文| 铅笔道 记者 汪晨
►导语
在计算机安全领域,高瀚昭打拼多年,曾在趋势科技带着上百人团队开发病毒自动化分析技术。但安全行业的缓慢发展让他感到灰心。
2010年,他回到国内,打算在云计算领域另寻一片天地。
但在云计算领域,高瀚昭也遇到了阻碍。彼时高瀚昭正在北京推广一款大数据平台管理软件,但仍需要做项目开发,落地至各个行业当中。“如果能把安全和大数据相结合,是否会有更大的机会?这也是我擅长的事。”
2014年初,他创立“HanSight瀚思”,主打大数据安全管理业务,主要面向大客户。在防范外部攻击的基础上,平台从网络和安全日志两个维度获取安全威胁信息,并对用户账号做自动化行为分析,寻找企业系统的内部威胁。
目前,“HanSight瀚思”的签约大客户有20个,主要分布在银行、政府、医疗行业。今年6月,公司获得赛伯乐投资、恒宝股份、南京高科的3000万元A轮融资。
注: 高瀚昭已确认文中数据真实无误,铅笔道愿与他一起为内容真实性背书。
2010年,北京上空,飞机准备降落的提示音让高瀚昭回过了神。此前,他正望着祖国的景色发呆,心里既有对新方向的憧憬,也怀着对过往的小小失落。
这时的他已经告别了打拼多年的计算机安全领域,决心在云计算大数据领域另寻一片天地。“安全行业的缓慢发展让我感到心灰意冷。我们总是跟随在病毒生产者的身后,处于被动局面;大企业认为防火墙足矣,对于新型安全技术的需求也不强烈。”
从国外来到北京,他担任“天云趋势”(趋势科技与宽带资本合资成立的公司) CEO,帮助企业搭建IaaS大数据云平台,公司则负责维护管理云平台。
但对于企业来说,这样的云平台仍缺乏吸引力。“大部分企业不知道这个云平台能做什么,我们需要根据不同的行业做项目开发,东一榔头西一棒子,无法在每个行业沉淀下来做大做强。”
回归安全行业的思想火苗在2013年中燃起。
高瀚昭希望找到一个落脚点,为企业提供有价值的大数据云计算服务。左思右想后,他决定回归自己擅长的安全领域,做一套大数据安全云平台。
安全行业的主流思维发生了变化。“无论是Gartner报告还是RSA大会,行业内大家想的都是从被动防御变为主动检测、快速响应,这和我当初想做病毒预防的想法相契合。”
市场也发生松动。高瀚昭拜访了之前的客户渠道,向他们求证:若做出类似的产品,企业是否有需求。“银行最渴求这类东西,他们备份了大量的数据,但没有人为他们做分析解读,告诉他们的安全漏洞在哪儿。”
2014年初,高瀚昭与老东家达成协议,带着部分大数据项目团队和原有趋势科技的老同事,他成立了“HanSight瀚思”,并获得了光速安振1300万元天使轮融资。
10月,平台产品正式上线。主产品为HanSight Enterprise企业版,建立在私有云基础上,面向大客户,提供数据检测、用户行为分析、威胁报警筛选和安全报告生成等功能。
◆ “HanSight瀚思”创始团队成员
一家大型银行的IT办公室内,6~7位安全专家在翻看银行IT系统的单天日志,查看是否有APT(高级持续性攻击)情况发生。日志内容多达1TB,即使计算机筛去了99%的内容,专家们还是得花上两星期的时间仔细查验。
此前,高瀚昭向客户承诺,HanSight Enterprise能帮助企业查找到更多未知APT攻击,但收效甚微。为此,他请来安全专家求证,是否为检测系统本身的问题。“结果是确实没有发现未知APT攻击,检测系统本身没有问题。”
高瀚昭傻眼了。这意味着他向客户立下的承诺成为空谈,公司不得不另寻方向。“换成攻击者的角度考虑,APT攻击耗费的人力成本太高,平均一次100万美元,这样他们还不如去买通内部人员偷资料。”
之后,他找到两个新方向:业务安全保障和企业安全管理。
现今,安全领域的漏洞越来越多,来自内部的安全压力逐渐增大,仅仅依靠沙箱已难以防止泄露事件发生。
同时,大量互联网账号被盗,攻击者通过人工或撞库就能进入企业安全系统中。“银行系统里,每个月撞库成功的账号上十万,有1/10的成功率,安全隐患极大。”
而要做好预防,需要进行用户行为识别。“若是人工攻击,刚开始还可以通过几个行为伪装自己,但后续登录多个账户,他的关键行为肯定有很多一样的地方,这时就可以分辨出哪一个用户账号有安全漏洞了。”
同时,市场的重视程度在上升,企业需要全方位的安全服务。“去年下半年开始,已有企业在主动提高安全管理意识了,而不是单纯地只需要防火墙。”
大部分企业找到咨询公司,寻求安全管理的解决方案。咨询公司虽然出谋划策,但缺乏落地服务,仍需企业自行搭建。
由此,高瀚昭决定转变市场方向,并改进现有平台,抽离部分功能建立UBA(用户异常行为分析)和LogManger(安全日志管理)服务。
“我们会从日志和网络两个数据来源上进行威胁检索,严查各个账号是否做出违规举动,并向企业安全管理者发出预警,对危险行为取证。”
◆ “HanSight瀚思”产品界面
此后,“瀚思”的大客户得到拓展,主要签下的客源有三类:银行、政府、医疗行业。
对待大客户,需要有专门的销售人员维护、对接需求。
技术团队对于安全问题主要采取巡管制,驻点人员较少。每月月初,会有专人前往公司待上3~4天,帮客户梳理上月发生的安全事件,并生成一份月度安全报告。
若出现重大安全事件,安全人员会总结经验,及时优化、配置系统。“他们会总结原因,例如为什么没有第一时间发现安全问题,以求更快的反应速度,让行为识别变得更精准。”
不过,安全平台细分领域宽广,单凭自己的力量无法覆盖整个安全服务领域。
好的一面是,“瀚思”的平台有延展性,能接入其他厂商更专业的服务,补足服务链的缺失。“有些领域需要数年的沉淀,传统厂商在这方面占优,但客户不喜欢看防火墙有多少报错,而更喜欢经过筛选的报错信息和分析报告。”
针对不同的客户,销售方案不同。可以接入其他安全服务,搭配其他服务打包成解决方案出售;或加入其他厂商的销售体系,打包销售。
此后,HanSight TI(安全威胁情报)系统加入,与外部安全威胁信息渠道共享信息来源,各个安全模块可根据安全威胁情报提升检测能力。“例如我们要查一个IP是否与其他公司IP有关联,需要外部威胁信息共享,这方面有很多专业公司。”
◆ “HanSight瀚思”产品体系图
除了为大客户提供服务外,“瀚思”也希望通过SaaS平台为中小企业提供轻量级服务。
去年下半年,SaaS研发计划启动,命名为“安全易”。今年3月底开发完成,内测试用调整。
公司在南京另设团队,与HanSight Enterprise共用威胁情报和威胁警报规则等基础数据库,但只面向中小企业客户提供安全状况检测提醒以及服务器运维方面的服务。
战略上,SaaS系统在提供监测的同时,也在帮助“瀚思”延伸威胁情报的触角。“小企业主要追求线上系统的稳定性,在同一个层面上提供公有云架构的安全服务是覆盖这类客户的最好方式。”
目前,“HanSight瀚思”签约的大客户有20个。今年6月,公司获得赛伯乐投资、恒宝股份、南京高科的3000万元A轮融资。
内容由 铅笔道 提供授权发布,未经许可谢绝转载。