前有“移動(dòng)互聯(lián)網(wǎng)”����,后有“云計(jì)算”,接下來(lái)是“大數(shù)據(jù)”��。當(dāng)“大數(shù)據(jù)”分析成為企業(yè)的標(biāo)配���,再反復(fù)提及它就變得不太有意義���。相應(yīng)的,在概念之外�,適應(yīng)新平臺(tái)和思維方式的產(chǎn)品升級(jí)才是技術(shù)趨勢(shì)的價(jià)值所在。
最早看到“大數(shù)據(jù)企業(yè)安全”這個(gè)字眼是在朋友圈里�����,回復(fù)里有人提到王淮在 Facebook 時(shí)就提出利用大數(shù)據(jù)做支付安全相關(guān)工作�。和王淮工作更接近的是杭州同盾,而 HanSight 是想在金融之外做更泛化更具備普適性的企業(yè)內(nèi)外整合安全方案����。
目前 HanSight 的團(tuán)隊(duì)過(guò)去三年里都在做 Hadoop 相關(guān)業(yè)務(wù)。據(jù) HanSight 聯(lián)合創(chuàng)始人 Eric 描述��,他們中國(guó)最早接觸 Hadoop 開(kāi)發(fā)和運(yùn)維的團(tuán)隊(duì)之一��,可以在在海量數(shù)據(jù)監(jiān)測(cè)�、分析時(shí)實(shí)現(xiàn)“秒級(jí)響應(yīng)”。與此同時(shí)�����,HanSight 也是 Hortonworks 在中國(guó)的官方合作伙伴?���!皩?shí)現(xiàn)對(duì)海量數(shù)據(jù)秒級(jí)響應(yīng)對(duì)現(xiàn)有的一線大數(shù)據(jù)團(tuán)隊(duì)來(lái)說(shuō)并不是很困難的事,困難的是針對(duì)這些數(shù)據(jù)做出有效分析和應(yīng)用”����,Eric 說(shuō)。HanSight 現(xiàn)在的兩位核心算法和安全引擎工程師都來(lái)自趨勢(shì)科技���,其中之一的 Justin 曾經(jīng)在趨勢(shì)領(lǐng)導(dǎo)和國(guó)外知名公司 FireEye 產(chǎn)品類似的沙箱技術(shù)�����。
不同于傳統(tǒng)企業(yè)服務(wù)商的物理整機(jī)安全方案����,HanSight 僅提供純軟件解決方案��。在 Eric 看來(lái)�����,傳統(tǒng)機(jī)器彈性有限���,無(wú)法應(yīng)對(duì)業(yè)務(wù)或攻擊規(guī)模的突發(fā)變化��,且僅能分析過(guò)去十小時(shí)安全日志�����。而 HanSight 的企業(yè)日志分析方案能對(duì)企業(yè)現(xiàn)存的所有數(shù)據(jù)進(jìn)行分析��,同時(shí)對(duì)實(shí)時(shí)生成的數(shù)據(jù)進(jìn)行存儲(chǔ)和實(shí)時(shí)分析��。
由于是純軟件解決方案��,HanSight 的實(shí)際性能在一定程度上受限于客戶實(shí)際使用的計(jì)算集群規(guī)模��。但 HanSight 的架構(gòu)能適應(yīng)標(biāo)準(zhǔn) x86 處理器���,且對(duì)企業(yè)原有系統(tǒng)幾乎不存在性能影響。于此同時(shí)��,運(yùn)行 HanSight 的服務(wù)器處于企業(yè)安放對(duì)象服務(wù)群的后方�����,可以對(duì)保護(hù)對(duì)象的異常做實(shí)時(shí)預(yù)警�����,從而規(guī)避因?yàn)榉?wù)器被 DDoS 等服務(wù)攻陷而無(wú)法正常保護(hù)的風(fēng)險(xiǎn)。
HanSight 的 DataViewer 日志抓取���、存儲(chǔ)����、可視化呈現(xiàn)和自定義分析工具現(xiàn)在免費(fèi)提供�����,明年會(huì)對(duì)外開(kāi)源���。這個(gè)工具可以實(shí)現(xiàn)上述的海量數(shù)據(jù)秒級(jí)讀取和分析�,企業(yè) IT 人員可以自定義規(guī)則以利用被抓取和存儲(chǔ)的工具�。明年,DataViewer 會(huì)開(kāi)始以 SaaS 的形式為企業(yè)提供標(biāo)準(zhǔn)化服務(wù)����。之所以日志抓取和自定義分析工具免費(fèi),在 Eric 看來(lái)是因?yàn)椤八婕暗募夹g(shù)大多通用��、開(kāi)源�����,優(yōu)秀的團(tuán)隊(duì)實(shí)現(xiàn)起來(lái)并不難,真正的門檻在于算法和基于數(shù)據(jù)的安全智能分析服務(wù)”����。
目前 HanSight 的安全分析服務(wù)主要針對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行,“外網(wǎng)攻擊可以通過(guò)防火墻等成熟安全體系防御�,但內(nèi)網(wǎng)情況更加嚴(yán)峻而且復(fù)雜”,Eric 說(shuō)���。根據(jù)他的描述,當(dāng)下流行的 APT (高級(jí)持續(xù)性攻擊)會(huì)利用企業(yè)內(nèi)部員工的設(shè)備漏洞通過(guò)內(nèi)網(wǎng)緩慢找到管理層人員并利用相關(guān)信息進(jìn)行內(nèi)網(wǎng)提權(quán)�����、資料盜取����,同時(shí)還可能發(fā)生監(jiān)守自盜的案件。HanSight 會(huì)對(duì)企業(yè)內(nèi)的每一個(gè)員工進(jìn)行行為模式建模�,當(dāng)員工和員工使用的機(jī)器在內(nèi)網(wǎng)內(nèi)做出異常行為時(shí)就會(huì)對(duì)企業(yè) IT 和相關(guān)負(fù)責(zé)人進(jìn)行報(bào)警。由于 HanSight 在現(xiàn)階段只負(fù)責(zé) Alert 而不會(huì)對(duì)異常行為或受控機(jī)做出 Action���,所以能夠方便和企業(yè)內(nèi)部 ERP 等管理系統(tǒng)對(duì)接。在客戶允許或有需求的情況下�����,HanSight 會(huì)在之后提供安裝于受控機(jī)的 Agent 端以實(shí)現(xiàn)更全面的數(shù)據(jù)抓取和行為分析。
雖然 HanSight 基于現(xiàn)有日志數(shù)據(jù)的分析和傳統(tǒng)企業(yè)安全方案一樣屬于攻后防御�����,但部署 HanSight 之后加以 HanSight 的分析增值服務(wù)就會(huì)形成一套主動(dòng)的“攻時(shí)防護(hù)”體系����。HanSight 會(huì)根據(jù)異常行為做出實(shí)時(shí)報(bào)警����,并且根據(jù)現(xiàn)有數(shù)據(jù)預(yù)測(cè)企業(yè)現(xiàn)存的漏洞和可能存在的安全薄弱環(huán)節(jié)���。
當(dāng) Eric 提到他和團(tuán)隊(duì)成員在趨勢(shì)的工作經(jīng)歷時(shí)����,不免讓我想到出版人周筠七年前經(jīng)手的《擋不住的趨勢(shì)》�。趨勢(shì)科技由一對(duì)臺(tái)灣夫婦創(chuàng)辦�,因?yàn)榍捎黾夹g(shù)實(shí)力超強(qiáng)的 CTO 而走上與國(guó)際知名殺毒軟件競(jìng)爭(zhēng)的大平臺(tái)�����。我無(wú)法為 HanSight 的技術(shù)實(shí)力做出擔(dān)保����,但相比千禧年前后的初級(jí)和混亂,國(guó)內(nèi)安全產(chǎn)業(yè)的技術(shù)及正規(guī)化程度已經(jīng)和真正的國(guó)際一線水平接近����。誠(chéng)然,F(xiàn)ireEye 和 PAN (帕羅阿圖網(wǎng)絡(luò))里不乏中國(guó)面孔��,但中國(guó)制造依然有別于中國(guó)智造。
(HanSIght 已在此前獲得光速的千萬(wàn)級(jí) A 輪投資)
作者: sinCera
End.
CDA數(shù)據(jù)分析師培訓(xùn)官網(wǎng)
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試�,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情;
? 想學(xué)習(xí)CDA考試教材����,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情����;
? 想加入CDA考試題庫(kù),點(diǎn)擊>>> “CDA題庫(kù)” 了解CDA考試詳情����;
? 想了解CDA考試含金量�����,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號(hào)
經(jīng)營(yíng)許可證編號(hào):京B2-20210330