前有“移動(dòng)互聯(lián)網(wǎng)”，后有“云計(jì)算”，接下來(lái)是“大數(shù)據(jù)”。當(dāng)“大數(shù)據(jù)”分析成為企業(yè)的標(biāo)配，再反復(fù)提及它就變得不太有意義。相應(yīng)的，在概念之外，適應(yīng)新平臺(tái)和思維方式的產(chǎn)品升級(jí)才是技術(shù)趨勢(shì)的價(jià)值所在。

最早看到“大數(shù)據(jù)企業(yè)安全”這個(gè)字眼是在朋友圈里，回復(fù)里有人提到王淮在 Facebook 時(shí)就提出利用大數(shù)據(jù)做支付安全相關(guān)工作。和王淮工作更接近的是杭州同盾，而 HanSight 是想在金融之外做更泛化更具備普適性的企業(yè)內(nèi)外整合安全方案。

目前 HanSight 的團(tuán)隊(duì)過(guò)去三年里都在做 Hadoop 相關(guān)業(yè)務(wù)。據(jù) HanSight 聯(lián)合創(chuàng)始人 Eric 描述，他們中國(guó)最早接觸 Hadoop 開發(fā)和運(yùn)維的團(tuán)隊(duì)之一，可以在在海量數(shù)據(jù)監(jiān)測(cè)、分析時(shí)實(shí)現(xiàn)“秒級(jí)響應(yīng)”。與此同時(shí)，HanSight 也是 Hortonworks 在中國(guó)的官方合作伙伴。“實(shí)現(xiàn)對(duì)海量數(shù)據(jù)秒級(jí)響應(yīng)對(duì)現(xiàn)有的一線大數(shù)據(jù)團(tuán)隊(duì)來(lái)說(shuō)并不是很困難的事，困難的是針對(duì)這些數(shù)據(jù)做出有效分析和應(yīng)用”，Eric 說(shuō)。HanSight 現(xiàn)在的兩位核心算法和安全引擎工程師都來(lái)自趨勢(shì)科技，其中之一的 Justin 曾經(jīng)在趨勢(shì)領(lǐng)導(dǎo)和國(guó)外知名公司 FireEye 產(chǎn)品類似的沙箱技術(shù)。

不同于傳統(tǒng)企業(yè)服務(wù)商的物理整機(jī)安全方案，HanSight 僅提供純軟件解決方案。在 Eric 看來(lái)，傳統(tǒng)機(jī)器彈性有限，無(wú)法應(yīng)對(duì)業(yè)務(wù)或攻擊規(guī)模的突發(fā)變化，且僅能分析過(guò)去十小時(shí)安全日志。而 HanSight 的企業(yè)日志分析方案能對(duì)企業(yè)現(xiàn)存的所有數(shù)據(jù)進(jìn)行分析，同時(shí)對(duì)實(shí)時(shí)生成的數(shù)據(jù)進(jìn)行存儲(chǔ)和實(shí)時(shí)分析。

由于是純軟件解決方案，HanSight 的實(shí)際性能在一定程度上受限于客戶實(shí)際使用的計(jì)算集群規(guī)模。但 HanSight 的架構(gòu)能適應(yīng)標(biāo)準(zhǔn) x86 處理器，且對(duì)企業(yè)原有系統(tǒng)幾乎不存在性能影響。于此同時(shí)，運(yùn)行 HanSight 的服務(wù)器處于企業(yè)安放對(duì)象服務(wù)群的后方，可以對(duì)保護(hù)對(duì)象的異常做實(shí)時(shí)預(yù)警，從而規(guī)避因?yàn)榉?wù)器被 DDoS 等服務(wù)攻陷而無(wú)法正常保護(hù)的風(fēng)險(xiǎn)。

HanSight 的 DataViewer 日志抓取、存儲(chǔ)、可視化呈現(xiàn)和自定義分析工具現(xiàn)在免費(fèi)提供，明年會(huì)對(duì)外開源。這個(gè)工具可以實(shí)現(xiàn)上述的海量數(shù)據(jù)秒級(jí)讀取和分析，企業(yè) IT 人員可以自定義規(guī)則以利用被抓取和存儲(chǔ)的工具。明年，DataViewer 會(huì)開始以 SaaS 的形式為企業(yè)提供標(biāo)準(zhǔn)化服務(wù)。之所以日志抓取和自定義分析工具免費(fèi)，在 Eric 看來(lái)是因?yàn)?ldquo;所涉及的技術(shù)大多通用、開源，優(yōu)秀的團(tuán)隊(duì)實(shí)現(xiàn)起來(lái)并不難，真正的門檻在于算法和基于數(shù)據(jù)的安全智能分析服務(wù)”。

目前 HanSight 的安全分析服務(wù)主要針對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行，“外網(wǎng)攻擊可以通過(guò)防火墻等成熟安全體系防御，但內(nèi)網(wǎng)情況更加嚴(yán)峻而且復(fù)雜”，Eric 說(shuō)。根據(jù)他的描述，當(dāng)下流行的 APT （高級(jí)持續(xù)性攻擊）會(huì)利用企業(yè)內(nèi)部員工的設(shè)備漏洞通過(guò)內(nèi)網(wǎng)緩慢找到管理層人員并利用相關(guān)信息進(jìn)行內(nèi)網(wǎng)提權(quán)、資料盜取，同時(shí)還可能發(fā)生監(jiān)守自盜的案件。HanSight 會(huì)對(duì)企業(yè)內(nèi)的每一個(gè)員工進(jìn)行行為模式建模，當(dāng)員工和員工使用的機(jī)器在內(nèi)網(wǎng)內(nèi)做出異常行為時(shí)就會(huì)對(duì)企業(yè) IT 和相關(guān)負(fù)責(zé)人進(jìn)行報(bào)警。由于 HanSight 在現(xiàn)階段只負(fù)責(zé) Alert 而不會(huì)對(duì)異常行為或受控機(jī)做出 Action，所以能夠方便和企業(yè)內(nèi)部 ERP 等管理系統(tǒng)對(duì)接。在客戶允許或有需求的情況下，HanSight 會(huì)在之后提供安裝于受控機(jī)的 Agent 端以實(shí)現(xiàn)更全面的數(shù)據(jù)抓取和行為分析。

雖然 HanSight 基于現(xiàn)有日志數(shù)據(jù)的分析和傳統(tǒng)企業(yè)安全方案一樣屬于攻后防御，但部署 HanSight 之后加以 HanSight 的分析增值服務(wù)就會(huì)形成一套主動(dòng)的“攻時(shí)防護(hù)”體系。HanSight 會(huì)根據(jù)異常行為做出實(shí)時(shí)報(bào)警，并且根據(jù)現(xiàn)有數(shù)據(jù)預(yù)測(cè)企業(yè)現(xiàn)存的漏洞和可能存在的安全薄弱環(huán)節(jié)。

當(dāng) Eric 提到他和團(tuán)隊(duì)成員在趨勢(shì)的工作經(jīng)歷時(shí)，不免讓我想到出版人周筠七年前經(jīng)手的《擋不住的趨勢(shì)》。趨勢(shì)科技由一對(duì)臺(tái)灣夫婦創(chuàng)辦，因?yàn)榍捎黾夹g(shù)實(shí)力超強(qiáng)的 CTO 而走上與國(guó)際知名殺毒軟件競(jìng)爭(zhēng)的大平臺(tái)。我無(wú)法為 HanSight 的技術(shù)實(shí)力做出擔(dān)保，但相比千禧年前后的初級(jí)和混亂，國(guó)內(nèi)安全產(chǎn)業(yè)的技術(shù)及正規(guī)化程度已經(jīng)和真正的國(guó)際一線水平接近。誠(chéng)然，F(xiàn)ireEye 和 PAN （帕羅阿圖網(wǎng)絡(luò)）里不乏中國(guó)面孔，但中國(guó)制造依然有別于中國(guó)智造。