安全大数据公司微步在线ThreatBook获3500万A轮融资

中国IDC圈6月13日报道,近日,微步在线 (ThreatBook) 宣布完成 A 轮融资,本轮投资由如山创投领投,北极光与华软投资共同参与,投资规模达3500万元。其中北极光为天使轮领投方,本轮继续跟投。本轮投资将用于进一步加大研发投入,扩大在威胁情报领域的领先优势。

“微步在线”自2015年6月成立于北京,定位以安全威胁情报 (Threat Intelligence) 服务为中心的安全公司。创始人兼CEO薛锋曾任亚马逊中国首席安全官,微软中国互联网安全战略总监,是Blackhat 欧洲安全大会和微软蓝帽子大会 Bluehat 上首位来自中国的演讲者。团队其他成员分别来自于来自亚马逊、阿里巴巴、微软、支付宝、京东、搜狗等。

微步方面告知,目前没有一个实在的方法方式能保证企业的数据绝对不会泄漏,但还是有一套体系可以参考:

第一步,要有基础的防御措施。如要有墙,要有足够的工具和方法去侦测。

第二步,威胁感知。在第一时间知道和发现威胁,发现“有谁在搞你,怎么搞你,为什么搞你,从哪里搞你,搞了哪些数据” 等。

第三步,加密算法。在数据即便被拿走的情况下,让对方事后也没法使用。

这时候企业就需要有自己自主可控的情报平台。像是IP、事实、访问时间点等,这些就是原数据。经过情报的处理和分析,通过分析师、自动化和人工处理之后,它会变成情报。这些情报的获取难度和破解难度也是呈金字塔型的。

安全大数据公司微步在线ThreatBook获3500万A轮融资

第一层是 Hash Values,获取和变换起来都很容易。逐层递增,到最高层就是TTPS——工具、技术和流程,也就是说攻击者用的是什么战术,用的什么技术和方法。这些东西获取之后的变换成本非常高。

那么,检测和响应就成了情报所带来的最核心的价值。基于此,微步在线在全球范围收集威胁情报,包括千万级实时更新的全球失陷主机数据、数亿 IDC 服务器及代理、数十亿动态 IP、十亿级存量域名和每日千万新增域名等。每日处理样本300万以上,5亿白名单累积;时间跨度包括 5年 的 pDNS 数据,3年 以上的域名 whois 注册信息数据。

产品形态上包括威胁分析平台、IOCfeed、资产发现:

威胁分析平台——可以提供鉴别分析(IP、域名、样本等)、关联数据拓展线索、掌握 IOC 上下文、溯源攻击者身份等功能。

IOCfeed——以 C&C 控制服务器为主,可下发到 IPS、NGFW、SIEM 等设备中,及时发现失陷主机并阻断控制通信,以控制实际危害发生。结合威胁分析平台可以完成从检测到响应再到溯源的闭环过程。

资产发现——通过逆向whois 和子域名查询功能,全面掌握黑客组织的所有对外业务,可结合漏洞扫描器以分析安全风险,并监控新上线业务。

最后,微步强调,情报落地一定要和业务关联,形成一套体系。还有分析师是关键,在整个体系当中真正懂业务,懂情报,懂怎么来调用手头工具的分析师是难求的。