前有“移動互聯(lián)網(wǎng)”��,后有“云計算”���,接下來是“大數(shù)據(jù)”。當“大數(shù)據(jù)”分析成為企業(yè)的標配�����,再反復提及它就變得不太有意義�����。相應的����,在概念之外,適應新平臺和思維方式的產(chǎn)品升級才是技術趨勢的價值所在�����。
最早看到“大數(shù)據(jù)企業(yè)安全”這個字眼是在朋友圈里,回復里有人提到王淮在 Facebook 時就提出利用大數(shù)據(jù)做支付安全相關工作��。和王淮工作更接近的是杭州同盾����,而 HanSight 是想在金融之外做更泛化更具備普適性的企業(yè)內(nèi)外整合安全方案�����。
目前 HanSight 的團隊過去三年里都在做 Hadoop 相關業(yè)務��。據(jù) HanSight 聯(lián)合創(chuàng)始人 Eric 描述���,他們中國最早接觸 Hadoop 開發(fā)和運維的團隊之一�,可以在在海量數(shù)據(jù)監(jiān)測�、分析時實現(xiàn)“秒級響應”。與此同時�����,HanSight 也是 Hortonworks 在中國的官方合作伙伴����。“實現(xiàn)對海量數(shù)據(jù)秒級響應對現(xiàn)有的一線大數(shù)據(jù)團隊來說并不是很困難的事,困難的是針對這些數(shù)據(jù)做出有效分析和應用”����,Eric 說。HanSight 現(xiàn)在的兩位核心算法和安全引擎工程師都來自趨勢科技�����,其中之一的 Justin 曾經(jīng)在趨勢領導和國外知名公司 FireEye 產(chǎn)品類似的沙箱技術�����。
不同于傳統(tǒng)企業(yè)服務商的物理整機安全方案�����,HanSight 僅提供純軟件解決方案���。在 Eric 看來����,傳統(tǒng)機器彈性有限���,無法應對業(yè)務或攻擊規(guī)模的突發(fā)變化����,且僅能分析過去十小時安全日志。而 HanSight 的企業(yè)日志分析方案能對企業(yè)現(xiàn)存的所有數(shù)據(jù)進行分析����,同時對實時生成的數(shù)據(jù)進行存儲和實時分析�����。
由于是純軟件解決方案�����,HanSight 的實際性能在一定程度上受限于客戶實際使用的計算集群規(guī)模����。但 HanSight 的架構(gòu)能適應標準 x86 處理器,且對企業(yè)原有系統(tǒng)幾乎不存在性能影響�。于此同時,運行 HanSight 的服務器處于企業(yè)安放對象服務群的后方����,可以對保護對象的異常做實時預警,從而規(guī)避因為服務器被 DDoS 等服務攻陷而無法正常保護的風險�����。
HanSight 的 DataViewer 日志抓取、存儲�����、可視化呈現(xiàn)和自定義分析工具現(xiàn)在免費提供����,明年會對外開源。這個工具可以實現(xiàn)上述的海量數(shù)據(jù)秒級讀取和分析���,企業(yè) IT 人員可以自定義規(guī)則以利用被抓取和存儲的工具����。明年���,DataViewer 會開始以 SaaS 的形式為企業(yè)提供標準化服務�����。之所以日志抓取和自定義分析工具免費���,在 Eric 看來是因為“所涉及的技術大多通用���、開源,優(yōu)秀的團隊實現(xiàn)起來并不難����,真正的門檻在于算法和基于數(shù)據(jù)的安全智能分析服務”。
目前 HanSight 的安全分析服務主要針對企業(yè)內(nèi)網(wǎng)進行����,“外網(wǎng)攻擊可以通過防火墻等成熟安全體系防御��,但內(nèi)網(wǎng)情況更加嚴峻而且復雜”�����,Eric 說�����。根據(jù)他的描述�,當下流行的 APT (高級持續(xù)性攻擊)會利用企業(yè)內(nèi)部員工的設備漏洞通過內(nèi)網(wǎng)緩慢找到管理層人員并利用相關信息進行內(nèi)網(wǎng)提權、資料盜取�����,同時還可能發(fā)生監(jiān)守自盜的案件。HanSight 會對企業(yè)內(nèi)的每一個員工進行行為模式建模�����,當員工和員工使用的機器在內(nèi)網(wǎng)內(nèi)做出異常行為時就會對企業(yè) IT 和相關負責人進行報警��。由于 HanSight 在現(xiàn)階段只負責 Alert 而不會對異常行為或受控機做出 Action�����,所以能夠方便和企業(yè)內(nèi)部 ERP 等管理系統(tǒng)對接����。在客戶允許或有需求的情況下,HanSight 會在之后提供安裝于受控機的 Agent 端以實現(xiàn)更全面的數(shù)據(jù)抓取和行為分析���。
雖然 HanSight 基于現(xiàn)有日志數(shù)據(jù)的分析和傳統(tǒng)企業(yè)安全方案一樣屬于攻后防御�,但部署 HanSight 之后加以 HanSight 的分析增值服務就會形成一套主動的“攻時防護”體系����。HanSight 會根據(jù)異常行為做出實時報警,并且根據(jù)現(xiàn)有數(shù)據(jù)預測企業(yè)現(xiàn)存的漏洞和可能存在的安全薄弱環(huán)節(jié)����。
當 Eric 提到他和團隊成員在趨勢的工作經(jīng)歷時�,不免讓我想到出版人周筠七年前經(jīng)手的《擋不住的趨勢》���。趨勢科技由一對臺灣夫婦創(chuàng)辦�,因為巧遇技術實力超強的 CTO 而走上與國際知名殺毒軟件競爭的大平臺����。我無法為 HanSight 的技術實力做出擔保,但相比千禧年前后的初級和混亂�����,國內(nèi)安全產(chǎn)業(yè)的技術及正規(guī)化程度已經(jīng)和真正的國際一線水平接近����。誠然���,F(xiàn)ireEye 和 PAN (帕羅阿圖網(wǎng)絡)里不乏中國面孔�,但中國制造依然有別于中國智造�。
(HanSIght 已在此前獲得光速的千萬級 A 輪投資)
作者: sinCera
End.
CDA數(shù)據(jù)分析師培訓官網(wǎng)
CDA數(shù)據(jù)分析師考試相關入口一覽(建議收藏):
? 想報名CDA認證考試,點擊>>>
“CDA報名”
了解CDA考試詳情�����;
? 想學習CDA考試教材,點擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫���,點擊>>> “CDA題庫” 了解CDA考試詳情���;
? 想了解CDA考試含金量,點擊>>> “CDA含金量” 了解CDA考試詳情�����;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330