在高级威胁形势日趋严重的今天，攻击溯源的重要也凸显出来。国内做APT防护的安全企业很多，最近一家以攻击溯源为核心技术的公司——中睿天下，宣布获得蓝湖资本Pre-A融资2000万元。安全牛借此采访了中睿天下CTO魏海宇，得以近距离了解这家初创企业的发展理念。

魏海宇

个人简介

魏海宇，现北京中睿天下信息技术有限公司首席技术官，曾在赛门铁克和东方微点从事计算机反病毒工作，并参与了微点反病毒软件开发的全过程。除此以外，魏海宇还曾与中标麒麟合作开发国产操作系统的反病毒软件，并在2013年任北京华永兴安科学技术有限公司研发总监，负责安全产品的开发。

一、安全市场并未成熟 基础安全是关键

安全牛：中睿天下是一家专注攻击溯源的初创企业，如何看待这个细分领域的市场？

魏海宇：我们做溯源某种程度上来讲有点误打误撞。因为早年我们这些人从事的工作，就包含对境外黑客犯罪活动的追踪，经过这么多年从中梳理出自己成套的技术体系和方法论后，再做这方面产品的时候，就比较得心应手。

因此公司一开始的定位是做攻击溯源。但我认为，APT防护才是一个信息安全高级阶段的真正需求，但目前这个市场还有待整个信息化的成熟。

我们公司核心的人员做这行有十四五年了，从2000年的网吧时代一直到现在的信息爆炸时代。回过头来看，目前很多网络安全的知识，都是当年这批人摸索出来的，网络这个行业到目前为止并没有老师，它的知识，它的体系，包括法律法规，还都进化过程中，并没有到达一个非常成熟的阶段。

安全牛：也就是说，APT防御的市场目前还没有打开？

魏海宇：我们可以以美国的安全行业发展为例来看。美国把整个国家或者全行业的信息化作为基本国策，已经有20多年了。在它的信息化发展过程中，一直都在与传统的攻击方法，如病毒、恶意软件，进行对抗。直到最近几年，才诞生了火眼(FireEye)这一类专注APT防护的安全公司。

反观国内，大量的央企、部委目前还停留需要解决统一认证、统一接入等传统的信息化建设问题的阶段。用一些甲方的话来说，“我现在连乌云上曝光的那些普通的黑客攻击都防不住，你跟我谈APT防护？”

其实目前国内绝大多数真正的安全需求，有点类似于一个居民小区。首先要解决的是摄像头监控、防盗门防盗，并雇用小区保安等基本安全问题。而APT则更像是核武器，属于军方、国家安全层面上的需求，并不适用于全社会。

因此我们公司的定位，是希望在中国的信息化大浪潮中，帮助大型企业解决最为基础的信息安全问题，而并非专注于APT防御。虽然我们具备这种安全能力。所以我们现在的市场宣传，更多的是帮助企业进行网络攻击全生命周期的检测和拦截。

未来几年，公司的战略方向是帮助全中国的企业解决最基础的信息安全建设。五年之后，或者说等到整个中国的信息化程度较高的时候，APT才会成为普遍需求。到了那个时候，可以基于我们的技术和对各行业的深入了解，再去梳理出APT防御的流程规范，来服务更多的企业。

二、打造覆盖整个攻击流程的防御体系

安全牛：既然是解决基础信息安全问题，作为一家初创企业，你们的产品有何优势呢？

魏海宇：我们是做攻击溯源的，这种技术在整个电子取证领域是最难的一个环节。因此我们的产品围绕着这个核心展开，说它是IDS也行，说是态势感知也行，要威胁情报也有威胁情报。硬要有个定义的话，是从攻击开始到最后解决/修复问题这一全生命周期的安全监测类产品。

安全牛：能否具体解释一下？

魏海宇：客户采购任何一款工具的目的是解决问题，谁能够帮助客户更快更有效率的解决问题，那么谁的产品就会被采购。没有人会愿意看IDS的成千上万条报警日志，大家需要的是将这些数据进行关联化分析，得到一个比较清楚的输出结果。

我们在各个领域里都有非常擅长电子取证的专家，把每个人的能力、经验融合在一起成为检测模型，最后得出检测结果。这个结果不一定百分之百准确，但一定会比经验不足的人分析出来的结果更为客观和直观。

比如我们的睿眼产品系列，可以将一般需要一个月的流量分析工作压缩在10分钟之内。这是因为我们把攻击是否成功的判断给到了客户，而不是许多传统安全产品的做法，发出攻击告警但攻击是否能真得造成危害却不得而知。

以某一攻击事件为例，它的作案工具、作案动机，包括时间、地点、人物身份等信息的获取和判断本身就属于安全领域中的一个难点。因此我们在最开始的产品设计阶段，就围绕着电子取证的整套方法论来进行。对于用户来说，无需自己对各种数据进行关联，而是通过我们的系统对攻击事件的时间地点、作案工具、攻击者身份等进行快速研判，包括如何解决。这是贯穿电子取证过程全生命周期的，而且是在一套界面内便可了解整个事件的完整过程。

另外一点，我们还考虑到之前对日志的分析结果，能否对新来的用户起到培训的作用。所以我们的产品还强调对思路、知识的积累与调用。用户使用一段时间之后，会发现对攻击事件的分析维度变多了，因为这里用到的方法论是由中国顶尖的电子取证专家的经验构成的。我们不只帮助客户解决直接的安全问题，同时也希望通过将我们对攻击的思路和知识，用产品的形态融入，潜移默化地帮助客户提升安全认知，提升安全防护技术水平。

那些信息化程序比较高的企业，他的知识或认识已经进阶到一定阶段，因此需求也更深。原来更多的安全需求是能否拦住攻击，经过这么多年，发现不可能做到百分百拦截。于是就有了“漏洞在哪里？谁在攻击我？攻击核心目标是什么？”等新的问题，最终进化到对整个环境进行关联化分析的安全需求。

三、成为独角兽至少需要四年

安全牛：这种针对整个攻击流程的防御体系产品，是否需要很长时间的打磨？如何渡过成长期呢？

魏海宇：我认为一个安全创业公司，想达到一定规模进入稳定发展阶段或说成长为独角兽，至少需要四年。第一年做产品研发，第二年市场推广，第三年被用户企业接受，第四年才可能形成大规模销售。这也就意味着，在这几年中它的资金链不能断。

不仅如此，还要把握节奏，不能太超前。比如之前我很看好的洋葱。也不能跟着别人走。一个初创企业没有创新只靠跟随的话，是没有大前途的。商业里有句话，叫做半步超前理论。

安全牛：那在资金方面会不会有很大压力？

魏海宇：公司刚成立的时候并没有融资，都是创始人自己出钱。而且在公司成长的过程中，我们非常注重财务健康，在每一个环节都有成本控制。

2016年我们四十几个人做到了3000多万的营收，这次的Pre-A融了2000万元，我们在众多投资方中选择了蓝湖资本，是因为双方对安全行业的理解和公司未来发展战略高度契合。其实从现金流来说，我们并不急需资本的注入，本次的融资对公司的意义，主要在于股权的量化和资本方的背书。任何一个机构随着规模的扩大，各个方面都需要规范，不管是财务、法务，还是业务运营、人员行政。借着此次融资，我们也将这些事情统一制度化规范起来。

公司2014年成立，到了2015年开始盈利，目前客户群体覆盖了金融、电力、石油、教育、运营商、国家部委、互联网等诸多行业，客户数量已超过100多家。产品从最早较为单一的溯源做到现在的5类产品线。刚才说过，一般产品研发出来到形成稳定销售需要两年左右，所以我们预计2018年应该能够初具规模。

四、服务于中国500强企业

安全牛：你们今后几年的企业发展理念是怎样的呢？

魏海宇：一个安全公司从小做到大基本要经历四个阶段。我们刚成立的时候做服务，可称之为劳动密集型阶段。到了第二个阶段，就是我们现在的状态，把安全能力产品化。第三个阶段，我把它叫做解决方案阶段，就是通过不同产品的排列组合，来解决不同场景的需求。这个阶段可看成是规模化发展的转型阶段，非常关键。最后一个阶段，应该是成为平台。

我认为至少在目前，安全行业还没有出现这种平台性的企业。一个行业成熟的标志就是出现垄断性的大公司，如搜索中的谷歌、电商里的阿里巴巴等。只有当某行业中出现一个占市场份额一半以上的“巨无霸”，这个行业才算开始真正意义上的进入到成熟期。

安全牛：你如何看待传统的网络安全大厂商？

魏海宇：我把国内的安全公司分为三大势力，一是传统安全上市企业。这类公司的规模体量、产品形态和市场覆盖范围，在国内都是最强的。第二股势力由原来很多从事信息化的公司构成，如华为、新华三以及一些央企的三产公司。第三类就是初创、新兴公司。

传统势力的公司，可能会在新产品研发上投入较小，并更关注在渠道市场进行收购，然后逐渐由一个技术型公司转变成平台型的公司。因为仅通过产品研发要做到几个亿利润的话，是要投入大量的人财物和时间资源的。但如果通过收购一个公司再放到股市上，翻倍是件很容易的事。

而第二类公司它的精力还是更多的在整个IT业务上，安全所占比例的仍然太小。因此，给予了我们这些以技术为核心的初创公司，一定的生存和发展空间。

安全牛：这个空间有多大呢，你们的服务对象又定位于哪些客户？

魏海宇：中国企业家协会2015年发布的报告显示，仅中国企业500强的营收就占到全中国GDP的93%。从某种角度上来讲，管理好这500家公司的发展，就意味着管理好中国的整体经济。从安全的角度来看，因为这些公司代表中国最先进的信息化水平，所以这也是安全公司最重要的服务对象。

当然，还有一些传统的制造业。虽然他们目前的信息化程度较低，但全社会的信息化、数字化是大趋势，这些企业迟早会考虑如何来保障业务系统的安全。那么在这个真正意义上的春天到来之前，我们的客户群体就应该是中国信息化程度最高的这些企业，以及国家的部委办局。

安全牛评

诚如所言，针对APT攻击的防护在信息化尚未成熟的时期，市场需求主要还在于国家安全层面。而更为广泛、基础的安全防护工作，无论对于安全公司自身还是各行各业有安全需求的企业，都更应予以关注和重视。