中國威脅情報起步之時，沒有香檳砰砰，卻有平板車轔轔。

　　2015年，中關村e世界的賣場還沒未完全清空，穿著深色T恤的商販們神色匆匆，推著一輛又一輛裝滿紙箱的平板車，和幾個西裝革履打著商務電話的人擦肩而過。打電話的人有時候是微步在線的創始人薛鋒，有時候是市場合伙人李秋石——如果打電話的人穿著拖鞋，他可能是技術合伙人，任政。他們的辦公地點就在中關村e世界一個狹窄、逼仄的小房間里，而公司所有人辭職之前的年薪，加起來差不多千萬人民幣。

　　“家具還挺小清新的。”對于那段日子，李秋石一笑而過。

　　就這樣，微步在線啟動了。

　　2015.7-2016.7：觀望

　　在平板車的軋軋聲里，震驚全網的XCodeGhost事件被微步在線溯源而大白于天下，從攻擊者開始著手的時間，到戰術、技術和過程的歷史溯源以及相對應的數據證據鏈，都被微步在線的報告公開。值得一提的是，當XCodeGhost的始作俑者發現自己暴露的時候，曾在微博上表示，這只是一次實驗，他并不存在惡意，而微步在線的報告則證明了他作案時間長、獲取數據多，對他的行為定性有重要作用。

　　“當時我們線上還只有第一版的X情報社區，非常簡單，但是后臺數據能力其實已經就位，而且已經運營了一段時間。薛鋒通過查詢后臺數據發現了蛛絲馬跡，當時就把團隊所有人集合起來，開始了我們第一次追蹤溯源。”李秋石口中的X情報社區，是微步在線旗下的第一款產品，基于微步在線的威脅情報能力而設計成的“情報搜索引擎+開放社區”。XCodeGhost事件被Vista看天下、路透社和國外知名科技媒體DarkReading等媒體爭相報道，威脅情報的威力開始在國內被人所知。

　　但是如果用一個詞來概括2015年中國的威脅情報市場，這個詞應該是“觀望”。

　　“我們參加市場活動打造影響力，但是市場普遍的疑問是，威脅情報是很厲害，可它能幫我們做什么呢?”從2015年7月之后成立的各家威脅情報公司，商業化的產品一般都是威脅情報數據API，還沒有后來的平臺類、管理類、溯源類產品。李秋石認為，這是產品化之路上的必要過程。

　　簡單的產品仍然有明顯的效果，李秋石說，就在2015年，微步在線的API幫助一家客戶破獲了一起被控制主機超過千臺的攻擊事件，由于處置迅速，這家客戶的安全團隊當年績效十分優秀。

　　“當時我們已經有了一些忠實客戶，但付費并不多，選擇我們的客戶都是在安全上投入比較多、有自主研發能力、知道怎么落地威脅情報的技術型客戶。”

　　李秋石表示，回頭來看，API上云是最好的售賣方式，但是當時云上的安全市場還并不成熟，因此最早的銷售是以線下to大B的方式賣API。而大部分潛在客戶一邊叫好一邊觀望，一方面是因為國內的需求才剛剛起步，另一方面也是因為第一批國產威脅情報公司實在太年輕，還沒有做出框架完整、具備一定功能的產品。

　　“那時威脅情報在中國剛剛落地，還不是很大眾化。當第一代威脅情報公司在驗證自己能力的時候，其實客戶也在等待著公司情報能力的驗證。”

　　2016.7-2017.7：開荒

　　如果說第一年是堅冰融化，露出土地;那么第二年就是篳路藍縷，春耕夏耘。從微步在線參加了2016年的RSA大會開始，中國威脅情報市場開始有了那么一些溫度：

　　產品化方面，那一整年微步在線都在主動出擊、收集客戶需求，而從2016年開始，微步在線的兩條產品線“威脅情報檢測平臺”和“威脅情報管理平臺”都正式發布并且開始頻繁迭代。“不止一個客戶提出了產品化的需求，威脅情報管理平臺更是中石油提出的明確需求。”李秋石介紹道。

　　市場進度方面，這一年中微步在線在很多行業中進行開荒，除去常規的金融、能源、互聯網行業外，制造業、游戲行業等也有嘗試。李秋石透露，目前微步在線的大型客戶中，銀聯、招行、中石油等都是在2016年開始接觸的。“我們通過立體作戰方式打入每個目標行業，并把客戶做成標桿，這樣我們在目標行業就有條件遍地開花。”

　　客戶服務體系上，微步在線完善了客戶服務流程，還組建了分析師團隊，負責對客戶提供MDR服務和定期發布威脅情報報告。

　　“我們在不同行業里開始不斷出現標桿客戶，這些標桿又會形成一個新的循環，加快市場對威脅情報的認知。而客戶從開始了解到最后成為我們的客戶，也會經歷一定的周期，但是這個周期會隨著客戶對我們認識的加深而越來越短。”李秋石說。

　　例如證券行業。微步在線借助連續多個行業內安全事件的及時響應與分析形成良好口碑，配合行業快速推進，因此證券業成了微步在線進展最快的行業之一。另一個是能源行業，聽上去有些難以置信，行業的領軍企業找到微步在線，明確提出要對多源威脅情報進行管理，支持多人研判。這個需求無疑是超出當時市場平均需求的，但恰恰是微步在線創建公司時的基礎技術能力。現在威脅情報管理平臺已經成為了微步在線的主要產品線之一，而微步在線也打入了更多能源類客戶。

　　春耕夏耘之后，收獲的季節正在向微步在線一步一步走來。

　　2017.7-2018.7生長

　　這只是中國威脅情報市場的第三年，這個市場仍然處在增長期，擁有無窮的可能性，還遠遠不到豐收的時候。擁有被市場認可的威脅情報能力，也只是微步在線奮斗的起點。此時，微步在線已經建立起以下產品線：

　　基于流量監測，微步在線對應的產品線是威脅檢測平臺TDP，能夠基于企業內部的日志、流量與微步威脅情報數據和機器學習模型，快速、精準發現被黑客和木馬控制的主機;

　　針對多源威脅情報，則有前文提到的威脅情報管理平臺TIP，部署在企業內部，加載微步威脅情報并能對多個源的情報進行統一存儲、檢索、對比，并使用統一的生命周期管理情報從產生、使用、靜默與消亡的完整過程，助力企業全業務線應用威脅情報;

　　對于主要需求為情報查詢的用戶，X社區和情報搜索引擎能夠滿足他們大部分需求，針對文件在線查毒，微步在線也開發了具有威脅情報能力的云沙箱產品，微步在線還有DNS產品;

　　雖然擁有了豐富的產品線，李秋石仍然認為，微步在線的產品化之路還有很大的拓展空間。

　　從技術上來講，微步在線已經建立了一個龐大的網絡威脅數據圖譜(ThreatGraph)。結合目前的人工智能應用已經能夠滿足自動化數據清洗、情報提取、情報生命周期管理、安全狩獵等方面的需求，相比于微步在線的大數據能力，人工智能技術正在成長為微步在線的第二個支柱。

　　從產品覆蓋面來說，微步在線仍然在開發新產品，從更多維度保護企業的數據和業務安全。2018年，微步在線推出了威脅檢測平臺的服務器版以及云沙箱，目標為“安全智能，情報驅動”，目前產品線仍在不斷完善中。

　　而市場進展方面，微步在線已經在上海和深圳開設了分公司，還成功舉辦了第一屆網絡安全分析與情報大會，成為國內威脅情報行業中第一個行業性大會。李秋石透露，今年的情報大會已經準備就緒，將于8月29日在北京開幕。

　　三生萬物，這剛剛過去的三年對于微步在線來說，只是新階段的開端。李秋石表示，微步在線會一直以獨立的姿態生長下去，那么，或許此刻很適合用丘吉爾的一句話來為本文做結尾：

　　“Nowthisisnottheend.Itisnoteventhebeginningoftheend.Butitis,perhaps,theendofthebeginning.”(這不是結束，甚至不是結束的開始，而可能是開始的結束。)束始。