免费服务。 

但，这种免费服务刚推出的时候，没有多少企业买账。 

在国外，很多企业愿意把自己的敏感文件发到SaaS厂商进行检查，因为有相对成熟的信用体系和法律约束，保护数据不被泄漏。但是国内不行，即便当时微步在线说，只需上传可疑的带有动态链接的exe执行程序就行。但一些保守的行业，依然认为没有必要，不如自己多装几款杀毒软件。 

微步在线搜索引擎的扩散是从个人开始，他们大部分是安全产业从业人员。通过他们，微步在线的多引擎查杀在行业内得以分享。

现在，微步在线每天接收30万至50万个疑似恶意样本。这个威胁搜索引擎，也是客户接触微步在线的主要来源之一。  

03

随着数据积累，薛锋他们意识到，单单搜集恶意样本，产品非常单薄，于是开始对样本深入分析。 

沙箱，是捕捉到恶意样本后进行分析的场所。它可以理解为小孩在沙滩上玩游戏时垒起的城堡。当恶意的代码进入这个虚拟城堡中的某个房间时，它会认为自己是在真实的电脑环境中，进行肆意的破坏。 

病毒在沙箱中的行为会被监控记录，它对外连接了谁，接受了谁的控制？对沙箱有什么破坏？这些档案被记录下来，进行深度加工，由此产生坏人的「黑名单」。 

沙箱是受控制的模拟环境。微步在线在全球网络上布置了数千台沙箱，这是其情报系统的主要构成。除此之外，还有「蜜罐」作为补充。你可以把蜜罐想象成猪笼草，分泌**引诱着捕食的小虫。

沙箱和蜜罐时刻等待着黑客的攻击。黑客在网络上扫描时扫到有漏洞的机器，会自动化渗入机器装上木马。他以为黑了一个正常的网站，但实际是入了蜜罐的陷阱，他们的一举一动都在微步在线的监控中。

客户在公司的防火墙、路由器和缓冲区上加载攻陷指标（黑客用于控制的网站）。员工电脑尝试连接这些攻陷指标时，就可以知道这台电脑存在安全风险。

这些攻陷指标中包含了黑名单（有风险的网站）、白名单（安全的网站）以及丰富的上下文和判断依据（可被证伪的技术证据），并且都是实时动态变化。 

如果把威胁情报比做新闻，那提供威胁情报的公司相当于报纸，每天刊载新闻。对客户来说，购买能力强的话，多订几份报纸获得全方位的详细信息是不冲突的。

「客户愿意为情报数据买单。」薛锋说。 

过去两年，微步在线拿下了国内几大行业的标杆客户，包括能源、电力、金融、证券以及大型互联网企业。目前，付费客户二三十家，交易价格60万元到数百万元。  

04

2016年，微步在线基本是SaaS平台+情报库的模式。薛锋他们很快发现，拓展空间有限。 

薛锋和金融行业客户谈合作，对方说你这个模式很好，但我们不能上网，金融行业是封闭式网络。 

国内诸多限制，推动他们做出了第二代产品——威胁情报平台TIP（Threat Intelligence Platform）。 

TIP是一个软件平台，含有在线的数据库情报。部署之后，客户的网络数据经由TIP进行溯源和检测。一旦报警，TIP就通知客户。 

这好比验血，一般人们去医院抽血获得报告结果。企业使用TIP，相当于自己购买血糖监测仪器，自己抽血自己验。 

当重大安全事件发生时，微步在线首先把这个攻击抽取出最紧急的情报，如IP地址、域名等，录入库中，通过网络或者TIP把数据拿给客户。因为在这一秒钟，国内可能就有机器受到攻击。 

微步在线继续跟踪事件和IP，弄清楚背后的控制者，弄清楚是否是一次误报、有没有特定的攻击对象。一旦发现这次攻击背后有黑客团伙、有经济利益勾连的话，分析师用各种公开线索摸清黑客团伙背景，历史档案、甚至能查到这个团伙里有谁、长什么样、在哪上过学……写成报告，提交给客户。 

大数据和云计算的时代，攻防形势逆转。原来防守非常被动，锁好100扇窗户，结果第101扇漏锁了，攻击者就进来了。现在是社会上的一切都在数据化，大数据忠实记录了所有正在发生的事情，攻击者只要犯一次错，防守者就有可能顺藤摸瓜找到对手。 

「防御是必要的手段，但不能解决所有安全问题。因为防御只是提升了攻击门槛。以前我们是做到『知己』，现在『知彼』在国内逐渐重视起来，就像部署防空导弹，那我得知道我要瞄准谁，在什么时候去打。」 微步在线市场合伙人李秋石说。

05

「我们可以说是亚太地区的代表，北美也有在当地有优势的威胁情报公司。就像各地警方的情报能力很强，也需要和其他单位的情报网络合作。」李秋石说。 

「报纸越订越多」，企业多元化情报管理的需求日益明显。微步在线2017年推出了威胁情报管理平台TIM（Threat Intelligence Management）。 

微步在线产品负责人黄雅芳介绍，TIM可以替客户管理好已经采购的情报数据，平台接各种不同的数据源进来，将其标准化，整合在一起。客户不需区分情报来源是微步在线还是其他公司，直接调用已整合的情报数据，统一管理。 

▲微步在线产品路线演进图（制图：彭瑞）

TIM只是一个开始。 

在薛锋眼里，未来安全产业的一大机会是智能化。企业买了10家厂商的100台设备，买了这家的杀毒、那家的防火墙，难道还能一台一台地登陆操作，将黑客信息一条条复制到这100台设备上么？未来肯定会出现安全的智能化，进行自动操作。 

就像家居智能化里必然有一个人机交互的入口。原来冰箱、空调、电视不联网，需要3个遥控板分别控制它们。现在冰箱、空调、电视可以联网，又有了亚马逊的智能音箱Echo。人们回到家，只需要下达「Echo开空调」「Echo开电视」的指令就行了。 

薛锋希望TIM就是所有安全系统的管家，安全智能化里人机交互的入口。 

「安全行动的驱动常常来自情报，下一步我们试图成为企业安全行动的大脑。这个市场空间是千亿级的。」

他顿了顿，接着说：「在这个阶段，我们有再多想法，还是得一步步走。」 

Gartner发布报告说，目前全球大型企业运用威胁情报的比例是1%，到2020年将增长到15%。 

过去企业对信息安全的投入主要是在防御上，到2020年，投入的60%会转向检测与响应。威胁情报解决的就是检测与响应的问题。 

这是一块蓝海市场。国内目前想做威胁情报的公司很多，既有绿盟、奇虎360这样的老牌安全企业，也有嗅到商机的初创公司。

「我们无非是刀够快、针够尖，不管同行公司多大，在（威胁情报）这个细分领域里我们就是比他们做得更专业、更深，因为我们只切这个方向。」薛锋说。 

就像两百多年前的工业革命带来了环境忧患一样，如今整个世界都在快速地数字化，带来了数字化忧患。 

谁来为安全负责？ 

夜幕降临，在巨大利益诱惑下，一群黑帽不辞辛苦。他们有人甚至可遥控数百万台服务器，轻而易举攻陷所有的互联网终端。夜色中同样还有另外一双双眼睛，追踪黑帽们的行迹，打退一次次攻击。 

这是一个再平凡不过的夜晚。天又要亮了。  

延伸阅读

这家公司通过「跨行业联防联控」做金融反欺诈 切入大数据风控