我第一次知道薛锋是在 2015 年，当时一个程序员朋友跳槽投奔他，我就问朋友这人是谁？朋友说，一个离职创业的大牛，技术炸裂，我问有多炸裂，结果朋友给我说了一段绕口令：“ 当年薛锋挖微软漏洞挖得微软直接挖他到微软” 。我花了半天才捋明白，伸出大小拇指直呼666。

朋友说，薛锋打算创业做“威胁情报”，我问他威胁情报是啥，他顿了顿神说：咳咳……谍战片看过没？战争情报知道吧，“威胁情报”就是黑客之间干仗用的攻防情报。

我当即脑补出薛锋的“情报大佬”形象：眼神犀利， 身穿黑衣，面带刀疤，叼着雪茄，来去神秘，行踪不定 ……

直到后来认识了薛锋本人，才发现原来网络安全界的“情报大佬”长这样……

上周见到薛锋时，他 一如往常穿着商务范 polo 衫和棕黄色长裤，戴着细框眼镜。讲到起劲时，他会立即起身在玻璃墙上写写画画，清瘦不高的他，颇像个青年教师。

事实证明电影里都是假的，现实中厉害的技术大牛都挺低调。

薛锋不仅是技术大咖，还是个出色的创业者。三年里，他的公司“微步在线”一年一融资，去年刚拿了1.2亿元，这在国内安全创业公司里并不多见。

更厉害的是，薛锋是中国最早一批做威胁情报的创业者，他的故事基本映射着国内威胁情报市场的整体发展。

今天浅黑来八一八他的创业故事。

时间回到2015年5月的一个夜里，薛锋激动得彻夜难眠，第二天一早他就约了几个好朋友出来，邀请他们一起辞职创业。

头一天，薛锋和这几个朋友聊起威胁情报，提到一家相关的公司，就建议大家趁着估值不高可以投资一下，大家一番讨论后都觉得方向不错，可谁也没料到薛锋的真实意图居然是想自己干，更没想到这么突然。

虽然薛锋事后说 “ 其实当时并没想太多，与其投资别人，不如自己干”，可那会儿他是亚马逊中国首席安全官， 工作稳定待遇优厚，就这么 说辞就辞了？

都说创业是九死一生， 是什么能让他下这种决心？不做不行，连投资别人做都不行，非得自己做？家里有矿吗？

会议室里，薛锋淡定地推了推眼镜，说：

“那两年我常琢磨一个问题： 为什么很多大公司都能被黑客组织扒个底朝天？ 哪怕他们 雇佣了一流的安全技术人员。哪里出了问题？”

当时他在一份数据泄露报告里看到一个惊人的数字：美国仅在2014年就有8万多家公司被黑客攻破，不少大公司 被钉在信息安全的耻辱柱上。

“ 索尼影业，上到高管薪资，下到普通员工的个人信息全都被疑似来自朝鲜的黑客公诸于众。美国最大的金融服务机构之一，摩根大通集团丢失了七千多万的客户信息。”

薛锋发现， 当时的信息安全太过于依赖防御技术，一道防火墙，黑客突破之后便是一马平川，整个网络就像是唱空城计。

在那种格局下，攻防双方存在严重的不对等，攻击的一方占尽了便宜。

时间上，攻击者总是更快，防御者只能被动防护；工具上，攻击者可以随意尝试各种方式，而防御者一成不变；人数上，一家企业可能被几十个甚至上百个攻击团伙轮番上，姿势还各不相同。

更要命的是敌暗我明，防御者完全不知道对方是谁，用了什么工具，甚至不知道来过几波人。

“这就好比你天天听见撬门声，可每次开门都发现没人，又做不了任何事。”

这恐怕是那时几乎所有安全防守方的焦虑。

2015年，薛锋接触到一家名叫 Crowdstrike 的安全创业公司，得到了灵感。

“他们彻底换了个思路，除了检测可疑样本，还会排查程序和程序之间的关系、电脑与服务器之间的网络关系，利用各种信息的关联分析来判断威胁来源。

“还说撬门的例子，光靠一把锁是不能阻止坏人的，你需要专业的监控设备，比如摄像头来发现闯入的坏人。

如果问题很严重，当警察来了，他们 会通过撬锁痕迹辨别对方的工具、专业水准，会询问保安最近有什么可疑人员出入过小区，会调取摄像头监控记录，根据样貌比对是否附近的惯犯…… 他们会调取一切有用的线索来还原作案过程和嫌疑人画像，最终 找到犯罪嫌疑人。

前半段是监控，后半段是溯源。” 薛锋说。

显然，如果赛博世界里的防御者也拥有老警察一般的侦查能力，就也能利用各种数据来还原攻击过程，定位到攻击团伙，叫来警察上门查水表。

而这种方法在国外当时已被验证可行，这让薛锋兴奋不已。

“一个团伙黑客团伙的目标行业特点、攻击手法、工具、利用的漏洞、木马样本、服务器域名、IP、数字证书等等，这些都是有用的数据，能用来还原黑客的画像和 攻击流程。 ”

薛锋的描述让我联想到警匪片里的经典场景：刑侦警察们在小黑屋里放着PPT分析罪犯线索，对着墙上的照片梳理出犯罪团伙的关系脉络图，最后把一个飞镖扎在最上方的肖像上。

有趣的是，薛锋最早就是公安出身。

“预测、响应、防御、发现，这四件事都很重要，可过去安全行业把大部分注意力集中在防御上，对安全数据运用的太少了。”

薛锋找到了真相，像发现新大陆一样兴奋，依照多年的攻防经验，他笃定此路行得通。

一切发展得太快。 从有想法到开干，薛锋只用了一个月多时间，他的笃定最终也让他获得资本的青睐。据说，当时薛锋的孩子即将出生， 连投资洽谈都只得安排在医院附近。

事实证明薛锋的判断没错，几乎在同一时间，国内一票安全公司也都察觉到威胁情报的意义。

7、8月份，天际友盟和白帽汇进军威胁情报；9月，360 成立威胁情报分析中心，10月，烽火台威胁情报联盟成立……一阵风刮到国内，所到之处遍地开花。

2015年最后一天，12月31日，微步在线官方微步忽然发出一份威胁分析报告，开头附上一段希腊诗人卡瓦菲斯的《伊萨卡岛》，恰似他的心境：

“当你启程前往伊萨卡，但愿你的道路漫长，充满奇迹，充满发现…… ……以此纪念2015，即将逝去的中国威胁情报元年。”

（图片截取自微博@安全威胁情报）

“ 那会儿很多人都不了解威胁情报是什么，能干什么，怎么用，经常要解释半天。 ” 这是薛锋创业遇到的第一个问题。他想了一个办法 —— 搞事情。

说回上文提到的那份技术报告，当时国内某大厂的安全部给 Adobe 公司提交了一个 Flash 播放器的 0day 漏洞 （首次公开发现的漏洞） ，Adobe 惊奇地发现这个漏洞居然已被黑客组织利用来针对攻击企业高管，于是紧急发布了补丁。

攻击者是谁？想干什么？是针对中国的吗？目的是窃取商业机密吗？这事儿当时就在圈里火了。

正当大家议论纷纷，薛锋赶紧带着手底下的分析师开始关联其中的各项数据，分析出一系列重要威胁情报：

这次的攻击团伙极有可能就是几年前出现过的黑客组织“暗黑客栈”。

不仅攻击手法流程相同，而且目标行业、国家、人群、反杀软技术以及服务器端框架等特征都非常吻合。

根据以往的威胁情报，“暗黑客栈”团伙专门盯着出去开房的企业高管，他们会黑掉受害者所在酒店房间的 wifi 来实施网络钓鱼。

微步在线当即在报告中建议企业CXO 立即升级Flash播放器，谨慎 开房 连接酒店 WiFi，不要点击陌生链接与邮件附件……

“我就是想让大家知道，安全事件从威胁情报的视角出发，可以做那么多事情。 ” 薛锋说。

暗黑客栈并不是微步在线第一次“炫技”。早在那之前的几个月，网上爆发了轰动的 XcodeGhost 事件，苹果商店 AppStore 出现大量带病毒的应用 ，其中不乏一些我们每天都在用的大公司的应用，连不少银行的官方应用也中了招。

当时国内整个互联网开始沸腾，中国国家互联网应急中心 CNCERT 发布预警，各大网络安全公司和部门发出各种分析报告。微步在线也赶紧威胁情报的角度对事件进行了分析，通过样本特征 、IP、域名等数据之间的关联，他们直接锁定嫌疑人的身份，并且推测出该事件的始作俑者跟另外两款恶意程序有密切关联。

（这是当时梳理的威胁情报数据线索图）

“那几件事过后，越来越多的业内人士开始关注威胁情报。”

除了发技术报告，薛锋还开启了“刷脸布道模式”。

2016年前后，他频繁以演讲者的身份出现在各大网络安全会议，观众往往先被他个人履历吸引：

“前亚马逊中国首席安全官、微软中国互联网安全战略总监，国际顶级 Blackhat 欧洲安全大会和微软 Bluehat 大会上首位中国演讲者”。

随后，观众才注意到“微步在线”这家公司，最后再被他的演讲内容所打动。

“薛锋的（技术）销售能力特厉害。” 同事海洋评价他。 但偏偏我发现，薛锋不是那种巧舌如簧的人，他真正打动我的是 他发自内心相信威胁情报，相信自己的事业，这种 由内而外散发出的坚定很容易感染别人。

会议室里，薛锋试图给我讲明白微步在线的发展轨迹，他拿起笔在玻璃墙上画了一个圈，里头写上两个英文单词 “Threat graph”，威胁数据图，他说：

“这是微步的核心价值，一个庞大的威胁图库，包含 从样本特征值到服务器、域名等一系列数据，经过分析师或机器学习模型的梳理，他们会成为一条条有用的威胁情报。”

我：“这些数据都从哪里来的？”

薛锋：“数据获取渠道主要有这么几类，包括公开渠道、 商业渠道 ，微步自己的威胁情报社区，全球各地的安全人员每天都在提交；还有 合作伙伴渠道，我们跟30多个AV厂商都有合作。”

我：等等，30多个AV厂商？A……V？

薛锋：Anti Virus，反病毒厂商，卡巴斯基、微软之类的！

(我在微步的引擎里随手搜了个网站，发现了一些奇奇怪怪的东西）

薛锋说着，又在全外面零星写了一堆词。

“剩下的全是落地方案，目的是把我们的核心威胁情报输出给客户，满足客户具体的安全需求。”

圈外的几个关键词连成的线，俨然是薛锋这三年来的“行军路线”。

（幺哥试图还原薛锋画在墙上的图）

2017年前后，“威胁情报难落地” 一度是许多人津津乐道的话题，微步在线做过许多尝试。

起初，微步在线做了一套长得类似百度、Google 的威胁情报专用搜索引擎，用户上传可疑样本进行安全检查，企业可以通过 API 接口来实现大批量查询。

然而愿意用的企业并不多，一来 API 接口用起来有些复杂，二来国内的企业 宁愿多下载几款杀毒引擎来检查，也 不愿意把敏感文件上传到第三方厂商那里，这跟国外很不一样。

“ 三个？四个？ 2016 年前后接 API 的客户就那么多。” 薛锋不避讳当时商业上的惨状，“主要精力还是在威胁情报分析图库的搭建上。”

后来，薛锋干脆把这个威胁搜索引擎做成了社区，谁要是被搞了，可以把相关信息提交到上面供其他人免费查询，以防止攻击团伙再去搞别人，同时也能让大家一起揪出幕后黑手。

社区没有给微步在线带来金钱上的收入，却为他们赢得了人气，为后来的事打下了基础。薛锋说，目前社区每天能收到30万到50万条威胁信息，社区也成了行业认识微步在线的主要来源之一。

到了2017年中旬，微步在线搞出TDP、TIP 两套系统， 一套能对企业内部流量进行分析，并且结合外部威胁情报来综合判断威胁，一套能帮助企业高效地管理威胁情报。至此，他们才拿下了国内几大行业的标杆客户，开始客户暴涨的局面。

薛锋一口气罗列了几十个公司的名字，其中不乏我们熟悉的招商银行、交通银行、腾讯、中石油、国家电网、银河证券、证通、顺丰等等。

由于去年融了1.2亿不差钱，微步在线又收购了知名 公共域名解析服务商 OneDNS，想用域名解析的形式来输出自己的威胁情报能力。

“直接把企业或者自己电脑的DNS域名解析服务器地址换成“117.50.11.11”或者“117.50.22.22” 就能获得我们的安全服务，一旦访问到危险的域名就会自动拦截和告警。” 薛锋说，重点是不用额外安装任何软件，不妨推荐给身边的朋友试试。我说好。 （这也算兑现承诺了……）

2017年全球权威IT 分析机构 Gartner 发布了《2017全球威胁情报市场指南》，微步在线以唯一一家中国厂商的身份位列其中。从公司成立到入选，微步只花了两年时间，这创造了全球安全公司的一个纪录。薛锋把原因归结为“刀够快，针够尖。”

2018年中旬，人们的注意力又被诸如区块链之类的新技术趋势吸引，关于 “威胁情报”的话题没有了上一年的喧嚣。

一次参会间隙，有个朋友拍拍薛锋的肩膀说，“ 现在威胁情报怎么不火啦？” 薛锋当时没在意，可过了一阵，另一个朋友也说起这事儿，“怎么现在没几个在朋友圈里讨论威胁情报的啦？”

“我当时想了想，觉得这事儿快成了。” 薛锋说，早一年每个创业公司都标榜自家用了深度学习算法、人工智能技术，今年大家的关注重点不再是你用没用 AI，而是你能用它解决什么问题，解决得怎么样。

任何一项新的技术和技术理念其实都这样，当它看似被‘冷落’，可能有两个结果，一是真的玩儿完了，二 是它变成了公认的 底层设施， 就像自来水和电一样的存在。

而这也符合Gartner对于科技发展的普遍模型 – Hype Cycle, 中文通常译作“成熟度曲线” 或者“炒作曲线”。从创新出现，到媒体大量报道和讨论，再到现实落地，最终到大量采用。

（Gartner 认为科技普遍需要经历创新出现、媒体炒作、落地、大规模应用几个阶段）

“ 创业毕竟得相信自己的判断，而不是朋友圈的热点。 ” 薛锋说。

那一刻我透过薛锋的眼睛，仿佛感受到三年前他决定离职创业前一夜，那种“天将降大任”的亢奋，仿佛看到了新年前夕敲下那首希腊诗时的背影。

莱斯特律戈涅斯巨人，独眼巨人，

愤怒的波塞冬海神－－不要怕他们：

你将不会在途中碰到诸如此类的怪物，

只要有一种特殊的感觉，

莱斯特律戈涅斯巨人，独眼巨人，

野蛮的波塞冬海神－－你将不会跟他们遭遇

除非你将他们一直带进你的灵魂，

除非你的灵魂将他们树立在你的面前。

但愿那里有很多夏天的早晨，

进入你第一次见到的海港：

但愿你在腓尼基人的贸易市场停步

珍珠母和珊瑚，琥珀和黑檀，

－－你要多销魂就有多销魂：

向那些有识之士讨教并继续讨教。

抵达那里是你此行的目的。

那时当你上得了岛你也就老了，

一路所得已经叫你富甲四方，

用不着伊萨卡来让你财源滚滚。

是伊萨卡赐予你如此神奇的旅行，

没有它你可不会启程前来。

现在她再也没有什么可以给你的了。

而如果你发现它原来是这么穷，那可不是

既然那时你已经变得很聪慧，并且见多识广，

这些伊萨卡意味着什么。

本文来自浅黑科技，创业家系授权发布，略经编辑修改，版权归作者所有，内容仅代表作者独立观点。[ 下载创业家APP，读懂中国最赚钱的7000种生意 ]