从攻防实战到AI赋能，微步在线的十年安全沉淀

AI赋能下的网络安全实战探索

原创于 2025-09-01 17:48:27 发布 · 640 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#微步在线 #AI #网络安全

作者：王聪彬

在网络安全的世界中，防守方就像是一个气球，攻击方就像一根针，只要扎到任何地方，气球都会被扎破，所以想要回避网络安全是很难的一件事。

用微步在线创始人、CEO薛锋的话说，这种压强效应可以作用在企业的任何环节，无论是员工还是API，只要有一个地方防不住，就可能成为突破口。

微步在线在10年间服务了几千家大型企业，接触了从基础设施、合规、安全运营、实战等层面的各种安全问题。对薛锋而言，最大的启发是：无论行业涌现多少新技术、新概念、新平台，最终都要回到最朴素、最核心的问题。只有解决这些基础难题，才能真正创造最大的社会和经济价值。

微步在线创始人、CEO薛锋

门的两边是网络安全攻防的暗战

在数字化加速的今天，网络安全已不再是幕后风险，而是关乎企业生死的现实挑战。过去一年里，微步在线处理的事件以三类居多：勒索攻击、高频黑产事件，以及隐蔽复杂的APT攻击。

勒索事件：最近勒索事件频发，有些企业已经遭受勒索，有些收到威胁信，有些威胁甚至直接发到董事长邮箱。到底要不要付钱？付了就一定安全吗？在这种情况下，面对可能导致生产线停产的勒索事件，专业的应急支撑至关重要。

黑产事件：去年新型黑产“银狐”的应急排在了首位，大型企业的内部IM系统或定制群组可能被攻击者拉入数百人甚至千人的群，各级领导都在其中。一旦有人被骗，不仅是技术问题，还会引发管理危机：信息化团队的投入是否合理？微步在线不仅在事件发生后提供支持，还通过终端EDR和云端服务提前防护。

APT攻击：这类事件的特点是隐蔽性极高，损失巨大。黑客能够完全控制企业的任何一台设备、任意数据。假设一个企业有十万人，一旦被控制透彻，清理起来难度极大，不能简单地重装电脑，否则又会被重新控制。

去年，薛锋也熬夜参与了多起复杂应急，其中一次应急中，远程接入客户电脑，发现APT团伙已控制设备。微步在线插入装有应急工具的U盘，对方立即删除了U盘内容。整个过程像是一场近距离博弈：双方像躲在门两边，随时试探对方，每一次操作都充满对抗性。攻击方甚至弹出对话框，“哥们，别分析了”，整个应急过程像是一场没有硝烟的战争，技术和策略在其中交织，每一次解决问题都是一次生动的对抗体验。

网络安全的新战场，AI正在改变战局

2019年的疫情可以称为安全行业的分水岭。此前，安全更多停留在防御式，像在完成任务清单，属于“CheckBox阶段”。而如今，安全的关注度显著提升，已经进入“医疗阶段”，问题一旦没解决，就会立刻显现带来冲击。

另一个更为显著的变化，则是生成式AI的崛起，从不同角度重塑了攻防格局。

对攻击方而言，更多体现在“质”的提升，比如漏洞挖掘得更深入，钓鱼邮件写得更逼真、更具有迷惑性，整体能力比过去更精细。

对防守方而言，更多体现在“量”的缓解，每天数以万计的告警像海啸般涌来，其中绝大部分其实是无效噪音，AI可以把90%以上没有意义的告警直接压缩，让真正有价值的那一小部分像针尖一样被显现出来。

让网络安全从被动走向主动，AI也是重要的条件之一，但并非充分条件。薛锋认为，它能在一定程度上改变战局，带来效率的提升，而不是单靠AI就能解决一切。

尽管生成式AI带来了诸多变化，但到目前为止，AI并未直接带动企业在安全上的大规模投入。“真正影响决策的，仍是宏观环境和企业自身阶段两大因素。”薛锋说道，某些行业在主管部门推动下开始尝试AI应用，但整体来看，AI相关风险尚未充分暴露，带来的攻击面也还有限，因此其影响力仍然有限。

连年逆势增长，是专业化、差异化和模式创新的实践

近几年，“内卷”几乎成为各行各业的常态，网络安全领域同样不例外，但微步在线却连续两年保持逆势增长。

薛锋常说，微步在线的逻辑很简单，“专业化和差异化创新”。在他看来，客户足够理性，也有能力去甄别真正的价值，只要坚持这两点，就不会被市场淘汰。

这一成绩同样体现在SaaS模式优势的释放。过去十年里，SaaS和云化在安全领域推动了行业的发展，微步在线一直坚定地走着订阅收费与云优先路线。薛锋指出，部分SaaS公司倒闭，并非模式本身的问题，关键在于产品是否与市场匹配，以及市场推广策略是否到位。

现在，很多企业选择信任微步在线，主动拥抱云化，而且速度非常快。这中间微步在线和用户做了很多工作，但看到现在的接入速度和规模，薛锋非常有成就感。