前有“移動互聯網”，后有“云計算”，接下來是“大數據”。當“大數據”分析成為企業的標配，再反復提及它就變得不太有意義。相應的，在概念之外，適應新平臺和思維方式的產品升級才是技術趨勢的價值所在。

最早看到“大數據企業安全”這個字眼是在朋友圈里，回復里有人提到王淮在 Facebook 時就提出利用大數據做支付安全相關工作。和王淮工作更接近的是杭州同盾，而 HanSight 是想在金融之外做更泛化更具備普適性的企業內外整合安全方案。

目前 HanSight 的團隊過去三年里都在做 Hadoop 相關業務。據 HanSight 聯合創始人 Eric 描述，他們中國最早接觸 Hadoop 開發和運維的團隊之一，可以在在海量數據監測、分析時實現“秒級響應”。與此同時，HanSight 也是 Hortonworks 在中國的官方合作伙伴。“實現對海量數據秒級響應對現有的一線大數據團隊來說并不是很困難的事，困難的是針對這些數據做出有效分析和應用”，Eric 說。HanSight 現在的兩位核心算法和安全引擎工程師都來自趨勢科技，其中之一的 Justin 曾經在趨勢領導和國外知名公司 FireEye 產品類似的沙箱技術。

不同于傳統企業服務商的物理整機安全方案，HanSight 僅提供純軟件解決方案。在 Eric 看來，傳統機器彈性有限，無法應對業務或攻擊規模的突發變化，且僅能分析過去十小時安全日志。而 HanSight 的企業日志分析方案能對企業現存的所有數據進行分析，同時對實時生成的數據進行存儲和實時分析。

由于是純軟件解決方案，HanSight 的實際性能在一定程度上受限于客戶實際使用的計算集群規模。但 HanSight 的架構能適應標準 x86 處理器，且對企業原有系統幾乎不存在性能影響。于此同時，運行 HanSight 的服務器處于企業安放對象服務群的后方，可以對保護對象的異常做實時預警，從而規避因為服務器被 DDoS 等服務攻陷而無法正常保護的風險。

HanSight 的 DataViewer 日志抓取、存儲、可視化呈現和自定義分析工具現在免費提供，明年會對外開源。這個工具可以實現上述的海量數據秒級讀取和分析，企業 IT 人員可以自定義規則以利用被抓取和存儲的工具。明年，DataViewer 會開始以 SaaS 的形式為企業提供標準化服務。之所以日志抓取和自定義分析工具免費，在 Eric 看來是因為“所涉及的技術大多通用、開源，優秀的團隊實現起來并不難，真正的門檻在于算法和基于數據的安全智能分析服務”。

目前 HanSight 的安全分析服務主要針對企業內網進行，“外網攻擊可以通過防火墻等成熟安全體系防御，但內網情況更加嚴峻而且復雜”，Eric 說。根據他的描述，當下流行的 APT （高級持續性攻擊）會利用企業內部員工的設備漏洞通過內網緩慢找到管理層人員并利用相關信息進行內網提權、資料盜取，同時還可能發生監守自盜的案件。HanSight 會對企業內的每一個員工進行行為模式建模，當員工和員工使用的機器在內網內做出異常行為時就會對企業 IT 和相關負責人進行報警。由于 HanSight 在現階段只負責 Alert 而不會對異常行為或受控機做出 Action，所以能夠方便和企業內部 ERP 等管理系統對接。在客戶允許或有需求的情況下，HanSight 會在之后提供安裝于受控機的 Agent 端以實現更全面的數據抓取和行為分析。

雖然 HanSight 基于現有日志數據的分析和傳統企業安全方案一樣屬于攻后防御，但部署 HanSight 之后加以 HanSight 的分析增值服務就會形成一套主動的“攻時防護”體系。HanSight 會根據異常行為做出實時報警，并且根據現有數據預測企業現存的漏洞和可能存在的安全薄弱環節。

當 Eric 提到他和團隊成員在趨勢的工作經歷時，不免讓我想到出版人周筠七年前經手的《擋不住的趨勢》。趨勢科技由一對臺灣夫婦創辦，因為巧遇技術實力超強的 CTO 而走上與國際知名殺毒軟件競爭的大平臺。我無法為 HanSight 的技術實力做出擔保，但相比千禧年前后的初級和混亂，國內安全產業的技術及正規化程度已經和真正的國際一線水平接近。誠然，FireEye 和 PAN （帕羅阿圖網絡）里不乏中國面孔，但中國制造依然有別于中國智造。