HanSight瀚思:一家主动智能抵御的大数据安全分析平台的公司
2014年成立的HanSight瀚思是一家专注于大数据安全分析平台的公司,为企业信息管理提供日志搜索举证,能够侦测到外部黑客攻击和高级的、隐秘的低频次内外部攻击。创立当天就拿到了光速中国创投数百万美元的天使投资,近期已拿到A轮融资。
瀚思超过9成员工都是工程师、数据分析师和安全研究员,联合创始人董昕专业技术创业两不误,曾在微软工作5年,后成为云基地旗下超云公司的联合创始人。
董昕告诉创业邦,目前的HanSight瀚思的客户包括招商银行、建设银行、中国联通、大唐电信、公安税务等对IT重度依赖的企业和机构。
从传统被动防御转向主动智能抵御
董昕说,传统以防御为核心的安全策略已经过时,信息安全正在变成一个大数据分析问题。
世界500强的企业,安全设备每天产生的报警就多达30万条,这些报警信息中,哪个是低优先级,哪个是高优先级,仅靠传统的防火墙、杀毒、扫描等方式显然不够,甚至出现错报、误报和漏报。
此外,外部攻击手段也在提升。董昕说,比如一个家庭的安全防护可以靠门和锁,进出凭钥匙,但企业发展成为一个大型超市乃至空间开放的城市时,通过摄像头来监控安全就成为必须。
HanSight瀚思就是要成为企业安全防护中的摄像头,建立一个全面、立体、主动的监控体系,而大数据+中控是核心。
用大数据驱动安全
董昕说,假设我们企业所处的信息环境是不安全的,企业就要对所有互联网行为进行检测,如果可以提前预测、计算、检测,就能适时发现异常行为,并通过对所有异常行为进行分析,最终得到响应,将危险扼杀在摇篮中。
HanSight瀚思主要从三个方面来实现大数据驱动安全的最终目的:
1.数据采集全面完整
董昕说,要保证分析结果的精准,数据源的采集就必须全面。
HanSight瀚思产品监控的是三样数据:日志、网络流量、权量抓包。
数据采集方面,HanSight瀚思自带的日志采集器,可以获取企业内部网络与安全设备日志、操作系统日志、应用日志、数据库日志或任何有时间戳的数据源,并以非格式化或半格式化抓取原始数据,保证数据信息的完整性。同时,HanSight瀚思也支持对网络流的采集。
权量抓包则以企业所有的对外数据的出口为采集对象,保证采集信息的全面性。
董昕说,这三个量级是分级的,层次递次扩大,HanSight瀚思现在主要是采集日志数据,采集数据源会随着企业量级的增加而变动。
2.数据存储量级增加
服务器、网络流量、防火墙等每天产生海量的数据信息,还包括对历史数据的保存。HanSight瀚思可以查询过去超过一月的数据信息,管理数百TB的数据量。
以招商银行为例,之前只能溯源追踪过去10个小时的网银数据,通过HanSight瀚大数据则能追踪到过去3个月,同时管理每天10亿条新增数据量级。
3.安全智能分析和多途径可视化呈现
大数据分析的数据源可能相似,但垂直分析的目标不同,将导致最终数据视角、建模模型的迥异,并最终呈现不一样的结果。
企业信息安全,在安全事件发生之前,无法提前预知,常规的算法和建模并不适用,因此要靠机器的自主学习,来实现数据的分类。
在将数据行为进行异常类、正常类、少数异常的正常类等分类之后,一旦出现异常数据,企业管理人员就能实时侦别,发出预警,及时做出反映。
创业邦了解到,HanSight瀚思产品根据不同的维度,提供可视化的时序分析、关联分析、聚类分析、图分析等,一张图上可视化每类的每天变化情况,用户可精确定位到具体IP、目的端口、时间。
以算法处理后的海量IP的长周期通讯模式图为例,用户从图上可以看出今天的某IP流量变动,然后会知道高出来的究竟是哪些,是否正常,如果不正常的话,可以及时发现开始的时间点,找到源头然后进行处理。
以以上为基础,HanSight瀚思的摄像头监测从两个方向切入:
第一是异常检测
第二是用户行为分析
举例来说,企业同一个部门的员工,日志记录基本雷同,也就是说,根据大数据采集,在可视图表中的行为表现应该基本保持一致,如果行为不一样,就表明可能存在问题。HanSight瀚思产品会对异常进行追踪,包括对历史数据的溯源,数量越大越能更加精确的判定是否是潜在的威胁。
比如常见的撞库,当用户密码泄,被盗窃者拿去其他电子金融账户,模拟真实用户登录时,HanSight瀚思产品就能在多维度建模后的运维中,发现异常行为。董昕说,很多账户资金被盗事件与撞库成功与否有直接关联。
未来的发展将是三位一体
董昕对创业邦说,未来HanSight瀚思要三位一体发展。
第一,算法的研究和产品升级,对产品进行云化,通过云化来服务中大小型企业,扩展用户。
第二,安全威胁情报库,通过一系列的安全情报报告,适时监控和预测全网的网站域名,将潜在的威胁量化,提供安全预警。
第三,SaaS服务的交付,用户场景最小化,支持标准化硬件。
产业投资内参
有价值的产业投资参考
中投顾问
产业投资咨询服务专家