文| 鉛筆道 記者 汪晨
導(dǎo)語(yǔ)
在計(jì)算機(jī)安全領(lǐng)域,高瀚昭打拼多年,曾在趨勢(shì)科技帶著上百人團(tuán)隊(duì)開發(fā)病毒自動(dòng)化分析。但安全行業(yè)的緩慢發(fā)展讓他感到灰心。
2010年,他回到國(guó)內(nèi),打算在云計(jì)算領(lǐng)域另尋一片天地。
但在云計(jì)算領(lǐng)域,高瀚昭也遇到了阻礙。彼時(shí)高瀚昭正在北京推廣一款大數(shù)據(jù)平臺(tái)管理軟件,但仍需要做項(xiàng)目開發(fā),落地至各個(gè)行業(yè)當(dāng)中。“如果能把安全和大數(shù)據(jù)相結(jié)合,是否會(huì)有更大的機(jī)會(huì)?這也是我擅長(zhǎng)的事。”
2014年初,他創(chuàng)立“HanSight瀚思”,主打大數(shù)據(jù)安全管理業(yè)務(wù),主要面向大客戶。在防范外部攻擊的基礎(chǔ)上,平臺(tái)從網(wǎng)絡(luò)和安全日志兩個(gè)維度獲取安全威脅信息,并對(duì)用戶賬號(hào)做自動(dòng)化行為分析,尋找企業(yè)系統(tǒng)的內(nèi)部威脅。
目前,“HanSight瀚思”的簽約大客戶有20個(gè),主要分布在銀行、政府、醫(yī)療行業(yè)。今年6月,公司獲得賽伯樂投資、恒寶股份、南京高科的3000萬(wàn)元A輪融資。
注: 高瀚昭已確認(rèn)文中數(shù)據(jù)真實(shí)無(wú)誤,鉛筆道愿與他一起為內(nèi)容真實(shí)性背書。
大數(shù)據(jù)安全云平臺(tái)2010年,北京上空,飛機(jī)準(zhǔn)備降落的提示音讓高瀚昭回過(guò)了神。此前,他正望著祖國(guó)的景色發(fā)呆,心里既有對(duì)新方向的憧憬,也懷著對(duì)過(guò)往的小小失落。
這時(shí)的他已經(jīng)告別了打拼多年的計(jì)算機(jī)安全領(lǐng)域,決心在云計(jì)算大數(shù)據(jù)領(lǐng)域另尋一片天地。“安全行業(yè)的緩慢發(fā)展讓我感到心灰意冷。我們總是跟隨在病毒生產(chǎn)者的身后,處于被動(dòng)局面;大企業(yè)認(rèn)為防火墻足矣,對(duì)于新型安全技術(shù)的需求也不強(qiáng)烈。”
從國(guó)外來(lái)到北京,他擔(dān)任“天云趨勢(shì)”(趨勢(shì)科技與寬帶資本合資成立的公司) CEO,幫助企業(yè)搭建IaaS大數(shù)據(jù)云平臺(tái),公司則負(fù)責(zé)維護(hù)管理云平臺(tái)。
但對(duì)于企業(yè)來(lái)說(shuō),這樣的云平臺(tái)仍缺乏吸引力。“大部分企業(yè)不知道這個(gè)云平臺(tái)能做什么,我們需要根據(jù)不同的行業(yè)做項(xiàng)目開發(fā),東一榔頭西一棒子,無(wú)法在每個(gè)行業(yè)沉淀下來(lái)做大做強(qiáng)。”
回歸安全行業(yè)的思想火苗在2013年中燃起。
高瀚昭希望找到一個(gè)落腳點(diǎn),為企業(yè)提供有價(jià)值的大數(shù)據(jù)云計(jì)算服務(wù)。左思右想后,他決定回歸自己擅長(zhǎng)的安全領(lǐng)域,做一套大數(shù)據(jù)安全云平臺(tái)。
安全行業(yè)的主流思維發(fā)生了變化。“無(wú)論是Gartner報(bào)告還是RSA大會(huì),行業(yè)內(nèi)大家想的都是從被動(dòng)防御變?yōu)橹鲃?dòng)檢測(cè)、快速響應(yīng),這和我當(dāng)初想做病毒預(yù)防的想法相契合。”
市場(chǎng)也發(fā)生松動(dòng)。高瀚昭拜訪了之前的客戶渠道,向他們求證:若做出類似的產(chǎn)品,企業(yè)是否有需求。“銀行最渴求這類東西,他們備份了大量的數(shù)據(jù),但沒有人為他們做分析解讀,告訴他們的安全漏洞在哪兒。”
2014年初,高瀚昭與老東家達(dá)成協(xié)議,帶著部分大數(shù)據(jù)項(xiàng)目團(tuán)隊(duì)和原有趨勢(shì)科技的老同事,他成立了“HanSight瀚思”,并獲得了光速安振1300萬(wàn)元天使輪融資。
10月,平臺(tái)產(chǎn)品正式上線。主產(chǎn)品為HanSight Enterprise企業(yè)版,建立在私有云基礎(chǔ)上,面向大客戶,提供數(shù)據(jù)檢測(cè)、用戶行為分析、威脅報(bào)警篩選和安全報(bào)告生成等功能。
◆ “HanSight瀚思”創(chuàng)始團(tuán)隊(duì)成員
轉(zhuǎn)移方向一家大型銀行的IT辦公室內(nèi),6~7位安全專家在翻看銀行IT系統(tǒng)的單天日志,查看是否有APT(高級(jí)持續(xù)性攻擊)情況發(fā)生。日志內(nèi)容多達(dá)1TB,即使計(jì)算機(jī)篩去了99%的內(nèi)容,專家們還是得花上兩星期的時(shí)間仔細(xì)查驗(yàn)。
此前,高瀚昭向客戶承諾,HanSight Enterprise能幫助企業(yè)查找到更多未知APT攻擊,但收效甚微。為此,他請(qǐng)來(lái)安全專家求證,是否為檢測(cè)系統(tǒng)本身的問題。“結(jié)果是確實(shí)沒有發(fā)現(xiàn)未知APT攻擊,檢測(cè)系統(tǒng)本身沒有問題。”
高瀚昭傻眼了。這意味著他向客戶立下的承諾成為空談,公司不得不另尋方向。“換成攻擊者的角度考慮,APT攻擊耗費(fèi)的人力成本太高,平均一次100萬(wàn)美元,這樣他們還不如去買通內(nèi)部人員偷資料。”
之后,他找到兩個(gè)新方向:業(yè)務(wù)安全保障和企業(yè)安全管理。
現(xiàn)今,安全領(lǐng)域的漏洞越來(lái)越多,來(lái)自內(nèi)部的安全壓力逐漸增大,僅僅依靠沙箱已難以防止泄露事件發(fā)生。
同時(shí),大量互聯(lián)網(wǎng)賬號(hào)被盜,攻擊者通過(guò)人工或撞庫(kù)就能進(jìn)入企業(yè)安全系統(tǒng)中。“銀行系統(tǒng)里,每個(gè)月撞庫(kù)成功的賬號(hào)上十萬(wàn),有1/10的成功率,安全隱患極大。”
而要做好預(yù)防,需要進(jìn)行用戶行為識(shí)別。“若是人工攻擊,剛開始還可以通過(guò)幾個(gè)行為偽裝自己,但后續(xù)登錄多個(gè)賬戶,他的關(guān)鍵行為肯定有很多一樣的地方,這時(shí)就可以分辨出哪一個(gè)用戶賬號(hào)有安全漏洞了。”
同時(shí),市場(chǎng)的重視程度在上升,企業(yè)需要全方位的安全服務(wù)。“去年下半年開始,已有企業(yè)在主動(dòng)提高安全管理意識(shí)了,而不是單純地只需要防火墻。”
大部分企業(yè)找到咨詢公司,尋求安全管理的解決方案。咨詢公司雖然出謀劃策,但缺乏落地服務(wù),仍需企業(yè)自行搭建。
由此,高瀚昭決定轉(zhuǎn)變市場(chǎng)方向,并改進(jìn)現(xiàn)有平臺(tái),抽離部分功能建立UBA(用戶異常行為分析)和LogManger(安全日志管理)服務(wù)。
“我們會(huì)從日志和網(wǎng)絡(luò)兩個(gè)數(shù)據(jù)來(lái)源上進(jìn)行威脅檢索,嚴(yán)查各個(gè)賬號(hào)是否做出違規(guī)舉動(dòng),并向企業(yè)安全管理者發(fā)出預(yù)警,對(duì)危險(xiǎn)行為取證。”
◆ “HanSight瀚思”產(chǎn)品界面
此后,“瀚思”的大客戶得到拓展,主要簽下的客源有三類:銀行、政府、醫(yī)療行業(yè)。
業(yè)務(wù)拓展對(duì)待大客戶,需要有專門的銷售人員維護(hù)、對(duì)接需求。
技術(shù)團(tuán)隊(duì)對(duì)于安全問題主要采取巡管制,駐點(diǎn)人員較少。每月月初,會(huì)有專人前往公司待上3~4天,幫客戶梳理上月發(fā)生的安全事件,并生成一份月度安全報(bào)告。
若出現(xiàn)重大安全事件,安全人員會(huì)總結(jié)經(jīng)驗(yàn),及時(shí)優(yōu)化、配置系統(tǒng)。“他們會(huì)總結(jié)原因,例如為什么沒有第一時(shí)間發(fā)現(xiàn)安全問題,以求更快的反應(yīng)速度,讓行為識(shí)別變得更精準(zhǔn)。”
不過(guò),安全平臺(tái)細(xì)分領(lǐng)域?qū)拸V,單憑自己的力量無(wú)法覆蓋整個(gè)安全服務(wù)領(lǐng)域。
好的一面是,“瀚思”的平臺(tái)有延展性,能接入其他廠商更專業(yè)的服務(wù),補(bǔ)足服務(wù)鏈的缺失。“有些領(lǐng)域需要數(shù)年的沉淀,傳統(tǒng)廠商在這方面占優(yōu),但客戶不喜歡看防火墻有多少報(bào)錯(cuò),而更喜歡經(jīng)過(guò)篩選的報(bào)錯(cuò)信息和分析報(bào)告。”
針對(duì)不同的客戶,銷售方案不同。可以接入其他安全服務(wù),搭配其他服務(wù)打包成解決方案出售;或加入其他廠商的銷售體系,打包銷售。
此后,HanSight TI(安全威脅情報(bào))系統(tǒng)加入,與外部安全威脅信息渠道共享信息來(lái)源,各個(gè)安全模塊可根據(jù)安全威脅情報(bào)提升檢測(cè)能力。“例如我們要查一個(gè)IP是否與其他公司IP有關(guān)聯(lián),需要外部威脅信息共享,這方面有很多專業(yè)公司。”
◆ “HanSight瀚思”產(chǎn)品體系圖
除了為大客戶提供服務(wù)外,“瀚思”也希望通過(guò)SaaS平臺(tái)為中小企業(yè)提供輕量級(jí)服務(wù)。
去年下半年,SaaS研發(fā)計(jì)劃啟動(dòng),命名為“安全易”。今年3月底開發(fā)完成,內(nèi)測(cè)試用調(diào)整。
公司在南京另設(shè)團(tuán)隊(duì),與HanSight Enterprise共用威脅情報(bào)和威脅警報(bào)規(guī)則等基礎(chǔ)數(shù)據(jù)庫(kù),但只面向中小企業(yè)客戶提供安全狀況檢測(cè)提醒以及服務(wù)器運(yùn)維方面的服務(wù),也是在幫助企業(yè)在阿里、AWS平臺(tái)上提供詳細(xì)的安全服務(wù)。
戰(zhàn)略上,SaaS系統(tǒng)在提供監(jiān)測(cè)的同時(shí),也在幫助“瀚思”延伸威脅情報(bào)的觸角。“小企業(yè)主要追求線上系統(tǒng)的穩(wěn)定性,在同一個(gè)層面上提供公有云架構(gòu)的安全服務(wù)是覆蓋這類客戶的最好方式。”
目前,“HanSight瀚思”簽約的大客戶有20個(gè)。今年6月,公司獲得賽伯樂投資、恒寶股份、南京高科的3000萬(wàn)元A輪融資。