文| 鉛筆道 記者 汪晨

導語

在計算機安全領域，高瀚昭打拼多年，曾在趨勢科技帶著上百人團隊開發病毒自動化分析。但安全行業的緩慢發展讓他感到灰心。

2010年，他回到國內，打算在云計算領域另尋一片天地。

但在云計算領域，高瀚昭也遇到了阻礙。彼時高瀚昭正在北京推廣一款大數據平臺管理軟件，但仍需要做項目開發，落地至各個行業當中。“如果能把安全和大數據相結合，是否會有更大的機會？這也是我擅長的事。”

2014年初，他創立“HanSight瀚思”，主打大數據安全管理業務，主要面向大客戶。在防范外部攻擊的基礎上，平臺從網絡和安全日志兩個維度獲取安全威脅信息，并對用戶賬號做自動化行為分析，尋找企業系統的內部威脅。

目前，“HanSight瀚思”的簽約大客戶有20個，主要分布在銀行、政府、醫療行業。今年6月，公司獲得賽伯樂投資、恒寶股份、南京高科的3000萬元A輪融資。

注: 高瀚昭已確認文中數據真實無誤，鉛筆道愿與他一起為內容真實性背書。

2010年，北京上空，飛機準備降落的提示音讓高瀚昭回過了神。此前，他正望著祖國的景色發呆，心里既有對新方向的憧憬，也懷著對過往的小小失落。

這時的他已經告別了打拼多年的計算機安全領域，決心在云計算大數據領域另尋一片天地。“安全行業的緩慢發展讓我感到心灰意冷。我們總是跟隨在病毒生產者的身后，處于被動局面；大企業認為防火墻足矣，對于新型安全技術的需求也不強烈。”

從國外來到北京，他擔任“天云趨勢”（趨勢科技與寬帶資本合資成立的公司） CEO，幫助企業搭建IaaS大數據云平臺，公司則負責維護管理云平臺。

但對于企業來說，這樣的云平臺仍缺乏吸引力。“大部分企業不知道這個云平臺能做什么，我們需要根據不同的行業做項目開發，東一榔頭西一棒子，無法在每個行業沉淀下來做大做強。”

回歸安全行業的思想火苗在2013年中燃起。

高瀚昭希望找到一個落腳點，為企業提供有價值的大數據云計算服務。左思右想后，他決定回歸自己擅長的安全領域，做一套大數據安全云平臺。

安全行業的主流思維發生了變化。“無論是Gartner報告還是RSA大會，行業內大家想的都是從被動防御變為主動檢測、快速響應，這和我當初想做病毒預防的想法相契合。”

市場也發生松動。高瀚昭拜訪了之前的客戶渠道，向他們求證：若做出類似的產品，企業是否有需求。“銀行最渴求這類東西，他們備份了大量的數據，但沒有人為他們做分析解讀，告訴他們的安全漏洞在哪兒。”

2014年初，高瀚昭與老東家達成協議，帶著部分大數據項目團隊和原有趨勢科技的老同事，他成立了“HanSight瀚思”，并獲得了光速安振1300萬元天使輪融資。

10月，平臺產品正式上線。主產品為HanSight Enterprise企業版，建立在私有云基礎上，面向大客戶，提供數據檢測、用戶行為分析、威脅報警篩選和安全報告生成等功能。

　　◆ “HanSight瀚思”創始團隊成員

一家大型銀行的IT辦公室內，6~7位安全專家在翻看銀行IT系統的單天日志，查看是否有APT（高級持續性攻擊）情況發生。日志內容多達1TB，即使計算機篩去了99%的內容，專家們還是得花上兩星期的時間仔細查驗。

此前，高瀚昭向客戶承諾，HanSight Enterprise能幫助企業查找到更多未知APT攻擊，但收效甚微。為此，他請來安全專家求證，是否為檢測系統本身的問題。“結果是確實沒有發現未知APT攻擊，檢測系統本身沒有問題。”

高瀚昭傻眼了。這意味著他向客戶立下的承諾成為空談，公司不得不另尋方向。“換成攻擊者的角度考慮，APT攻擊耗費的人力成本太高，平均一次100萬美元，這樣他們還不如去買通內部人員偷資料。”

之后，他找到兩個新方向：業務安全保障和企業安全管理。

現今，安全領域的漏洞越來越多，來自內部的安全壓力逐漸增大，僅僅依靠沙箱已難以防止泄露事件發生。

同時，大量互聯網賬號被盜，攻擊者通過人工或撞庫就能進入企業安全系統中。“銀行系統里，每個月撞庫成功的賬號上十萬，有1/10的成功率，安全隱患極大。”

而要做好預防，需要進行用戶行為識別。“若是人工攻擊，剛開始還可以通過幾個行為偽裝自己，但后續登錄多個賬戶，他的關鍵行為肯定有很多一樣的地方，這時就可以分辨出哪一個用戶賬號有安全漏洞了。”

同時，市場的重視程度在上升，企業需要全方位的安全服務。“去年下半年開始，已有企業在主動提高安全管理意識了，而不是單純地只需要防火墻。”

大部分企業找到咨詢公司，尋求安全管理的解決方案。咨詢公司雖然出謀劃策，但缺乏落地服務，仍需企業自行搭建。

由此，高瀚昭決定轉變市場方向，并改進現有平臺，抽離部分功能建立UBA（用戶異常行為分析）和LogManger（安全日志管理）服務。

“我們會從日志和網絡兩個數據來源上進行威脅檢索，嚴查各個賬號是否做出違規舉動，并向企業安全管理者發出預警，對危險行為取證。”

　　◆ “HanSight瀚思”產品界面

此后，“瀚思”的大客戶得到拓展，主要簽下的客源有三類：銀行、政府、醫療行業。

對待大客戶，需要有專門的銷售人員維護、對接需求。

技術團隊對于安全問題主要采取巡管制，駐點人員較少。每月月初，會有專人前往公司待上3~4天，幫客戶梳理上月發生的安全事件，并生成一份月度安全報告。

若出現重大安全事件，安全人員會總結經驗，及時優化、配置系統。“他們會總結原因，例如為什么沒有第一時間發現安全問題，以求更快的反應速度，讓行為識別變得更精準。”

不過，安全平臺細分領域寬廣，單憑自己的力量無法覆蓋整個安全服務領域。

好的一面是，“瀚思”的平臺有延展性，能接入其他廠商更專業的服務，補足服務鏈的缺失。“有些領域需要數年的沉淀，傳統廠商在這方面占優，但客戶不喜歡看防火墻有多少報錯，而更喜歡經過篩選的報錯信息和分析報告。”

針對不同的客戶，銷售方案不同。可以接入其他安全服務，搭配其他服務打包成解決方案出售；或加入其他廠商的銷售體系，打包銷售。

此后，HanSight TI（安全威脅情報）系統加入，與外部安全威脅信息渠道共享信息來源，各個安全模塊可根據安全威脅情報提升檢測能力。“例如我們要查一個IP是否與其他公司IP有關聯，需要外部威脅信息共享，這方面有很多專業公司。”

　　◆ “HanSight瀚思”產品體系圖

除了為大客戶提供服務外，“瀚思”也希望通過SaaS平臺為中小企業提供輕量級服務。

　　去年下半年，SaaS研發計劃啟動，命名為“安全易”。今年3月底開發完成，內測試用調整。

公司在南京另設團隊，與HanSight Enterprise共用威脅情報和威脅警報規則等基礎數據庫，但只面向中小企業客戶提供安全狀況檢測提醒以及服務器運維方面的服務，也是在幫助企業在阿里、AWS平臺上提供詳細的安全服務。

戰略上，SaaS系統在提供監測的同時，也在幫助“瀚思”延伸威脅情報的觸角。“小企業主要追求線上系統的穩定性，在同一個層面上提供公有云架構的安全服務是覆蓋這類客戶的最好方式。”

目前，“HanSight瀚思”簽約的大客戶有20個。今年6月，公司獲得賽伯樂投資、恒寶股份、南京高科的3000萬元A輪融資。