微步在线：半年融资8亿，综合型网络安全“新贵”诞生？

可以看出，NDR和EDR能力的XDR实际上是综合、高纬度的分析能力，最大的价值是从一维进化到安全人员对威胁的认知视角。

目前，微步在线旗下基于网络流量检测的威胁感应平台TDP、主机威胁感应产品OneEDR、网络安全访问服务OneDNS、当地多源威胁信息管理平台TIP等产品，共同构成微步在线的云流量

雪锋认为XDR的内涵非常丰富，XDR的X包括对检查有帮助的技术和产品，将来微步骤在线的XDR方案中加入更多的产品技术，与场景深入融合，融合的过程持续很长时间

一直以来，微步在线是国内威胁信息领域的代表制造商，但现在这种标签化认识似乎对微步在线有些片面。

从微步在线布局XDR的方向可以看出，威胁信息只是微步在线的基础核心能力，围绕安全检查和应对横向发展的业务路线，成为综合的网络安全企业，是微步在线的真正野心。

领先安全行业SaaS服务的新模式

作为下一代信息安全制造商，微步骤在线往往需要与市场上大体量的安全制造商正面竞争。在竞争中，能够战斗的只有优秀的技术和产品。

在本次发表会上，雪锋分享了微步骤在线的4个重要数据。一是有300多家大企业用户，二是平均年增长率达到130%，三是PoC胜利率达到95%，四是客户更新率达到95%。

数量可观的大客户和快速增长的业绩足以说明微步骤在线多年的快速发展。不过更让资本感兴趣的是微步在线的商业模式。

微步在线是国内最早以SaaS模式提供安全服务的制造商，通过机械学习和大数据的数据分析能力，以SaaS的方式不断向用户输出实时性更强的安全服务，即SECaaS(安全即服务)模式。

在国外市场，SECaaS模式已经不是新鲜概念。全球最大的五家网络安全公司中，有四家都是SaaS服务，其市场体量比国内最大的安全企业还要大得多，如：CrowdStrike, Okta, Cloudflare, Zscaler等。其中，成立于2011年的CrowdStrike，目前市场价格约为300亿美元。

虽然SaaS被业界认为是网络安全服务发展的必然趋势，但早期国内对SaaS化安全服务的接受度不高，企业习惯一次购买的方式，不知道SaaS预约续费的模式。

随着近年来数字化应用的迅速兴起和持续的市场教育，雪锋表示，微步骤在线用户群中确实有很多接受SaaS模式，成为微步骤在线SaaS服务的铁棒粉丝，希望在微步骤在线共享部分脱敏数据，获得强化后的威胁检测和响应服务能力。

迎难而上的微步在线，可以说在一定程度上引领了中国安全行业向云化SaaS发展的潮流。除此之外，健康的业务数据也是微步骤在线吸引资本的重要原因。要知道SaaS产品成功的最重要指标是顾客的更新率，只有顾客的更新率，SaaS模型才有商业价值。

以海外CrowdStrike为例，2019年预约服务收入占88%，收入保留率达98%，净保留率达124%。

作为价格不低的SaaS服务，微步骤在线可以在国内维持95%的更新率，在网络安全行业和SaaS领域都可以称为黄金比率。超高的更新率充分说明了用户对技术和服务的认可。

作为一个SaaS服务商，微步在线无疑是非常成功的。

从产品路线和产品构成上来看，微步在线与CrowdStrike的路线也有许多相似之处。

CrowdStrike先是推出了威胁情报服务Falcon X及终端检测与响应(EDR)产品 Falcon Inshight，而后又构建了终端安全产品 威胁情报服务 专家服务，即SaaS PaaS的完整安全生态。

微步在线也构建了终端安全产品威胁信息服务、专家服务三种服务，基于SaaS的服务模式也得到了良好的市场反应。CrowdStrike这样的上市企业的成功，无疑给微步骤在线的未来发展留下了巨大的想象空间。

值得注意的是，2020年是极其特殊的一年，疫情突发，很多企业收紧了财务开支。但是，今年微步骤的在线依然以高速增长证明了市场的韧性。

同时，考虑到SaaS模型本身能够迅速部署、迅速复制的特征，微步骤在线自然具有扩大大规模业务的潜力，微步骤在线为什么能够受到很多投资机构的欢迎并不困难。