編者按：日前，微步在線宣布完成E輪5億人民幣融資,，同時正式發(fā)布主機威脅檢測響應產品OneEDR,，從而拉開了企業(yè)向XDR目標邁進的序幕。疊加旗下基于網絡流量檢測的威脅感知平臺TDP,、互聯(lián)網安全接入服務OneDNS,、本地多源威脅情報管理平臺TIP,，共同構成微步在線的“云+流量+端點”威脅檢測響應產品矩陣。為了更進一步了解微步在線企業(yè)發(fā)展戰(zhàn)略和產品路線,，筆者專訪了北京微步在線科技有限公司創(chuàng)始人薛鋒先生,。

　　記者：近兩來，XDR成為各大網絡安全公司競相追逐的新技術,，請您詳細介紹下XDR的核心理念以及發(fā)展趨勢,。

　　薛鋒：XDR是Gartner在2020年的《Top Security and Risk Management Trends》調研報告中提到的一項新技術和解決方案。XDR在Gartner的定義是：SaaS類型的安全威脅檢測和響應平臺,，集成了大量的產品,，并統(tǒng)一了相關license收費，具體產品功能視廠商而有所不同,。

　　XDR產品主要有三大價值：1.直接集成安全產品開箱即用,；2.有統(tǒng)一的安全數據歸一化和中心化可供分析和查詢；3.由于有多種產品的配合和協(xié)調,，因此可以改進檢測的敏感性,；4.多產品聯(lián)動處理改變單一產品的響應過程。

　　記者：貴公司宣布向XDR供應商轉型,，請您具體介紹在這方面取得在成果和未來計劃,。

　　薛鋒：一般情況下,，XDR需要包括的安全產品有EDR,、NTA/NDR、UBA,、蜜罐等,，某些安全廠商會把SIEM和SOAR也囊括在XDR的范圍內。本次微步在線推出終端檢測響應產品OneEDR,，是微步在線邁向XDR的一大步,。

　　作為中國新興網絡安全公司中的領軍企業(yè)，微步在線長期,、持續(xù)專注于威脅檢測領域,，威脅情報和威脅檢測分析能力是我們的長項，也基于此,，我們研發(fā)了流量和終端的“云+流量+端點”全方位威脅檢測響應產品矩陣,，幫助企業(yè)建立全方位的威脅監(jiān)控體系，持續(xù)為客戶提供專業(yè)的技術,、產品和服務,。

　　得益于微步在線在威脅發(fā)現領域多年的技術積累，OneEDR的入侵檢測能力已經比較完善,，具有業(yè)界領先水平,。其創(chuàng)新的入侵鏈路可視化技術提供了威脅溯源能力，結合一鍵處置，能夠做到快速響應,。同時,，OneEDR也搭載了微步在線的網絡威脅情報模塊、具備自適應的機器學習能力,、支持日志調查自定義檢索,、多視角可視化跟蹤主機入侵過程，并且自動化聚合攻擊事件完整鏈路,。

　　目前OneEDR能夠全面檢測Webshell,、反彈Shell、木馬后門,、主機提權,、僵尸網絡、挖礦威脅,、勒索病毒,、虛假內核、遠控工具,、惡意環(huán)境變量,、漏洞利用、惡意進程,、賬號爆破等多種幾十種威脅類型,，全面檢測已知和未知的攻擊和威脅。同時能將安全運營人員的處置記錄作為反饋信息,，利用機器學習算法持續(xù)優(yōu)化,、自適應更新檢測算法，打造專屬該企業(yè)的檢測引擎系統(tǒng),，有針對性地加強企業(yè)檢測能力,。

　　未來，微步在線還會推出更式基于XDR思想的安全產品和解決方案,，加速向國內平臺化SaaS安全公司轉變,。

　　記者：相較市面產品，微步在線的OneEDR產品具備哪些優(yōu)勢,？

　　薛鋒：OneEDR的優(yōu)勢體現為檢測能力強,、可視化效果好、占用戶資源少等三個方面,。

　　OneEDR具備全面的檢測能力,。基于微步在線專業(yè)威脅情報,、啟發(fā)式的漏洞,、木馬行為特征檢測,、文件靜態(tài)和動態(tài)監(jiān)測、基于AI的終端行為數據異常分析模型等機制,，微步在線OneEDR全面檢測Webshell,、反彈Shell、木馬后門,、主機提權,、僵尸網絡、挖礦威脅,、勒索病毒,、虛假內核、遠控工具,、惡意環(huán)境變量,、漏洞利用、惡意進程,、賬號爆破等多種幾十種威脅類型,，全面檢測已知和未知的攻擊和威脅。同時,，OneEDR能夠將所有單點檢測告警進行關聯(lián),，生成攻擊事件，并對一次攻擊事件進行全鏈路取證,，明確黑客攻擊鏈路方才告警,，做到極少誤報。

　　OneEDR能夠以可視化的方式清晰展現安全事件的來龍去脈,，幫助分析人員快速掌握當前攻擊狀態(tài)與手法,。首先，OneEDR能夠智能挖掘告警之間的關聯(lián)關系,，自動聚合多條告警，以“威脅事件”為維度顯示整體攻擊的上下文,，對同一團伙的告警進行是識別和分類,，幫助安全運維人員在大量告警中更高效地理清安全事件的脈絡，更有針對性地去處理安全事件,。其次,，在處理安全事件的過程中，OneEDR提供“事件圖”和“進程鏈圖”,，實現對安全事件的可視化,，理清安全事件的來龍去脈，直觀展示安全事件涉及的用戶,、主機,、進程,、IP等實體的關聯(lián)關系，同時將每個告警和事件按照ATT&CK模型進行映射,。

　　此外,，OneEDR不斷收集用戶的處置反饋，學習誤報告警特征,，不斷優(yōu)化機器學習算法,，使其具備針對單一用戶環(huán)境的自適應性，進一步降低誤報,?！霸谄髽I(yè)上云戰(zhàn)略和黑客專業(yè)化的大環(huán)境下， 主機安全已成為一個強對抗的領域,。

　　記者：隨著網絡安全市場的蓬勃發(fā)展,，網絡安全企業(yè)受到資本的追捧，請您談談資本運作在助推企業(yè)發(fā)展壯大過程中的影響,。

　　薛鋒：網絡安全產業(yè)具有一個顯著的特點,，產品研發(fā)和銷售的周期特別長。研發(fā)新技術和產品,，通常需要兩三年以上的時間,。銷售端也是如此，建一支銷售的力量渠道,，也需要若干年的時間,。雖然網絡安全并不是一個燒錢的行業(yè)，但網絡安全企業(yè)想打好堅實基礎發(fā)展更長遠的話,，前期就要做大量的投入,，對于現金流的要求會更高。

　　因此,，不斷對外融資成為網絡安全企業(yè)必須要走的一條道路,。

　　截至目前，微步在線已經經歷了6輪融資,，總的融資額度達到了10億元人民幣,。最近的E輪5億元融資，由CPE源峰領投,，老股東云暉資本等繼續(xù)跟投,，是2021年開年以來到現在為止網絡安全行業(yè)中最大的一筆融資。

　　2020年9月微步在線剛剛完成了3億元左右D輪融資,，半年內合計完成融資8億元,。

　　記者：我們看到這6輪融資的參與機構有很多家，請請問微步在線在選擇投資方時有什么具體的要求和偏好嗎,？

　　薛鋒：說到投資方的選擇,，錢多錢少不是考慮的重點,。投資方首先是要認同微步在線的發(fā)展理念，同時能夠提供強有力的資源來促進企業(yè)的發(fā)展,。投資方不會介入到公司的運營里面去,，只是在你需要什么幫助的時候，他們會看看是否能提供這個資源,。像高瓴資本的投后就做得非常好,，高瓴會特別注重在投完之后，看看你企業(yè)有什么樣的需求,，從最基本的招人,，包括一些其他方面的策劃，包括你的一些可能你需要的一些資源的協(xié)調等等,。

　　記者：微步在線接下來有沒有上市的日程表,？

　　薛鋒：暫時還沒有這樣的日程表。核心原因是因為我們覺得這是一個長期過程,，公司的文化建設和組織能力都還需要花一點時間,，因為公司畢竟到現在還不滿6歲，所以我們可能在多花幾年時間做一些建設的工作,，發(fā)展得更穩(wěn)一些,。

　　記者：作為創(chuàng)始人，您如何評價微步在線目前的行業(yè)地位和發(fā)展狀況,？

　　薛鋒：我們本輪的投資方CPE源峰這樣評價我們,，”微步在線是安全云服務領域的領先企業(yè)，基于其領先威脅情報能力,，打造了全面的威脅發(fā)現和響應產品體系,，在網絡安全領域實現了訂閱制的商業(yè)模式，從技術,、產品和商業(yè)模式上看,，都具有高度稀缺性，是中國非常優(yōu)秀的網絡安全企業(yè),。“

　　當前微步在線公司規(guī)模近三百人,，創(chuàng)始成員來自于亞馬遜、微軟,、阿里巴巴、百度,、美團等公司,。微步在線正在服務包括國家電網、中石油,、工商銀行,、招商銀行,、OPPO、滴滴,、京東,、中信集團、國家信息中心等來自能源,、金融,、智能制造、互聯(lián)網,、政府等行業(yè)的三百余家大型政企客戶,。

　　隨著互聯(lián)網和云計算在我國各行各業(yè)生產和辦公環(huán)境中得到廣泛應用，組織的信息安全面臨著邊界模糊,、環(huán)境復雜,、威脅多樣化等多方挑戰(zhàn)。

　　因此,，將云計算,、大數據等技術與網絡安全行業(yè)進行結合是必然趨勢，網絡安全公司需要把自身安全能力云化后賦能給企業(yè)客戶,。

　　微步在線正在走著一條正確的發(fā)展道路,，迎來快速發(fā)展的機遇期。