本篇内容来自2022年3月赛博英杰董事长&正奇学苑创始人谭晓生与未来智安创始人兼CEO唐伽佳对话内容。
谭晓生:最近看到网络安全公司未来智安获得了亿元级的A轮融资,公司估值大几亿,这在安全创业公司里可以说是“明星估值”。从正面看这是一个好事儿,资本市场对未来智安的团队和方向都比较认可,但初期就融了这么多的钱对公司来说也是一个巨大的压力。下一轮融资之前营业收入能否跟上?几千万乃至一个亿的融资要如何来花?今天我们一起来跟专注于XDR赛道的初创企业——未来智安的CEO唐伽佳,一起聊聊他的创业那些事儿。
唐伽佳:我们2020年成立以来一共经历了三轮融资,最早是红杉中国,中间是某基金领投,第三轮是君联资本领投,前前后后拿了1个多亿。整个节奏是从去年10月份开始启动,在年底完成融资。
我们的想法很清晰,定位就是XDR,大家对XDR有很大的期待和憧憬,它能切切实实地去解决客户的核心问题,能抓住客户真实的痛点。当然,想做好这个事儿需要很大的投入,对于未来智安来说,我们投入最大的就是三部分:一是NDR,二是EDR,三是XDR(聚合NDR和EDR的数据源,形成快速响应和处置以及SOAR的编排能力)。我们在人员投入上花了很多钱,要做的就是聚焦于威胁检测和响应这个赛道,我们认为这条路虽然可能是漫长或者困难的,但是这条路一定是对的。
虽然我们在XDR的产品化上是一个0到1的过程,但对于团队人员的经验来说不是从零开始,我们团队流量侧、终端侧的成员大多来自国内一线产品队伍,EDR团队曾经也做过万人使用级别的EDR产品,我们的团队在这方面具备非常扎实的经验,这条赛道也是我们最擅长的事情。
谭晓生:人才的能力是你们团队得到高估值的重要原因,但其实你的团队也是由来自不同领域的人员在过去一年多聚合在一起,从前段时间的融资消息也看到未来智安XDR平台已经迭代到了3.0版本,那你是通过什么样的方式来做好人才选拔,保障团队协同、团队能力和产品迭代的节奏保持一致呢?
唐伽佳:谭校长您是比较理解的,网络安全行业最稀缺的人才并不是说他能写多少代码,而是他对这个产业的经验值和对业务的看法,他如何去实现我们的目标?代码的工作量其实并不大,对安全的深度理解去设计和架构产品是关键,过程当中也会用到最新的技术框架并进行优化,包括使用很多微服务架构,例如我们用K8s、Docker等容器。再比如数据库,我们现在只用ES做一部分的搜索,存储用ClickHouse 。
举个例子,为什么说SOC很难形成XDR这条思路?因为SOC的思路是从上往下,就是我先定义一个SOC(日志管理平台),我要消费日志,对日志进行各种加工,日志来自各种厂商的各种设备类型,数据很零散,质量良莠不齐。但XDR定义的是威胁检测响应平台,它是提前对数据做定义,你要消费EDR、NDR的数据,对字段做定义,才能很好的形成事件模型、事件规则、事件起因的运转。所以我们在流量采集和终端采集的时候,提前对字段做了很多工作,包括格式化、数据结构等等才去形成事件引擎和事件规则有效的输出。这就是为什么SOC很难形成事件化的原因。
其实“事件”是很早之前的一个概念了,SOC一直也是在这上面做事,但SOC不能定义我要用什么数据,它会随着产品的变化而变化。不同厂商产品的日志、规则和告警的质量千差万别,甚至我们看到有些NDR厂商的产品直接用了开源的Snort,质量是很差的,告警质量没法保证,检测和响应也就无从谈起。
谭晓生:是不是XDR最好是自己原生?
唐伽佳:是的,原生的一定是最好的。像Palo Alto、CrowdStrike都是说我就是做原生,但是对于一些小的XDR创业公司没有办法,它要切入这个市场,他没有话语权跟客户说把NDR去掉,我们也是遇到这个问题。这也意味着我们要有更多的投入,投资人经常说我们做的确实是一件正确的事儿,背后的意思就是同时也要花很多的钱。
但是未来智安的业务表现是不错的,其实我们这几块的业务做起来都不容易,成立以来花了一年半的时间去做各种研发,目前研发团队的规模接近百人,去年9月份开始正式卖我们的产品,2021年做了上千万的合同,今年我们是希望能有几倍的增长。
谭晓生:今年预期增长多少?
唐伽佳:预期大几千万吧。对于我们来说,现阶段大规模的去做客户交流并不多,因为客户已经听了很多的宣讲,我们在客户的选择上是明确的,会更加关注客户的需求。我们帮客户立项之后,进去做POV测试(V-value),基于客户的痛点,让他看到实际上的价值,比如我们现在的金融、能源等行业客户,都是可以实际看到XDR的价值的。
谭晓生:正好说到客户的话题了,可以展开说一下你们的客户定位么?
唐伽佳:去年我们在做客户定位的时候就思考过这个问题。
首先我们是一家创业公司,创业公司在网络安全这个市场中是有一定的门槛的,包括成立时间、注册资本、资质等等这些条件现阶段在卡着,所以我们前期会选择比较Open的行业,例如能源、金融,比如国家电网,银行、证券等,目前这两个行业是我们重点死磕的。
政府和运营商是网络安全初创公司比较难进入的行业,但我们希望挑战一下运营商,先不谈赚钱,更多是想拿下一个运营商标杆,它可以证明我们的技术正儿八经的被运营商客户验证,所以运营商也是我们的一个核心重点。
谭晓生:目前的客户里面有HW背景的采购么?
唐伽佳:没有,HW是去年4月份的事情,我们产品是9月份开始进入市场的。
谭晓生:那你们的销售策略是什么?
唐伽佳:今年3月份我们在北京开了一个渠道大会,邀请了华北地区50多家优质渠道商,把我们的标杆案例做了分享,请资深的渠道玩家和我们一起来做。我们的产品标准化程度还是比较高的,渠道商也能玩得转,但我们渠道策略的优势是我们与渠道伙伴会一起到客户面前,后面的交流和安全服务都是由未来智安原厂进行提供,因为我们的想法是客户的口碑很重要。
刚刚完成的这轮融资也会主要用于市场开拓和研发投入。
谭晓生:那说回融资,你下一轮融资有计划吗?
唐伽佳:目前预期在今年年底。
谭晓生:那下一轮你们就会遇到估值的问题了,你今年就算是完成了亿元级融资,现在大几亿的估值来说也是高的,你打算怎么搞定下一轮的融资?
唐伽佳:对于未来我还是比较乐观的,投资人和我们的客户都是价值导向,今年疫情这么严重,我们客户预算反而没有砍,这点让我们很欣慰。我们的产品能够解决客户的痛点,我也找投资人聊过,可能我们PS指数确实比较高,但我们的客户对XDR产品的需求是刚需,投资人也认为我们是非常值得投的,我们的业绩增长速度是可以支撑未来的发展。
谭晓生:您多次提到XDR是很正确、很有价值的一条路,当时是怎么开始选择这个方向的。
唐伽佳:这个其实比较有意思,最开始我们想的是EDR和NDR特别好,而且我们擅长威胁检测和运营。后面选择做XDR是因为我们看到了客户的痛点。之前有客户跟我抱怨说,“你们能不能把告警量降一降!”我就想,我们如果把这个问题给解决了,那得是多么NB的一个产品!告警量降下来,客户运营投入从以前的几十个人一下减半,你给客户创造了多少效益?这么一个有价值的东西,我们是不是能实现?
后来我们跟Gartner聊的时候,发现他们也认为这个概念非常好,如果能把XDR这个事儿做好的话,他们认为这是安全的未来。我们一听就很兴奋,因为这刚好和我们想做的事情是一样的。
谭晓生:那从你与客户的交流经验来看,客户对XDR的接受程度是怎么样的?
唐伽佳:从我目前接触的客户来看,可以大致分三类客户。
第一类XDR客户属于空白客户,目前安全的架构偏老,网络边界主要是偏IPS、IDS这种基于特征的检测防护产品,终端、服务器侧基本是裸奔,个人PC比较重管理,还有一些防病毒产品。这类客户对于EDR、NDR这类产品是一个空白状态。但是随着安全的建设,客户也会听说或接触过EDR、NDR,但是还没有部署过。这类客户反而对XDR的接受度更高,当你跟这些客户聊XDR的时候,他们会眼前一亮,他们认为XDR是可以取代EDR和NDR的,这类客户会觉得,不用做EDR和NDR了,直接上XDR就行了。
谭晓生:这类客户有画像吗?
唐伽佳:典型的就是小金融,他们在这部分的建设不会特别超前。
第二类XDR客户是已经买了很多EDR和NDR,但其实客户对EDR和NDR的概念并不清楚也不在乎。他们关注自己遇到的痛点,会跟你强调他们的使用场景。这种情况在大金融表现得明显一点,他们关心资产这一块,更需要我们去帮他们做全面的攻击面管理。这类客户安全投入比较多,安全人员也多,异构设备也多,用客户自己的话说就是他们现在需要的是建立一套安全生态,拥有整体的安全能力。我们为客户建一个平台,并不是仅仅提供一个产品,客户不会被我们绑架,我们帮客户一起来建设平台后面的一些异构设备,帮他们把数据连接起来。但是不会做成第二个SOC,这类客户之前为满足合规已经部署过SOC了。
从这类客户身上你也能看出来概念对客户来说不重要,你能不能把握住客户的核心痛点和核心需要是最重要的。
第三类XDR客户就是很明确、很清楚地提出“我就是要EDR”,“我就是要建设NDR”。这类需求在运营商比较多,能源行业我们遇到的也比较多,这类客户的预算是滚动的,从一两年以前就开始有EDR和NDR的预算了,目前处于一个EDR的建设周期,客户认为你叫XDR也好,叫什么“DR”都无所谓,满足EDR的能力最重要。
基本上就是这三类。总的来说目前金融行业对XDR的需求还是最大的。
谭晓生:咱们用户用了XDR之后,他能最明显感受到的好处有哪些?
唐伽佳:第一点从运营角度来讲易用性非常明显,他不用NDR和EDR互相去切了,告警来了以后不用互相去验证和溯源,XDR直接就可以做到。
谭晓生:这种易用性效率的提升有数据吗?用了XDR以后,处置告警的时间效率缩短了多少?
唐伽佳:时间是8倍以上的提升。8倍是一个比较保守的数字,过去三个小时完成的事件处理,现在平台大概几分钟就可以完成整个过程的查看。
唐伽佳:第二点是告警有效性的提升,当NDR 出现一千万条告警的时候,可以不用每一条都去核实和查看了,直接看出来的事件(Incident)就行了,也就是说只需要看他所关注的内容和角度的告警就可以了。现在未来智安的XDR客户每天处理Incident的数量是有质变的,以我们某个大银行客户为例,基本上每天是6条,另一家大银行每天是十几条。
除了前面提到的两点,第三个客户明显感受到的好处就是运营效率的提升,XDR里的“R”就是Response,这个对客户来说是一个很重要的点。这里面包括Response自动化,这个自动是打“引号”的“自动”,就是说我们对于你这个告警字段的定义到达了自动的标准,比如可以让防火墙去自动封禁,或是流量自动做旁路阻断,可以在平台上自动的去操作。
我们未来智安XDR的Playbook目前是130多条。包括告警核实、事件处置、三方联动等三大块。
第四个客户能感受到的关键功能是对违规操作的发现。比如我们某互联网客户的运维团队会经常出现一些违规操作,比方说私开一个高危端口,利用高危端口在家远程办公,客户也没有买堡垒机,这个问题其他安全产品是很难发现的。但是NDR和EDR这里面的流量日志和终端日志是可以发现、定义和描述这类行为的,我们可以建一些异常场景模拟来发现这种违规操作。
谭晓生:可以总结一下未来智安XDR产品的优势和亮点么?
唐伽佳:第一是我们检测的全面性,从原生的角度来讲,我们能完整检测和采集流量、终端攻击告警和数据,对于流量和终端检测的覆盖面能够保证客户在威胁检测层面基本上不会有遗漏。
第二是告警的有效性高,基于XDR平台智能化事件分析引擎(AiE)的分析规则,让客户看到Incident背后的逻辑和关系,自动将每天千万级零散告警生成跨终端和网络的几十条完整攻击事件(Incident),攻击检测有效性提升百倍以上。
第三是高效性,XDR平台内置超过百余条攻防剧本的自动化安全编排技术(SOAR),实现威胁事件响应处置的高效自动化,将威胁事件运营效率从过去小时级提高到分钟级,运营效率提升8倍以上。
谭晓生:那最后唐总可以再跟大家介绍一下未来智安这家公司么,为什么会起这个名字?
唐伽佳:我们公司叫未来智安,起这个名字的时候是希望我们能一直坚持科技创新,用未来的眼光和未来的技术实现为当下的问题提供价值,当我们面对用户时,未来智安希望能够做到智能化、自动化的安全,用安全赋能用户业务发展价值。未来智安的核心价值是“诚实守信,责任担当、知行合一”,先知后行,基于我们的价值观和认知,去做正确的事情。
评论