前有“移動互聯(lián)網(wǎng)”,后有“云計算”,接下來是“大數(shù)據(jù)”。當(dāng)“大數(shù)據(jù)”分析成為企業(yè)的標(biāo)配,再反復(fù)提及它就變得不太有意義。相應(yīng)的,在概念之外,適應(yīng)新平臺和思維方式的產(chǎn)品升級才是技術(shù)趨勢的價值所在。
最早看到“大數(shù)據(jù)企業(yè)安全”這個字眼是在朋友圈里,回復(fù)里有人提到王淮在 Facebook 時就提出利用大數(shù)據(jù)做支付安全相關(guān)工作。和王淮工作更接近的是杭州同盾,而 HanSight 是想在金融之外做更泛化更具備普適性的企業(yè)內(nèi)外整合安全方案。
目前 HanSight 的團隊過去三年里都在做 Hadoop 相關(guān)業(yè)務(wù)。據(jù) HanSight 聯(lián)合創(chuàng)始人 Eric 描述,他們中國最早接觸 Hadoop 開發(fā)和運維的團隊之一,可以在在海量數(shù)據(jù)監(jiān)測、分析時實現(xiàn)“秒級響應(yīng)”。與此同時,HanSight 也是 Hortonworks 在中國的官方合作伙伴。“實現(xiàn)對海量數(shù)據(jù)秒級響應(yīng)對現(xiàn)有的一線大數(shù)據(jù)團隊來說并不是很困難的事,困難的是針對這些數(shù)據(jù)做出有效分析和應(yīng)用”,Eric 說。HanSight 現(xiàn)在的兩位核心算法和安全引擎工程師都來自趨勢科技,其中之一的 Justin 曾經(jīng)在趨勢領(lǐng)導(dǎo)和國外知名公司 FireEye 產(chǎn)品類似的沙箱技術(shù)。
不同于傳統(tǒng)企業(yè)服務(wù)商的物理整機安全方案,HanSight 僅提供純軟件解決方案。在 Eric 看來,傳統(tǒng)機器彈性有限,無法應(yīng)對業(yè)務(wù)或攻擊規(guī)模的突發(fā)變化,且僅能分析過去十小時安全日志。而 HanSight 的企業(yè)日志分析方案能對企業(yè)現(xiàn)存的所有數(shù)據(jù)進行分析,同時對實時生成的數(shù)據(jù)進行存儲和實時分析。
由于是純軟件解決方案,HanSight 的實際性能在一定程度上受限于客戶實際使用的計算集群規(guī)模。但 HanSight 的架構(gòu)能適應(yīng)標(biāo)準 x86 處理器,且對企業(yè)原有系統(tǒng)幾乎不存在性能影響。于此同時,運行 HanSight 的服務(wù)器處于企業(yè)安放對象服務(wù)群的后方,可以對保護對象的異常做實時預(yù)警,從而規(guī)避因為服務(wù)器被 DDoS 等服務(wù)攻陷而無法正常保護的風(fēng)險。
HanSight 的 DataViewer 日志抓取、存儲、可視化呈現(xiàn)和自定義分析工具現(xiàn)在免費提供,明年會對外開源。這個工具可以實現(xiàn)上述的海量數(shù)據(jù)秒級讀取和分析,企業(yè) IT 人員可以自定義規(guī)則以利用被抓取和存儲的工具。明年,DataViewer 會開始以 SaaS 的形式為企業(yè)提供標(biāo)準化服務(wù)。之所以日志抓取和自定義分析工具免費,在 Eric 看來是因為“所涉及的技術(shù)大多通用、開源,優(yōu)秀的團隊實現(xiàn)起來并不難,真正的門檻在于算法和基于數(shù)據(jù)的安全智能分析服務(wù)”。
目前 HanSight 的安全分析服務(wù)主要針對企業(yè)內(nèi)網(wǎng)進行,“外網(wǎng)攻擊可以通過防火墻等成熟安全體系防御,但內(nèi)網(wǎng)情況更加嚴峻而且復(fù)雜”,Eric 說。根據(jù)他的描述,當(dāng)下流行的 APT (高級持續(xù)性攻擊)會利用企業(yè)內(nèi)部員工的設(shè)備漏洞通過內(nèi)網(wǎng)緩慢找到管理層人員并利用相關(guān)信息進行內(nèi)網(wǎng)提權(quán)、資料盜取,同時還可能發(fā)生監(jiān)守自盜的案件。HanSight 會對企業(yè)內(nèi)的每一個員工進行行為模式建模,當(dāng)員工和員工使用的機器在內(nèi)網(wǎng)內(nèi)做出異常行為時就會對企業(yè) IT 和相關(guān)負責(zé)人進行報警。由于 HanSight 在現(xiàn)階段只負責(zé) Alert 而不會對異常行為或受控機做出 Action,所以能夠方便和企業(yè)內(nèi)部 ERP 等管理系統(tǒng)對接。在客戶允許或有需求的情況下,HanSight 會在之后提供安裝于受控機的 Agent 端以實現(xiàn)更全面的數(shù)據(jù)抓取和行為分析。
雖然 HanSight 基于現(xiàn)有日志數(shù)據(jù)的分析和傳統(tǒng)企業(yè)安全方案一樣屬于攻后防御,但部署 HanSight 之后加以 HanSight 的分析增值服務(wù)就會形成一套主動的“攻時防護”體系。HanSight 會根據(jù)異常行為做出實時報警,并且根據(jù)現(xiàn)有數(shù)據(jù)預(yù)測企業(yè)現(xiàn)存的漏洞和可能存在的安全薄弱環(huán)節(jié)。
當(dāng) Eric 提到他和團隊成員在趨勢的工作經(jīng)歷時,不免讓我想到出版人周筠七年前經(jīng)手的《擋不住的趨勢》。趨勢科技由一對臺灣夫婦創(chuàng)辦,因為巧遇技術(shù)實力超強的 CTO 而走上與國際知名殺毒軟件競爭的大平臺。我無法為 HanSight 的技術(shù)實力做出擔(dān)保,但相比千禧年前后的初級和混亂,國內(nèi)安全產(chǎn)業(yè)的技術(shù)及正規(guī)化程度已經(jīng)和真正的國際一線水平接近。誠然,F(xiàn)ireEye 和 PAN (帕羅阿圖網(wǎng)絡(luò))里不乏中國面孔,但中國制造依然有別于中國智造。