一边是坚冰浮沉的蓝海,一边是风吹麦浪的田野。这可谓是中美两国安全威胁情报市场最直观的图景。
Gartner的《2017全球网络安全产业规模发展情况及趋势预测》中显示,2018年全球网络安全市场份额已经达到1060亿美元,首度突破千亿美金。而报告中值得关注的趋势中,安全智能、安全自动化、检测与响应等词十分强势地占据了显要地位,而这些关键词无一不和威胁情报相关。
一个领域真正地火起来,无外乎要经历资本热、行业热和市场热三个阶段。威胁情报行业亦不例外。先成熟起来的美国威胁情报公司们,不约而同地将眼神投向其他地域,而西欧、亚太等地也正在有新成员崭露头角。那么,安全威胁情报市场上是否吹响了混战的号角?对于中国威胁情报市场来说,这阵来自美国东海岸的风,带来的究竟是寒潮还是春天?
一、从一笔D轮融资说起
4000万美金,这是美国威胁情报服务公司Anomali的D轮融资总额。2018年1月17日,Anomali的CEO Dan Barahona 兴高采烈地在官网上宣布了这个消息,并宣称Anomali将把这笔资金投入开发创新的威胁管理和协作解决方案,并扩大在全球范围内的影响力。至此,谷歌投资布局的三家威胁情报公司Recorded Future、CrowdStrike和Anomali全部进入了D轮后的成熟期。
Anomali这家有着Google和CIA(美国中央情报局)In-Q-Tel投资的安全公司已经把球开出了美洲,在Anomali的2017年大事记中,在阿联酋启动一个包括48家银行在内的社区,发布俄罗斯、伊朗乃至中国的国家网络安全概况,宣布与英格兰银行合作等境外动向,一件件可谓历历在目,一步一个脚印昭示着这家公司的野心与胃口。
为什么Anomali会盯着英国、俄罗斯、伊朗甚至中国不放?
我们来看看网络安全大行业的地域性市场份额。在全球范围内,北美、西欧和亚太三地的市场份额能够达到整体的90%以上,呈三足鼎立态势。其中,北美占比41.29%,西欧占比27%,亚太地区占比22.7%。然而增长率又是另一番景象,西欧市场份额增速只有6.5%,北美则达到9.2%,亚太地区的增长速度最高,为9.5%,值得一提的是大中华地区的增长速度遥遥领先,为14%。很显然,亚太地区IT产业近些年快速升温,对从相对成熟的市场中拼杀出来的Anomali们来说,无异于哥伦布望远镜中的新大陆,比尔船长地图里的金银岛。
而在美国市场上的威胁情报创业公司中,Anomali并非最早成熟,亦非最财大气粗。累计融资9600万美金的Anomali,在囤积了2.81亿美金融资的CrowdStrike面前会逊色不少。而同样为谷歌所投资的CrowdSrtike早在2017年5月和10月就完成了1.25亿美金的D轮和D+轮。稍微小一号的Digital Shadows也在2017年9月完成一轮2600万美金的C轮融资,从成长期步入成熟期;谷歌投中的另一家Recorded Future在2017年10月完成了2500万美元的E轮融资,就连融资市场上沉寂许久的ThreatConnect,也早在2015年12月就完成了1600万美金的B轮融资——那时候,中国的第一批威胁情报创业公司们才刚成立几个月。
而Anomali还聘请了首席财务官和首席税务官,这是要上市的节奏吗?不管怎样,Anomali已经用行业报告对中国市场做了一次瞄准,或许在下一回合中,炮击就将着陆。
二、 这个时代没有船坚炮利,只有万物生长
显然盲目恐慌是不明智的,在惊叹美国威胁情报市场的成熟速度之后,我们应当先来看看这些排头兵们都在哪些更细分的赛道上。
CrowdStrike,“Active Defense(主动防御)”理念的提出者和践行者,针对APT攻击,CrowdStrike选择基于云和从sensor上采集的企业内部数据,来对攻击者进行追踪溯源,后来又将威胁情报与终端防护相结合,旗下的主要产品平台Falcon已经涵盖了态势感知、安全智能、EDR、安全狩猎、DNS防护等功能。可以看出,CrowdStrike将威胁情报产品化的路径是横向扩展,成长路径也基本是教科书般的”逐梦安全圈“。
而本文开篇的主角Anomali的路线又略有不同。相较CrowdStrike,Anomali的产品线更加紧凑,围绕威胁情报云衍生出检测平台、管理平台、情报订阅等服务,产出的威胁情报类型也以TAXII和STIX等可机读情报为主,周度的通告类威胁情报报告为辅。
Digital Shadow如其名字,关注阴影中的动向。他们更擅长追踪深网、暗网的威胁情报,以保护公司的业务和声誉。ThreatConnect也以威胁情报本身为出发点,衍生出TIP、TC Manage、开放性社区等产品线路。
同样被Google投资的Recorded Future在2017年10月底完成了E轮融资,主打开源威胁情报;而谷歌早在2012年,还收购了另外一家威胁情报公司Virus Total。
看似威胁情报市场已经被这些公司堵得密不透风了?答案是:NO!
2017年Ponemon Institute公司发布的报告中,有一组十分有意思的数据:
43%的受访者认为其组织对威胁的追踪是有效的,41%的受访者肯定其组织使用威胁情报的能力,但是,认为威胁情报对其组织的安全使命中做出了贡献的受访者达到了86%,认同威胁情报在其组织的安全体系中占到重要地位的受访者也达到了84%。
SANS在2017年发布的《2017年网络威胁情报现状调研报告》中也能够看到同样的趋势:
在情报对于安全方面的提升能力上,19%的受访者认为在阻止和检测方面可以提升50%~75%,在响应方面,18%的受访者认为可以提升11%~25%或者26%~50%。只有0.5%的受访者认为不能提升。
因此,纵观整个威胁情报市场,正好处在一个资本点头、市场打开、产品打磨的蓄水期,目前的市场总容量是几十亿美金,但根据Gartner的《全球威胁情报市场指南》,这个市场的增速一直保持在60%以上,而且到2020年,全球范围内应用了威胁情报的大型公司将从2017年的1%增长到15%。
今年已经是2018年了,童鞋们。
市场增长快的背后是网络环境的严峻。威胁情报的从业者们十分清楚,他们要拳拳到肉搏斗的是团伙作案的攻击者们,而非同行。他们应当庆幸这不是一个拼得你死我活的行业,或者说,很长一段时间内都不会是。眼下的威胁情报市场,将迎来一波前所未有的万物生长。
三、外来从业者们将降维打击还是将水土不服?
在中国的IT市场中,外来的和尚从来就不太好念经,所谓的去IOE可以算作是一个先例。虽说《网络安全法》的颁布标志着合规即将进一步推动行业,但谁能说网安行业中没有IOE的阴影呢?国内威胁情报用户很可能不知道一个“潜规则”:根据US-CERT对威胁情报的分级标准,有关当局禁止向中资企业出售高价值商业情报,而国际上最知名的金融行业威胁情报合作组织也未开放中资金融机构的申请。这意味着,一味追捧国外情报厂商,最终很可能变成地缘歧视的受害者。
况且,从2015年开始,国内也成长出了一批威胁情报创业公司,这些土生土长的创业团队们大多数都是安全圈里的大神,背景骄人,经验丰富,不仅有着多年积累下来的资源,也十分熟悉国内甲乙方的规则套路。
这其中跑得最快的微步在线已经融完了B轮,正在进一步完善产品线,走情报管理与威胁监控相结合的路线,也有威胁情报开放社区等产品;天际友盟则主打联盟和分发,同时也推出了平台性的产品,此外还有品牌保护服务;白帽汇是在威胁情报“知彼”的同时,主打资产的抓取和清点,将“知己”也作为一条同等重要的产品线,可圈可点。这三家创业公司可以说是国内威胁情报创业公司中的第一梯队了,而它们正在变得麻雀虽小,五脏俱全。
有意思的是,这些创业公司在实际销售中,遇到的对手都是赛门铁克、卡巴斯基这种国际老牌大厂,基本是“抗欧美”,内战不多。而从笔者查询的公开招投标结果来看,国外公司中标非常少,竞争力可能还不如国内的创业公司,呈现出较严重的水土不服。因此,中国的威胁情报市场上,本土企业或许会有独特的优势。
2017年的网络安全大事中,充斥着APT动向、比特币勒索软件、钓鱼邮件以及后门漏洞,这意味着不管是深耕中国市场多年的老牌安企,还是正体验创业维艰的小公司们,或者全球威胁情报领域的强势新秀,都将迎来近乎同等的发展机遇,很有可能打起一场混战来。但在这样的机遇面前,别嘲笑小公司的羸弱,也别鄙视大公司的笨重。毕竟,在这场薛定谔的混战中,弱小和无知不是生存的障碍,傲慢才是。