大数据安全催生“百亿元量级”安全领导厂商？

　　安全攻击防不胜防。既然如此，不如转守为攻，变被动的安全防御为主动、智能的侦测。大数据为这种安全策略的转变提供了最强有力的支撑。你以为大数据安全只是纸上谈兵吗？不，已经成立两年的HanSight瀚思正推动大数据安全在中国快速落地。

　　刚刚完成A轮融资的HanSight瀚思希望大数据安全能够成为引发中国安全市场变革的引擎和助推器。“剑走偏锋”的大数据安全，能否成为未来信息安全领域的中流砥柱？HanSight瀚思能否借此成为百亿元量级的中国安全领导厂商？HanSight瀚思把这当成了中长期的目标，并且开始付诸行动。

　　UBA市场何时才能爆发？

　　现在一提起大数据，总感觉它无处不在，无所不能。其实，从存储与计算分离的那一天起，人们已经开始有意识地存储、处理和分析数据。只不过因为技术和需求所限，人们对数据的分析和利用在广度和深度上都远远不及现在。如今，云计算、大数据、机器学习等技术手段不断丰富，让人们有了进一步挖掘数据价值，将数据分析与各种不同的应用深度结合的强烈愿望，于是才有了用户行为分析、大数据的风险管控等。

　　大数据除了在金融、电信、能源、医疗、制造等垂直行业有了更多用武之地以外，在横向的一些技术应用领域，特别是安全方面，也能发挥更加重要的作用。

　　用户与实体行为分析（UBA/UEBA）就是大数据安全的一个新的爆发点。Gartner发布的《用户与实体行为分析指南》中的数据显示，近年来，机构和单位对用户行为分析功能的需求上涨了近10倍，2017年全球UEBA市场营收将达到两亿美元。

　　UBA是大数据安全领域的新宠。Gartner认为，UBA将是未来全球信息安全领域支柱性、方向性的技术，它利用机器学习、用户画像等技术可以对用户的异常行为进行检测。

　　在欧美市场，UBA颇受各方资本的青睐。全球第一个上市的大数据企业Splunk以1.9亿美元的价格收购了安全初创企业Caspida。Caspida是一家提供实时网络安全与威胁检测的初创企业，它可以利用机器学习技术自动对企业内外各种环境下的隐藏威胁进行检测和防护，具备未知威胁的识别与防护能力。

　　微软收购了云安全公司Adallom。在全面布局公有云市场的同时，微软急需增强云的安全性，而Aldallom的定位是企业的身份管理代理，能够监控用户在多个SaaS云服务上的行为，并对异常行为发出警报。这些正是微软所需要的。

　　据HanSight瀚思创始人兼首席执行官高瀚昭介绍，HanSight瀚思潜心研究推出的用户行为分析系统（HanSight UBA）可以媲美国外先进的UBA产品，提供基于实际安全场景的多维度异常检测功能，并可通过其独特的“仪表盘”功能，将机器学习和算法产生的各种数值结果翻译成用户能够理解的安全场景。

　　UBA是极度耗费计算资源的。因此，HanSight UBA进行了深度优化和整合，采用专门的GPU、通信加速器。HanSight瀚思公布的实测结果显示，在普通的服务器上，HanSight UBA利用GPU优化的高速算法，一分钟内即可完成大部分企业业务场景下的行为数据分析工作。“我们曾经利用HanSight UBA帮一个客户从70万条账号登录信息中发现了7万个异常账户，其中包含几百个高危账户。我们的侦测成功率超过99%。”HanSight瀚思联合创始人兼首席科学家万晓川介绍说。HanSight UBA解决方案不仅利用机器学习技术让潜在威胁浮出水面，而且在威胁发现速度和准确率方面远高于传统的网络威胁发现解决方案。

　　“确定哪些用户行为是异常的，与确定哪些用户行为是正常的一样困难，因为没有一个统一的标准。”万晓川举例说，“HanSight UBA解决方案从多个不同的维度对用户行为进行分析和比对，然后再将从不同维度获得的结果综合起来进行分析，从中发现用户的异常。在开发HanSight UBA的过程中，我们曾仔细研究了国外20多个UBA产品。国外做UBA产品的厂商大多是从大数据分析的角度切入，而我们是从安全的角度切入。”

　　HanSight瀚思在宣布完成A轮投资的同时，还与亚信安全、汉柏科技、先进数通、清华大数据联合会、华为等合作伙伴签订了合作协议。HanSight瀚思将与合作伙伴一起推出全面的安全解决方案，建立大数据安全生态系统。“我们希望HanSight UBA这一基于用户异常行为的安全分析引擎，能够帮助中国最顶尖的互联网公司、政府、电信运营商、银行等找到以前最难发现的内部威胁和外部威胁。”高瀚昭表示。

　　数据驱动安全

　　大数据安全是万能的吗？它能一劳永逸解决企业面临的所有安全问题吗？HanSight瀚思主做安全的预测和侦测，而其他的安全防御工作还可以依靠原有的安全解决方案提供商。对于企业的整体安全防护来说，大数据安全是锦上添花，它不是取代传统的安全防御工具，比如防火墙等，而是一种有益的补充。正如高瀚昭经常所举的例子，传统的安全防御手段就像是门、窗、锁，而大数据安全则像是摄像头，只有上述这些安全措施齐备，才能更好地保证企业安全。

　　最新推出的HanSight瀚思安全威胁情报（HanSight TI）有别于传统的安全分析系统，它是通过对网络数据、主机数据、登录认证数据和威胁情报数据的联动分析，将这些用户环境中的所有行为足迹统一处理，最终将威胁情报和解决办法交付给用户。HanSight TI使用自然语言处理技术（NLP），从各种结构化和非结构化信息中抽取安全事件，并汇总成为威胁情报，还能与HanSight UBA等HanSight瀚思的其他产品集成。

　　“HanSight UBA和HanSight TI与瀚思大数据安全分析平台HanSight Enterprise高度集成，为客户打造一套完整的海量数据安全解决方案。”HanSight瀚思联合创始人兼首席运营官董昕介绍说，“我们致力于打造行业大数据安全体系。针对不同行业威胁情报类型的特点，HanSight TI并非将原始粗糙的威胁情报显示给用户，而是将信息加工处理后，并结合用户的行业应用场景，确定威胁的可信性和关联性，再将威胁情报推送给用户。”

　　“两年前，我们和用户谈到大数据安全时，很多人还一头雾水。但是现在，很多客户已经意识到，大数据分析平台是必需的。金融、电信、政府等数据量比较大的客户对大数据安全的需求比较迫切，通常会借鉴互联网企业的大数据应用经验，有的已在生产系统中使用大数据安全工具。”HanSight瀚思联合创始人兼销售副总裁沈海辉告诉记者。

　　IDC指出，由大数据和威胁情况驱动的大数据安全分析市场是未来信息安全领域最重要的细分市场。大数据安全解决方案可以解决IT安全、业务安全、物联网安全等问题，基于安全的复杂分析、模型和预测都可以由大数据来完成。只有认识到这一点，用户才有上马大数据安全解决方案的动力。

　　SaaS安全服务一鸣惊人

　　Infonetics Research的研究数据显示，2015年，全球SaaS安全服务市场规模达到80亿美元，复合年均增长率达到23%。SaaS安全服务市场前景广阔。不过，当前SaaS安全服务的消费人群主要集中在北美和欧洲地区，在中国，最常见的SaaS安全服务可能就是在线杀毒，而能够提供全面安全保障的真正意义上的SaaS安全服务在中国几乎是空白。

　　现在，这种“一穷二白”的状况有望得到改观。HanSight瀚思在国内正式推出面向广大中小企业的“安全易”SaaS安全服务。

　　高瀚昭表示，对于广大中小企业来说，由于缺乏足够的采购资金和专业的安全网管人员，他们面临的安全威胁更加严重。而采取主动的安全分析和实时态势感知技术，借助大数据存储与分析的方法，可以实现针对安全大数据的长期有效存储与实时分析决策的结合。这不仅对于大型企业来说至关重要，而且也是中小企业最迫切的需求。

　　以前，SaaS安全服务之所以没有在中国市场上快速崛起，很重要的一个原因是，用户对于云服务还有顾虑，不敢轻易将数据放到云中。但是现在，随着人们对公有云服务的认同度和接受度不断提升，SaaS安全服务有了适合其发展的土壤。InfoneticsResearch的数据显示，2015年，全球已经有25%的企业采用SaaS模式进行电子邮件和Web保护。在欧洲，这一比例更高。

　　HanSight瀚思对“安全易”SaaS安全服务信心十足，因为它部署更便捷，管理更方便。“安全易”是一个基于云端的大数据安全分析平台，可以帮助中小型企业在海量日志和安全事件中迅速发现威胁，并在发生安全事件后的第一时间告警，还可通过可视化的功能发掘数据背后的价值，同时采用智能算法识别安全隐患，利用威胁情报分析更及时、准确地发现危险的存在。用户只需接入数据源（包括日志、流量、设备数据等），便可快速发现企业内部存在的安全隐患，还可获得建议和处理办法。

　　2014年，HanSight瀚思刚成立时，最先推出的是针对企业级用户的大数据安全平台。现在，以“安全易”SaaS安全服务为先锋，HanSight瀚思顺利进入中小企业安全市场，从而完成了其产品线覆盖全行业的战略布局。这既是HanSight瀚思大数据安全技术在应用方面的自然延伸，也是HanSight瀚思自身业务拓展的需要。

　　“安全易”目前正处于内测阶段。谨慎起见，HanSight瀚思采用的是邀请机制。不过，董昕承诺，“安全易”SaaS安全服务很快将全面放开。同时，HanSight瀚思还会与非常重要的战略合作伙伴一起推动SaaS安全服务的应用普及。

　　■本报记者 郭涛