大数据、机器学习和网络安全,都是时下最火热的IT技术和应用,那么如果将三者结合一起呢?HanSight瀚思说:那是未来网络安全的大趋势。
“2008年以后,我一直在反思一个问题:虽然大家每天辛勤地工作,总觉得邪不胜正,但是事实上安全问题还是在不断地暴露。究竟是安全企业做得不够好?还是这个行业的生态甚至未来就是这样呢?我们能不能做点事情来重新塑造整个安全行业的格局?”高瀚昭,HanSight瀚思创始人兼首席执行官在6月的产品战略暨融资发布会如是说。
从索尼影业数万份数据被窃,到洛克希德马丁研发数据的丢失,再到国内某用户群众多的邮箱沦陷……近年来的每次信息安全案例都无一例外地让个人和企业损失惨重。与此同时,在网络黑客和安全厂商之间的猫鼠大战,始终在升级——在这场看不到尽头的战争中,安全厂商始终出于守势,面对花样翻新的黑客技术和手段,传统安全厂商已经处处显示出被动应付的窘迫,这让很多身处其中的从业者心生倦意,更让一些其中的佼佼者希望去改变一些什么。
高瀚昭,在2014年创建瀚思公司之前,只在一家公司工作过:1998年从南京大学计算机系毕业后,同年即加入趋势科技,2009趋势科技与宽带资本共同投资成立了北京天云趋势科技有限公司,高瀚昭在该公司担任首席执行官。
与很大多数技术研发出身的公司管理者一样,曾经主持过多年反病毒引擎核心研发工作的高瀚昭希望找到更有效的方法来改变当前这场猫鼠游戏的规则。
2014年,瀚思公司成立,致力于通过结合大数据技术,发掘企业内部数据(包括日志、网络流量等),通过分析这些数据,发现企业内部和外部的异常行为,在通过机器学习,对异常行为进行判断,提早发现安全隐患和漏洞。这种方式在Gartner去年发布一篇专门的报告中,被称为用户与实体行为分析(UBA/UEBA)——一种以机器学习为核心的高级网络威胁检测手段。Gartner在其《用户与实体行为分析指南》中指出,近年来机构单位对用户行为分析功能的需求上涨了近十倍,2017年UEBA市场营收将达到2亿美元。
“传统的防御,以防火墙、IDS、IPS为主的解决方案,已经越来越难以保证用户的信息和数据安全了,就像我们看到超市里不可能给每个商品上锁一样。新的安全解决方案希望通过结合大数据和机器学习的技术,对攻击者有个预先的判断,从而有机会进行一场更正面的抗衡。”高瀚昭说。
作为一家安全领域的初创企业,成立两年半以后,2016年6月8日瀚思在北京的产品战略暨融资发布会上,一举推出了瀚思用户行为分析系统(HanSight UBA)、瀚思安全威胁情报(HanSight TI)、安全易三款产品。
瀚思用户行为分析系统(HanSight UBA)是国内第一款UBA产品。凭借其创新的技术和UBA产品,为用户提供了基于实际安全场景的多维度异常检测功能,通过独特的“仪表盘”功能将机器学习和算法产生的各种数值结果翻译成用户能够理解的安全场景。从而可以帮助用户去定位网络当中发生的恶意事件,寻找不同业务轨迹上的攻击联系,从而分析黑客的攻击和内部违规行为,在预警的同时挖出潜在威胁。帮助企业用户实现从“被动防御”到 “主动智能”的转变。
用瀚思联合创始人兼首席运营官董昕的话说:“靠用户日常行为的分析、网络流量日常行为的分析等一系列数据,用户终于可以用一种上帝的视角来关注自己的公司:公司里到底发生了什么事情,哪些威胁信息安全的攻击从哪儿来,如何进入公司内部,怎样传播,造成了什么危害,结果如何,以及该怎么预防。”
瀚思提供的实测数据表明,在普通的服务器上,HanSight UBA利用GPU优化的高速算法,一分钟内就能完成大部分企业业务场景下的行为数据分析。HanSight UBA解决方案不仅利用机器学习让潜在威胁浮出水面,更在威胁发现速度和准确率方面远快于传统的网络威胁发现解决方案。
另一个瀚思安全威胁情报(HanSight TI)是利用大数据发现威胁的基础数据。有别于传统的安全分析系统,HanSight TI是通过从来自企业内部的真实网络数据、主机数据,打包成安全场景,根据用户关注的业务,将其与内嵌到UBA产品中的威胁情报数据形成联动分析,将这些用户环境中的所有行为足迹统一进行处理,最终把威胁情报和解决办法交付给最终用户。
“安全易”则是瀚思根据中小企业大数据安全应用特点推出的部署更便捷、管理更方便的SaaS服务。
在网络威胁不断演化的今天,黑客攻击的目的由炫耀技术能力转变为窃取企业机密、获取经济利益。这对于广大的中小企业来说,由于缺乏足够的采购资金和专业的安全网管人员,所面临的安全威胁更加严重。而采取主动的安全分析和实时态势感知,以大数据存储与分析的方法,将有可能真正实现对中小企业的真正保护。
基于云端的大数据安全分析平台,“安全易”可以帮助中小型企业从海量日志和安全事件中迅速发现威胁,可以实现在安全事件发生后第一时间告警,通过可视化发掘数据背后的价值,采用智能算法识别安全隐患,利用威胁情报协助揭示危险的存在。用户只需将数据源(日志/流量/设备数据)接入,便可以快速发现内部发生的安全事件、安全隐患,获得解决建议和处理办法。对于中小企业来讲,省时且省力。
Ideabinder创始人兼CEO王昕昱参与了此款产品的内测阶段,他谈到,作为一个对开发安全、数据传输安全、数据安全、数据传输加密、数据加密、APP安全都非常重视的公司,在与瀚思合作阶段,就开始尝试在自己公司内部的环境中应用安全易:“一次我们负责安全的同事休假期间,我们公司内部添了一些服务器,包括测试的服务器。运维的同事在一个周三上午突然对我说:安全易提示说内部新添加的服务器受到了攻击。”
王昕昱开始认为是不太可能的:因为内部测试的环境和公网是断开的。排查后发现,这台服务器上的确有大量的文件流出,而且新添加的一台服务器受到了来自于日本的攻击,这台服务器又通过内部的服务器攻击到内部新增的这台测试服务器。“安全易在事情发生的当下就给出了即刻的提醒。” 王昕昱说:“后来负责安全的同事说,别着急,这个事情是我干的,我在日本度假,我想验证一下我们新上线的产品。”经历了这场虚惊,王昕昱表示,对安全易更加有信心。
网络安全从来就不是小事,尤其是对于当下云计算和互联网应用如此广泛的时代。传统的防守式安全保障经历多年的更新换代,虽然已经在技术和应用等各个层面都已经相对成熟,但是一直以来事后弥补的做法,终归会对用户的现实业务和利益造成不可挽回的损失。如果一定要用猫鼠游戏来形容黑客和安全系统提供商的话,那么在传统的模式下,与隐藏在暗处老鼠相比,猫显得更佳笨拙。瀚思的做法,从根本上改变了安全厂商对技术本身的依赖,独辟蹊径,通过一种更适合和灵活的方式,改变了猫鼠之间的形势对比。从某种意义上,给了用户更多的安全和保障。