快捷菜单
社交媒体
联系方式
业务咨询

400-816-1670

地址

北京市 海淀区 东北旺西路8号 中关村软件园9号楼2区306A

Email

contact@HanSight.com

Phone

(+86 10) 8282 6616

新闻 / News

第一财经周刊访谈瀚思科技CEO高瀚昭:安全守门人

  • 关键词:瀚思科技,大数据安全,内部威胁 by HanSight瀚思
  • - Oct 10,2017
导语:作为国内第一家研发用户行为分析系统(UBA)的公司,瀚思科技主要针对内部威胁,通过对用户行为画像及对比异常行为来判断风险。

HanSight瀚思入选大会发布的大数据产业地图(2017)

照片来源:第一财经周刊第473期 摄影师 zoe

2009年,作为网络安全公司趋势科技全球最高级别的安全专家,高瀚昭对自己所从事的安全事业感到心灰意冷。

高瀚昭当时在趋势科技负责全球病毒及自动化分析,带领一个300人左右的技术团队。每天,这群人的工作就是不断寻找病毒样本,并利用技术手段对其分析破解。即便如此,每天互联网上仍有大量的恶意文件产生,技术再先进,似乎也赶不上新病毒产生的速度。

不止安全公司,一直以来,企业对待信息安全的态度也都非常被动。它们更习惯的做法是借助包括防火墙在内的各类厂商提供的工具,来阻挡外部黑客的攻击—就像是垒了一堵高墙,如果持续遭到攻击,它们就将这堵墙垒得更结实一些。但产品在明,黑客在暗,且黑客总在推陈出新,企业总在被动防御。

“所有人都疲于奔命。”高瀚昭形容当时的工作状态。最后,他选择回国创立天云科技。天云科技是趋势科技的一个内部创业项目。这家公司以大数据和云计算为主要业务,很少涉及安全业务。但4年之后,高瀚昭重新燃起了对安全业务的激情。2013年,他在美国旧金山参加RSA信息安全大会,会议的主题就是利用大数据解决信息安全问题。高瀚昭认为,大数据与信息安全的结合,未来将产生巨大的市场价值。2014年1月,他成立了瀚思科技。

瀚思科技强调用大数据技术为企业解决信息安全问题,化被动防御为主动应对。其核心产品是以HanSight Enterprise为基础的安全分析平台及用户行为分析系统HanSight UBA。前者可以接入各种位置的设备和产品,比如防火墙、IDS、数据库、邮件系统等,主要解决传统安全中的外部攻击如病毒木马等通用问题;后者则主要用来解决员工窃取数据等内部威胁。

“以前是门卫的概念,但你阻止不了别人翻墙。现在是小区闭路电视,发现行为就直接报警。”高瀚昭认为,以往应对安全威胁时,企业都是以攻击者的角度为导向,但比如终端感染病毒,只要对业务没有影响,其实很少会有人真正关心。而这件事的真正核心在于用户环境。从使用者的角度来说,他们更在乎的是客户数据是否泄漏,领导邮箱是否被盗,哪些攻击应该被拦截等问题。这是一件需要体系化的事情,依靠单一维度的外部产品很难解决。

瀚思科技的特点在于,它是国内第一家研发用户行为分析系统(UBA)的公司。UBA主要针对内部威胁,通过对用户行为画像及对比异常行为来判断风险。去年,瀚思科技的收入达到了数千万元,付费客户超过100家。2017年7月,瀚思科技获得由IDG资本、国科嘉和、南京高科投资的1亿元B轮融资。IDG资本投资副总裁邵辉称,中国的传统安全市场规模在二三十亿美元,而暂时没有作为细分领域而存在的内部威胁市场,未来价值可能远不止二三十亿美元。

瀚思科技在2014年1月成立之初,就很顺利地获得了光速中国的天使轮投资,这使得他们对自己要做的事情充满信心,但市场反馈并不积极。

在中国市场,很多企业对安全这件事并不重视。它们的惯常做法是“给一堆原始数据”,让安全公司自动识别,发现异常。

第一年,瀚思科技只有两家客户,其中一家是招商银行。招商银行是国内首家启动网银服务的银行。当时,为了处理每天数以亿计的日志数据,招商银行与全球各地的厂商保持密切交流。“招行认为只要你有效果,公司大小并不重要。”2014年夏天,高瀚昭等人与招商银行安全部门负责人正式见面,几个月内,瀚思科技生产出了一套产品原型,在对原型效果评估以后,双方在2014年10月达成正式合作。

但像招商银行这样的企业毕竟是少数。安全是非常专业的领域,从设备到团队到系统,都需要企业花费巨大成本。以BAT为例,安全部门的人数都在千人以上,假使一个工程师的年薪在30万元左右,BAT在安全上的成本投入也至少在亿元量级。对中小企业而言,这根本不是它们可以负担的成本。此外,这件事其实与客户心理有关。“每个公司有自己的特点,每个部门有自己的KPI,如果这件事不在KPI内,他可能就不关心。”瀚思科技产品与新业务总监张安清认为。

第二年,瀚思科技积累了8家客户,销售数字并不好看。A轮融资时,他们也因此受到不少质疑。“当时整个市场很疯狂。所有人都在看互联网金融、O2O这样的项目。没有人愿意去了解安全市场。”瀚思意识到一点,即使没有外部融资,也要学会自身造血。而造血的根本在于产品在技术和功能上的适应性。

瀚思在创业之初,采取的是高举高打的战略。最早,他们的重心主要放在算法突破和模型建立上。设计第一款Enterprise时,公司以APT为重心。APT(Advanced Persistent Threat)又称高级长期威胁,指的是隐匿而持久的电脑入侵过程。因Fireeye等公司的宣传,这一概念当时在全球范围内广受追捧。但真正到业务落地之时,瀚思科技才发现困难重重。“ATP更多是国家和政府层面的威胁,”联合创始人兼COO董昕认为,在企业安全层面,这个词有过度营销之嫌,“以中国大部分企业的安全防守能力之差,根本还没到需要APT才能攻破的程度。”

所以在2015年年初,设计第二版Enterprise产品之时,瀚思科技保留了核心架构,改变了用户场景,“以发现更大规模的未知威胁为设计思路。”到了第三版,重点则由算法等技术扩展至基础设施的铺建。比如更容易地发现数据,更快速地实现数据对接等。“就像是装修,我们之前做了很多配饰方面的工作,没有顾及到墙和地。”董昕认为,只有将基础设施补齐,产品才能真正做到“开箱即用”。

“在美国根本不需要考虑这些,因为社会分工非常之细。”考虑到中国市场的特点,瀚思科技在产品设计上更加实用。比如客户更喜欢直观表现,就在产品上增加了大屏展示功能。新版本完成以后,瀚思科技接入客户数据的时间由两三个月缩短至一个星期。

金融和公安产品是瀚思科技的战略重点。金融行业因为涉及到资金安全,政府机构因为涉及到高端机密,对安全的投入都相对较多。“我们一开始也没有想要为哪个行业专门服务,做下来以后发现,金融和公安两个行业的客户需求量明显大于其他行业,可能金融一旦出了安全问题,影响会比较大,而公安本来就是执法部门,安全是它们的一个考核指标。”高瀚昭说。

金融客户最关心的是反欺诈问题。今年5月,一家商业银行找到瀚思,想借用户行为分析技术帮助自己检测内部威胁。在接入了连续3个月的手机银行登录日志以后,瀚思针对每个账号建立了用户行为模型,关注用户在行为模式上的变化。以银行账户为例,他们通常会通过数量、关系及序列这3个层次来分析用户行为:数量指一个月转账多少次、每次转账多少钱、转账一般在哪个时间段;关系指给哪些人转账、转到哪些地方去;序列则是账户登录后的操作顺序,比如先查余额再交水电费再转账。“密码可以被偷,习惯却无法模拟。”类似这样的维度,大概有几十个。

以前银行采取的方式都是设备指纹或黑名单。但是并不是所有时候都能收集到指纹,且指纹还要符合规范;而黑名单则更多针对已知的犯罪行为。它们的缺点在于维度单一,只能发现简单威胁,无法发现新的威胁。而UBA的多维度则能改善这一情况。

据张安清介绍,光是金融场景,瀚思内部就建立了二三十个模型,其中包括撞库、暴力破解、账号交易异常、诈骗等,每个模型针对单一的业务场景。金融反欺诈这件事其实有很多第三方平台都在做,只是每家侧重点不同,多数时候银行可能会同时选择好几家供应商。而在瀚思科技看来,自己相较于其他供应商的优势在于,模型的长周期及用户行为分析算法。

模型的长周期指的是针对用户行为的连续观察—瀚思会建议客户接入用户过去一个月以上的历史数据。他们认为,单次的数据异常并不存在明显价值,比如一个IP一天里曾十次登录系统,单看一次行为,可能每次登录相隔只有半小时,并不存在异常,但通过长周期建模,就可以发现异常。

“黑客只要在网络经过,一定会留下痕迹。”邵辉说道。黑客可能在3点钟进入了防火墙,3点零5分又在邮件服务器上有所动作。所有这些日志看起来都是零散事件,但只要将各方日志汇总在一起,以时间为轴,不同维度对比后就可以发现问题。在内部,瀚思科技称其为关联分析。

“传统上来说,这些痕迹并没有被企业保存分析。瀚思帮企业收集、存储、分析、处理了所有安全数据。”邵辉说道。这意味着,首先,瀚思科技Enterprise平台的适应性要高,能识别各种软硬件厂商提供的设备,收集到更多原始数据;其次,这些数据能被及时存储及分析。以某银行为例,单个客户一天产生的数据量都超过1TB,此前他们使用的解决方案只能存储10个小时,现在,瀚思科技搭建的底层架构,可以将这些数据的存储时间延长至3个月甚至半年。

Enterprise和UBA是瀚思科技最为主要的两款产品。从难度上来说,由于Enterprise接入的软硬件设备都相对标准,所以模型上的难度其实不大,用张安清的话来说就是“预定义模型”,不需要现场接入数据;而内部威胁涉及到企业内部开发的应用,在格式等各个层面都存在标准不统一的情况,不仅需要现场接入数据,还需要不断优化算法。

外部威胁更多时候采用的是一种监督式算法;内部威胁则更多采用非监督算法。前者面对的通常是已知威胁,后者面对的则是未知威胁。所以从算法上来说,内部威胁的难度更大。据高瀚昭介绍,内部项目接数据一般需要3天,测试模型2天,加起来要一周左右,而外部威胁项目只需3天时间就能完成落地。

非监督算法的难点在于,其他行业算法都是在找共性,而安全行业是要找到用户的异常。“学校的老师都赞成做推荐算法,不擅长找异常算法。”在找学校合作时,高瀚昭感觉并不容易。十年以前,他就与学术界保持密切关系。作为南京大学的毕业生,在学术交流层面,他得到了很多来自母校的支持。而在前不久的B轮融资中,我们也能看到中科院的身影。

在这些技术手段加持的情况下,98%的用户测试以后,都会发现企业内部的一些隐蔽问题。比如他们从未听说过的一些设备,原来一直在往外发送数据;比如领导的邮箱,原来总有人在尝试登录等等。

瀚思科技70%的收入都来自软件解决方案销售。此外,他们也会提供定制化服务,比如为客户现场解决问题,出具安全报告等。目前,瀚思科技服务的客户有100多家,客单价在百万元级别,复购率在80%左右。

去年,Enterprise更新至第三版以后,瀚思科技开始考虑业务的增长点。尽管传统安全仍处于高速发展状态,但整体市场量还是不够大,它的应对策略除了发展UBA技术以外,就是与金融和公安行业深度合作。

作为B轮投资人,邵辉并不担心这家公司在产品和技术上的竞争力,他担心的是2B企业都会面临的共同问题—如何更好地卖出产品。现在,公司超过一半产品是由华为、亚信、神州数码等代理商销售。“中国市场环境相对复杂,企业IT管理水平相对较低,对产品的选择能力相对偏弱。另外,中国经济主要靠国有经济支撑,大型国企在市场化程度上相对较差,这给创业企业带来更多挑战。”他说。

今年6月《网络安全法》正式发布以后,瀚思科技明显感受到了市场变化。现在,很多客户会主动打电话找到他们,企业也纷纷开始成立安全部门。“安全领域,发现威胁是第二推动力,合规才是最大的推动力,”高瀚昭认为,“在一般企业,安全法一定是个推手,至少我们前几年明显觉得其他行业的重视程度是不够的,未来会不会改变,还是要看《网络安全法》最后的效果。”

瀚思科技今年预计达到盈亏平衡。目前,除了做深金融和公安两条线,它的重点在于拓展更多客户,“要迅速建立我们的销售体系。酒好也怕巷子深。”目前瀚思科技的服务形式不限,可以是基于SaaS的安全远程服务,也可以是软件租赁等。理论上,瀚思科技的商业触角能延伸至各行各业。但这不只取决于它的努力。

文章来源:第一财经周刊第473期

文|CBN记者 周欣

美术编辑|车玲玲

图|zoe