Google布局的三家安全情报公司熟了，这个市场起飞了吗?

技术沙龙 | 8月25日与多位资深技术大咖探讨小程序电商实战

一边是坚冰浮沉的蓝海，一边是风吹麦浪的田野。这可谓是中美两国安全威胁情报市场最直观的图景。

Gartner的《2017全球网络安全产业规模发展情况及趋势预测》中显示，2018年全球网络安全市场份额已经达到1060亿美元，首度突破千亿美金。而报告中值得关注的趋势中，安全智能、安全自动化、检测与响应等词十分强势地占据了显要地位，而这些关键词无一不和威胁情报相关。

一个领域真正地火起来，无外乎要经历资本热、行业热和市场热三个阶段。威胁情报行业亦不例外。先成熟起来的美国威胁情报公司们，不约而同地将眼神投向其他地域，而西欧、亚太等地也正在有新成员崭露头角。那么，安全威胁情报市场上是否吹响了混战的号角?对于中国威胁情报市场来说，这阵来自美国东海岸的风，带来的究竟是寒潮还是春天?

一、从一笔D轮融资说起

4000万美金，这是美国威胁情报服务公司Anomali的D轮融资总额。2018年1月17日，Anomali的CEO Dan Barahona 兴高采烈地在官网上宣布了这个消息，并宣称Anomali将把这笔资金投入开发创新的威胁管理和协作解决方案，并扩大在全球范围内的影响力。至此，谷歌投资布局的三家威胁情报公司Recorded Future、CrowdStrike和Anomali全部进入了D轮后的成熟期。

Anomali这家有着Google和CIA(美国中央情报局)In-Q-Tel投资的安全公司已经把球开出了美洲，在Anomali的2017年大事记中，在阿联酋启动一个包括48家银行在内的社区，发布俄罗斯、伊朗乃至中国的国家网络安全概况，宣布与英格兰银行合作等境外动向，一件件可谓历历在目，一步一个脚印昭示着这家公司的野心与胃口。

为什么Anomali会盯着英国、俄罗斯、伊朗甚至中国不放?

我们来看看网络安全大行业的地域性市场份额。在全球范围内，北美、西欧和亚太三地的市场份额能够达到整体的90%以上，呈三足鼎立态势。其中，北美占比41.29%，西欧占比27%，亚太地区占比22.7%。然而增长率又是另一番景象，西欧市场份额增速只有6.5%，北美则达到9.2%，亚太地区的增长速度最高，为9.5%，值得一提的是大中华地区的增长速度遥遥领先，为14%。很显然，亚太地区IT产业近些年快速升温，对从相对成熟的市场中拼杀出来的Anomali们来说，无异于哥伦布望远镜中的新大陆，比尔船长地图里的金银岛。

而在美国市场上的威胁情报创业公司中，Anomali并非最早成熟，亦非最财大气粗。累计融资9600万美金的Anomali，在囤积了2.81亿美金融资的CrowdStrike面前会逊色不少。而同样为谷歌所投资的CrowdSrtike早在2017年5月和10月就完成了1.25亿美金的D轮和D+轮。稍微小一号的Digital Shadows也在2017年9月完成一轮2600万美金的C轮融资，从成长期步入成熟期;谷歌投中的另一家Recorded Future在2017年10月完成了2500万美元的E轮融资，就连融资市场上沉寂许久的ThreatConnect，也早在2015年12月就完成了1600万美金的B轮融资——那时候，中国的第一批威胁情报创业公司们才刚成立几个月。

而Anomali还聘请了首席财务官和首席税务官，这是要上市的节奏吗?不管怎样，Anomali已经用行业报告对中国市场做了一次瞄准，或许在下一回合中，炮击就将着陆。

二、 这个时代没有船坚炮利，只有万物生长

显然盲目恐慌是不明智的，在惊叹美国威胁情报市场的成熟速度之后，我们应当先来看看这些排头兵们都在哪些更细分的赛道上。

CrowdStrike，“Active Defense(主动防御)”理念的提出者和践行者，针对APT攻击，CrowdStrike选择基于云和从sensor上采集的企业内部数据，来对攻击者进行追踪溯源，后来又将威胁情报与终端防护相结合，旗下的主要产品平台Falcon已经涵盖了态势感知、安全智能、EDR、安全狩猎、DNS防护等功能。可以看出，CrowdStrike将威胁情报产品化的路径是横向扩展，成长路径也基本是教科书般的”逐梦安全圈“。

而本文开篇的主角Anomali的路线又略有不同。相较CrowdStrike，Anomali的产品线更加紧凑，围绕威胁情报云衍生出检测平台、管理平台、情报订阅等服务，产出的威胁情报类型也以TAXII和STIX等可机读情报为主，周度的通告类威胁情报报告为辅。

Digital Shadow如其名字，关注阴影中的动向。他们更擅长追踪深网、暗网的威胁情报，以保护公司的业务和声誉。ThreatConnect也以威胁情报本身为出发点，衍生出TIP、TC Manage、开放性社区等产品线路。

同样被Google投资的Recorded Future在2017年10月底完成了E轮融资，主打开源威胁情报;而谷歌早在2012年，还收购了另外一家威胁情报公司Virus Total。

看似威胁情报市场已经被这些公司堵得密不透风了?答案是：NO!

2017年Ponemon Institute公司发布的报告中，有一组十分有意思的数据：

43%的受访者认为其组织对威胁的追踪是有效的，41%的受访者肯定其组织使用威胁情报的能力，但是，认为威胁情报对其组织的安全使命中做出了贡献的受访者达到了86%，认同威胁情报在其组织的安全体系中占到重要地位的受访者也达到了84%。

SANS在2017年发布的《2017年网络威胁情报现状调研报告》中也能够看到同样的趋势：

在情报对于安全方面的提升能力上，19%的受访者认为在阻止和检测方面可以提升50%~75%，在响应方面，18%的受访者认为可以提升11%~25%或者26%~50%。只有0.5%的受访者认为不能提升。

因此，纵观整个威胁情报市场，正好处在一个资本点头、市场打开、产品打磨的蓄水期，目前的市场总容量是几十亿美金，但根据Gartner的《全球威胁情报市场指南》，这个市场的增速一直保持在60%以上，而且到2020年，全球范围内应用了威胁情报的大型公司将从2017年的1%增长到15%。

今年已经是2018年了，童鞋们。

市场增长快的背后是网络环境的严峻。威胁情报的从业者们十分清楚，他们要拳拳到肉搏斗的是团伙作案的攻击者们，而非同行。他们应当庆幸这不是一个拼得你死我活的行业，或者说，很长一段时间内都不会是。眼下的威胁情报市场，将迎来一波前所未有的万物生长。

三、外来从业者们将降维打击还是将水土不服?