作者:张戈 2017-3-13 11:18 浏览次数:5768
从创业,到受认可的创新,HanSight瀚思历经两年。注意此间定语:“受认可”。近日,Cybersecurity Ventures发布第10期“网络安全全球500强”榜单,瀚思位列其中。
初识瀚思,是在其入选“2015红鲱鱼亚洲100强”之后,再识瀚思,其已进入“网络安全全球500强”榜单。前者关注具有前瞻性的创业公司,而后者则更聚焦具有影响力的创新型安全企业。
当然,这正是两年来瀚思的变化,一家受到业内认可的创新型安全企业。
何为新?何为旧?
其实,分析入选 “网络安全全球500强”的成分构成就很有味道,其中既包括赛门铁克等老牌安全企业,也包括IBM、思科等通过收购进入安全市场的IT基础架构提供商,甚至还有英国电信、NTT等此类看似运营商,洛克希德·马丁等此类看似军工企业的安全服务商。
当然,就评选标准看,Cybersecurity Ventures更关注企业对“下一代”安全理念的理解,以及投入。所谓“下一代”安全,或称“新一代”安全必是与传统安全相对比较,即被动防御为旧,智能感知为新;关注设备静态特征为旧;关注行为动态特征为新;关注单点信息为旧,关注多点关联信息为新。相关数据已显示,2014~2019年,下一代安全市场将从49亿美元跃升至260亿美元,年均增长率达到39%。而传统安全市场将从208亿美元减少至83亿美元,年均下降17%。
在“下一代”安全市场诸多分类中,瀚思则聚焦于安全智能分析和内部威胁防御。到2020年,前者市场容量为46亿美元,后者为18亿美元。两者相加,约占总市场(下一代安全)容量的20%,瀚思由此入选“500强”榜单也在情理之中。
谁?从哪里来?到哪里去?
高瀚昭,HanSight瀚思创始人兼CEO,不知道其是否研究过哲学,但具备些许哲学思维,肯定更有助于理解瀚思这家安全公司。对照“人生三大终极哲学问题”:你是谁?从哪里来?到哪里去?此正暗合了瀚思下一代大数据安全分析平台(对应安全智能分析平台市场)的设计理念。
也就是说,所以网络行为都将被瀚思大数据安全分析平台——HanSight Enterprise一一记录在案,即使外部威胁经过伪装,其行为特征也不可能与正常行为一致,经智能对比,难免暴露蛛丝马迹。
瀚思下一代大数据安全分析平台可将网络设备、主机、应用、安全设备等产生的所有网络行为数据(包括日志、Flow、镜像数据包)进行收集,结合内部基础信息,包括资产、组织架构、人员账号、安全域等上下文信息,利用外部情报数据,对复杂的网络攻击事件进行深度挖掘,而这些恰恰不是防火墙、防毒墙、入侵检测等设备能够企及的。
难点在何处?高瀚昭对此进行解释,“业内在此领域虽所持理念相似,但企业核心竞争力在于是否有能力对海量数据进行采集、识别、解析。”
如果再以类哲学理论理解此问题,即从观察,到思考,再到行动。采集,并理解逐个数据包、每条日志隐含的含义,即“观察”;在海量数据中识别威胁和异常行为,即“思考”;发现威胁,并自动发起阻断、拦截等响应措施,即“行动”。“2016年,瀚思扎实投入基础研发,与同类大数据安全分析平台相比,瀚思往往能识别到更‘狡猾’的威胁,发现其他厂商尚不能洞察的问题” 高瀚昭说。
鸡生蛋,还是蛋生鸡?
再来看一下,瀚思的另一条产品线——内部威胁防御系统,即瀚思用户行为分析系统HanSight UBA,其也是2016年该公司重点投入的解决方案。内部威胁防御与安全智能分析的技术实现理论类似,但前者主内,后者主外。
内部威胁防御更关注对内部用户的行为分析,主要应用于商业间谍侦测、防止数据泄露等领域。其实现设计原理类似于刑侦学中的“犯罪现场重建”,通过建立企业员工的个人行为模型,并与同部门、同职位的员工行为模型对比,发现可疑操作。
同样的问题,难点在何处?首先,单一维度模型或许能侦测到内部异常行为,但多重维度模型的建立,必能更有助于减少误报,降低系统噪声。
其次,如何形成成熟的分析算法模型。大数据安全分析平台更有效的数据抓取能力,使瀚思储备了较以往更多的“生产资料”。同时,数据分析师基于丰富的“生产资料”,逐步形成更贴近用户应用行为的分析模型,并将人工分析模型固化为系统分析模型,又进一步加速了瀚思解决方案的智能化、自动化、产品化。
也就是说,瀚思以技术突破,带动应用实践突破,分析能力和模型算法均得以快速成熟,并形成威胁驱动和数据驱动的闭环。如果以哲学的思维解释,即瀚思证明了鸡生蛋,还是蛋生鸡的先后顺序。
生态圈中的瀚思
综上所述,专注于大数据安全分析技术,并在安全智能分析和内部威胁防御领域持续投入和突破,是瀚思入选“网络安全全球500强”的根本原因。当然,中国安全企业入选“500强”榜单,不只瀚思一家,但本土几家老牌安全企业集体掉队,明显其现阶段的创新能力未受权威研究机构认可。
而回归何为新、何为旧的话题,高瀚昭表示,所谓新一代企业从未以颠覆传统安全企业为目标。通常,新一代安全企业研发人员占半数以上;专注细分领域的市场领先地位;不谋求提供全栈式安全服务。“因此,如瀚思定位的产品型新一代安全企业,更适合在生态圈中生存发展,并与诸如网络流量监测、威胁情报、Web安全、补丁管理等企业合作,形成端到端安全解决方案,共同服务客户。”
