Google布局的三家安全情報公司熟了，這個市場起飛了嗎？

一邊是堅冰浮沉的藍海，一邊是風吹麥浪的田野。這可謂是中美兩國安全威脅情報市場最直觀的圖景。

Gartner的《2017全球網路安全產業規模發展情況及趨勢預測》中顯示，2018年全球網路安全市場份額已經達到1060億美元，首度突破千億美金。而報告中值得關注的趨勢中，安全智能、安全自動化、檢測與響應等詞十分強勢地佔據了顯要地位，而這些關鍵詞無一不和威脅情報相關。

一個領域真正地火起來，無外乎要經歷資本熱、行業熱和市場熱三個階段。威脅情報行業亦不例外。先成熟起來的美國威脅情報公司們，不約而同地將眼神投向其他地域，而西歐、亞太等地也正在有新成員嶄露頭角。那麼，安全威脅情報市場上是否吹響了混戰的號角？對於中國威脅情報市場來說，這陣來自美國東海岸的風，帶來的究竟是寒潮還是春天？

一、從一筆D輪融資說起

4000萬美金，這是美國威脅情報服務公司Anomali的D輪融資總額。2018年1月17日，Anomali的CEO Dan Barahona 興高采烈地在官網上宣布了這個消息，並宣稱Anomali將把這筆資金投入開發創新的威脅管理和協作解決方案，並擴大在全球範圍內的影響力。至此，谷歌投資布局的三家威脅情報公司Recorded Future、CrowdStrike和Anomali全部進入了D輪後的成熟期。

Anomali這家有著Google和CIA(美國中央情報局)In-Q-Tel投資的安全公司已經把球開出了美洲，在Anomali的2017年大事記中，在阿聯酋啟動一個包括48家銀行在內的社區，發布俄羅斯、伊朗乃至中國的國家網路安全概況，宣布與英格蘭銀行合作等境外動向，一件件可謂歷歷在目，一步一個腳印昭示著這家公司的野心與胃口。

為什麼Anomali會盯著英國、俄羅斯、伊朗甚至中國不放？

我們來看看網路安全大行業的地域性市場份額。在全球範圍內，北美、西歐和亞太三地的市場份額能夠達到整體的90%以上，呈三足鼎立態勢。其中，北美佔比41.29%，西歐佔比27%，亞太地區佔比22.7%。然而增長率又是另一番景象，西歐市場份額增速只有6.5%，北美則達到9.2%，亞太地區的增長速度最高，為9.5%，值得一提的是大中華地區的增長速度遙遙領先，為14%。很顯然，亞太地區IT產業近些年快速升溫，對從相對成熟的市場中拼殺出來的Anomali們來說，無異於哥倫布望遠鏡中的新大陸，比爾船長地圖裡的金銀島。

而在美國市場上的威脅情報創業公司中，Anomali並非最早成熟，亦非最財大氣粗。累計融資9600萬美金的Anomali，在囤積了2.81億美金融資的CrowdStrike面前會遜色不少。而同樣為谷歌所投資的CrowdSrtike早在2017年5月和10月就完成了1.25億美金的D輪和D+輪。稍微小一號的Digital Shadows也在2017年9月完成一輪2600萬美金的C輪融資，從成長期步入成熟期；谷歌投中的另一家Recorded Future在2017年10月完成了2500萬美元的E輪融資，就連融資市場上沉寂許久的ThreatConnect，也早在2015年12月就完成了1600萬美金的B輪融資——那時候，中國的第一批威脅情報創業公司們才剛成立幾個月。

而Anomali還聘請了首席財務官和首席稅務官，這是要上市的節奏嗎？不管怎樣，Anomali已經用行業報告對中國市場做了一次瞄準，或許在下一回合中，炮擊就將著陸。

二、 這個時代沒有船堅炮利，只有萬物生長

顯然盲目恐慌是不明智的，在驚嘆美國威脅情報市場的成熟速度之後，我們應當先來看看這些排頭兵們都在哪些更細分的賽道上。

CrowdStrike，「Active Defense（主動防禦）」理念的提出者和踐行者，針對APT攻擊，CrowdStrike選擇基於雲和從sensor上採集的企業內部數據，來對攻擊者進行追蹤溯源，後來又將威脅情報與終端防護相結合，旗下的主要產品平台Falcon已經涵蓋了態勢感知、安全智能、EDR、安全狩獵、DNS防護等功能。可以看出，CrowdStrike將威脅情報產品化的路徑是橫向擴展，成長路徑也基本是教科書般的」逐夢安全圈「。

而本文開篇的主角Anomali的路線又略有不同。相較CrowdStrike，Anomali的產品線更加緊湊，圍繞威脅情報雲衍生出檢測平台、管理平台、情報訂閱等服務，產出的威脅情報類型也以TAXII和STIX等可機讀情報為主，周度的通告類威脅情報報告為輔。

Digital Shadow如其名字，關注陰影中的動向。他們更擅長追蹤深網、暗網的威脅情報，以保護公司的業務和聲譽。ThreatConnect也以威脅情報本身為出發點，衍生出TIP、TC Manage、開放性社區等產品線路。

同樣被Google投資的Recorded Future在2017年10月底完成了E輪融資，主打開源威脅情報；而谷歌早在2012年，還收購了另外一家威脅情報公司Virus Total。

看似威脅情報市場已經被這些公司堵得密不透風了？答案是：NO！

2017年Ponemon Institute公司發布的報告中，有一組十分有意思的數據：

43%的受訪者認為其組織對威脅的追蹤是有效的，41%的受訪者肯定其組織使用威脅情報的能力，但是，認為威脅情報對其組織的安全使命中做出了貢獻的受訪者達到了86%，認同威脅情報在其組織的安全體系中佔到重要地位的受訪者也達到了84%。

SANS在2017年發布的《2017年網路威脅情報現狀調研報告》中也能夠看到同樣的趨勢：

在情報對於安全方面的提升能力上，19%的受訪者認為在阻止和檢測方面可以提升50%~75%，在響應方面，18%的受訪者認為可以提升11%~25%或者26%~50%。只有0.5%的受訪者認為不能提升。

因此，縱觀整個威脅情報市場，正好處在一個資本點頭、市場打開、產品打磨的蓄水期，目前的市場總容量是幾十億美金，但根據Gartner的《全球威脅情報市場指南》，這個市場的增速一直保持在60%以上，而且到2020年，全球範圍內應用了威脅情報的大型公司將從2017年的1%增長到15%。

今年已經是2018年了，童鞋們。

市場增長快的背後是網路環境的嚴峻。威脅情報的從業者們十分清楚，他們要拳拳到肉搏鬥的是團伙作案的攻擊者們，而非同行。他們應當慶幸這不是一個拼得你死我活的行業，或者說，很長一段時間內都不會是。眼下的威脅情報市場，將迎來一波前所未有的萬物生長。

三、外來從業者們將降維打擊還是將水土不服？

在中國的IT市場中，外來的和尚從來就不太好念經，所謂的去IOE可以算作是一個先例。雖說《網路安全法》的頒布標誌著合規即將進一步推動行業，但誰能說網安行業中沒有IOE的陰影呢？國內威脅情報用戶很可能不知道一個「潛規則」：根據US-CERT對威脅情報的分級標準，有關當局禁止向中資企業出售高價值商業情報，而國際上最知名的金融行業威脅情報合作組織也未開放中資金融機構的申請。這意味著，一味追捧國外情報廠商，最終很可能變成地緣歧視的受害者。

況且，從2015年開始，國內也成長出了一批威脅情報創業公司，這些土生土長的創業團隊們大多數都是安全圈裡的大神，背景驕人，經驗豐富，不僅有著多年積累下來的資源，也十分熟悉國內甲乙方的規則套路。

這其中跑得最快的微步在線已經融完了B輪，正在進一步完善產品線，走情報管理與威脅監控相結合的路線，也有威脅情報開放社區等產品；天際友盟則主打聯盟和分發，同時也推出了平台性的產品，此外還有品牌保護服務；白帽匯是在威脅情報「知彼」的同時，主打資產的抓取和清點，將「知己」也作為一條同等重要的產品線，可圈可點。這三家創業公司可以說是國內威脅情報創業公司中的第一梯隊了，而它們正在變得麻雀雖小，五臟俱全。

有意思的是，這些創業公司在實際銷售中，遇到的對手都是賽門鐵克、卡巴斯基這種國際老牌大廠，基本是「抗歐美」，內戰不多。而從筆者查詢的公開招投標結果來看，國外公司中標非常少，競爭力可能還不如國內的創業公司，呈現出較嚴重的水土不服。因此，中國的威脅情報市場上，本土企業或許會有獨特的優勢。

2017年的網路安全大事中，充斥著APT動向、比特幣勒索軟體、釣魚郵件以及後門漏洞，這意味著不管是深耕中國市場多年的老牌安企，還是正體驗創業維艱的小公司們，或者全球威脅情報領域的強勢新秀，都將迎來近乎同等的發展機遇，很有可能打起一場混戰來。但在這樣的機遇面前，別嘲笑小公司的羸弱，也別鄙視大公司的笨重。畢竟，在這場薛定諤的混戰中，弱小和無知不是生存的障礙，傲慢才是。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！