前有“移动互联网”，后有“云计算”，接下来是“大数据”。当“大数据”分析成为企业的标配，再反复提及它就变得不太有意义。相应的，在概念之外，适应新平台和思维方式的产品升级才是技术趋势的价值所在。

最早看到“大数据企业安全”这个字眼是在朋友圈里，回复里有人提到王淮在 Facebook 时就提出利用大数据做支付安全相关工作。和王淮工作更接近的是杭州同盾，而 HanSight 是想在金融之外做更泛化更具备普适性的企业内外整合安全方案。

目前 HanSight 的团队过去三年里都在做 Hadoop 相关业务。据 HanSight 联合创始人 Eric 描述，他们中国最早接触 Hadoop 开发和运维的团队之一，可以在在海量数据监测、分析时实现“秒级响应”。与此同时，HanSight 也是 Hortonworks 在中国的官方合作伙伴。“实现对海量数据秒级响应对现有的一线大数据团队来说并不是很困难的事，困难的是针对这些数据做出有效分析和应用”，Eric 说。HanSight 现在的两位核心算法和安全引擎工程师都来自趋势科技，其中之一的 Justin 曾经在趋势领导和国外知名公司 FireEye 产品类似的沙箱技术。

不同于传统企业服务商的物理整机安全方案，HanSight 仅提供纯软件解决方案。在 Eric 看来，传统机器弹性有限，无法应对业务或攻击规模的突发变化，且仅能分析过去十小时安全日志。而 HanSight 的企业日志分析方案能对企业现存的所有数据进行分析，同时对实时生成的数据进行存储和实时分析。

由于是纯软件解决方案，HanSight 的实际性能在一定程度上受限于客户实际使用的计算集群规模。但 HanSight 的架构能适应标准 x86 处理器，且对企业原有系统几乎不存在性能影响。于此同时，运行 HanSight 的服务器处于企业安放对象服务群的后方，可以对保护对象的异常做实时预警，从而规避因为服务器被 DDoS 等服务攻陷而无法正常保护的风险。

HanSight 的 DataViewer 日志抓取、存储、可视化呈现和自定义分析工具现在免费提供，明年会对外开源。这个工具可以实现上述的海量数据秒级读取和分析，企业 IT 人员可以自定义规则以利用被抓取和存储的工具。明年，DataViewer 会开始以 SaaS 的形式为企业提供标准化服务。之所以日志抓取和自定义分析工具免费，在 Eric 看来是因为“所涉及的技术大多通用、开源，优秀的团队实现起来并不难，真正的门槛在于算法和基于数据的安全智能分析服务”。

目前 HanSight 的安全分析服务主要针对企业内网进行，“外网攻击可以通过防火墙等成熟安全体系防御，但内网情况更加严峻而且复杂”，Eric 说。根据他的描述，当下流行的 APT （高级持续性攻击）会利用企业内部员工的设备漏洞通过内网缓慢找到管理层人员并利用相关信息进行内网提权、资料盗取，同时还可能发生监守自盗的案件。HanSight 会对企业内的每一个员工进行行为模式建模，当员工和员工使用的机器在内网内做出异常行为时就会对企业 IT 和相关负责人进行报警。由于 HanSight 在现阶段只负责 Alert 而不会对异常行为或受控机做出 Action，所以能够方便和企业内部 ERP 等管理系统对接。在客户允许或有需求的情况下，HanSight 会在之后提供安装于受控机的 Agent 端以实现更全面的数据抓取和行为分析。

虽然 HanSight 基于现有日志数据的分析和传统企业安全方案一样属于攻后防御，但部署 HanSight 之后加以 HanSight 的分析增值服务就会形成一套主动的“攻时防护”体系。HanSight 会根据异常行为做出实时报警，并且根据现有数据预测企业现存的漏洞和可能存在的安全薄弱环节。

当 Eric 提到他和团队成员在趋势的工作经历时，不免让我想到出版人周筠七年前经手的《挡不住的趋势》。趋势科技由一对台湾夫妇创办，因为巧遇技术实力超强的 CTO 而走上与国际知名杀毒软件竞争的大平台。我无法为 HanSight 的技术实力做出担保，但相比千禧年前后的初级和混乱，国内安全产业的技术及正规化程度已经和真正的国际一线水平接近。诚然，FireEye 和 PAN （帕罗阿图网络）里不乏中国面孔，但中国制造依然有别于中国智造。

（HanSIght 已在此前获得光速的千万级 A 轮投资）

作者: sinCera

End.

CDA数据分析师培训官网