近日,瀚思科技宣布完成B轮融资,金额高达1亿元人民币,被称为2017年上半年中国安全领域企业公开披露的最高融资金额。本轮融资由国科嘉和基金和IDG资本领投,南京高科等A轮投资方继续跟投,凡卓资本担任本次融资独家财务顾问。
国科嘉和执行合伙人陈洪武表示:“数据驱动安全领域是下一代安全的咽喉要塞,瀚思是中国乃至全球在这一领域的佼佼者,团队经验丰富、产品积淀深厚,国科嘉和看好瀚思成为下一代安全的领头羊。”
新理念呼之欲出 “安全智能”成主流
据Cybersecurity Ventures相关调查显示,到2025年,网络安全全球预算将达10,000亿美元,随着我国网络安全标准的逐步健全,预计未来5年网络安全行业的市场规模将进入爆发式增长的阶段,到2020年网络安全行业市场规模将达到1,024亿元。
与此同时,在云计算、大数据技术强势发展的今天,企业的网络结构愈发复杂导致传统网络边界逐渐消失,应用程序和数据在日益未知、愈发复杂的网络安全威胁面前凸显脆弱,传统被动的安全策略对此束手无策,标志着以防御为核心(Signature Based)的安全策略已经过时。
瀚思科技创始人兼CEO高瀚昭表示:“相关数据显示,传统安全市场萎缩趋势明显,每年呈现17%的负增长,以防火墙、IDS/IPS、AV、DLP为代表的单纯防御策略已不再有效,未来企业安全预算将会向侦测、响应与预测倾斜,这已经成为全球安全行业的一个不争事实。”
团队合影
据了解,业内人士曾估算,全球仅有25%的企业可以在1天内发现数据泄密事故,但更多企业需要花费数周甚至数月时间。Gartner也曾指出,到2020年,60%的企业信息安全预算将会分配在快速检测和响应上,而大数据安全分析将会是极为重要的技术支撑,2016年全球已经有25%的大型企业开始部署大数据安全分析。对此,一直秉承用机器学习、数据分析技术改变企业安全现状的瀚思科技把握住了行业发展的机会。
高瀚昭将安全智能分为四个阶段,首先普及和汇总传统的SOC等,通俗来讲,就是通过各种各样花花绿绿的图表,观察现在发生了怎样的安全问题,现实来看这个方法并不靠谱;其次,将安全情报集合起来,如此就可以知道新病毒的产生、可能的发展趋势等,进而做到有针对性地处置;第三通过海量数据探究如何通过机器学习、数据分析将所有的安全自动化更多转变为智能化;第四,将信息安全发展与客户的业务系统打通,来解决一些业务风险而不单单是网络攻击本身,这也是信息安全防护的终极目标。
HanSight Enterprise 3是什么?
“如今发布的HanSight Enterprise 3,作为新一代企业安全智能平台集成了深度学习的恶意文件扫描引擎,在此之前,硅谷、以色列有少数公司完成了这项技术的实现;同时支持了万兆的全网络流量存储和分析,不仅仅可以从日志分析这些数据,还可以从更广阔的网络数据中觉察正在发生的问题。”高瀚昭强调。
据记者了解,HanSight Enterprise 3包含几个关键的功能点:比较强大的态势感知能力;可以发现未知攻击;可以对用户人和资产来做行为分析,发现内部的欺诈;将技术和产品运用在金融领域,可以帮助银行、保险公司、券商降低潜在的欺诈风险。
瀚思科技CEO 高瀚昭
提及人工智能在安全领域的应用,瀚思科技创始人兼COO董昕介绍说:“深度学习应用于图像识别已经非常成熟了,于是我们进一步思考能不能将识别对象由图像扩展到二进制文件。通过实验室和算法团队的不懈努力,我们初步验证了这个想法。通过迁移学习,在学习了上万千恶意文件的代码样本后,我们训练出来的模型已经可以用来识别未知恶意病毒了。而检测引擎的部署也非常简单,直接与瀚思流量检测设备HanSight NTA产品整合,这样就可以实时地从企业外联网络端口中完成抽取二进制文件的工作,然后转移到模型中进行优化检测。如果发现异常有问题,就会在总结或者告警中得以展示;如果这个文件没有问题,就会得到通过。所以与相对传统的沙箱比较,用深度学习的模型进行检测实际上部署成本很低,不需要再额外装一系列的终端杀毒软件或非常重的探针,只需要在客户网络侧部署流量采集设备就可以实现。”
该产品目前已经可以支持数百种的日志格式、万兆的网络流量,随着技术的提升,瀚思科技表示未来会支撑更多的数据源。“我们已经预设好了几百种安全规则和场景,这样的好处是将整个的态势感知不仅仅只停留在展现层面,不单单是一个汇总或者报告,而是可以真正地发现以前网络中所存在的问题并且进行实时告知,最终以一个安全可视化的态势感知屏幕进行展现。”董昕补充道。据悉屏幕未来也是可以依照客户的需求非常灵活地进行自定义。
伴随着智能平台的发布,一系列引擎类产品也应运而生,其中就包括HanSight NTA。如何能够在网络流量中发现异常行为、事件,怎么能够利用深度学习技术发现以前未知的安全隐患在新的信息安全理念框架下,瀚思科技完成了一系列产品升级和迭代。
NTA技术可以理解为是网络流和网络流量,尤其是全网络包进行分析的技术,也是2017年被Gartner认为是未来信息安全领域十大突破性技术之一。因为该技术第一次将整个网络以包的形式进行截取、存储以及还原,而且是长周期例如数以日计、数以月计,而不再像以前只是实时检测某一高峰。这样的好处就是可以在其中嵌入更复杂的机器学习和模型,从而发现更难以挖掘的一系列网络攻击或者是危险行为。
“所以我们目前整个NTA产品支持现今最为流行的万兆网络,这样可以一直能将其中的协议进行解析和流量翻开,通过和DeepSense Beta深度学习引擎的整合发现未知的恶意流量以及对应未知的恶意文件。”高瀚昭说。
此外,HanSight Enterprise 3还首次引入了自主研发的分析编程语言HAL HanSight Analysis Language。可以通过脚本、交互的分析方式以及同步分析的方式直接进行分析引擎的操作、输入、输出,而且在这个过程中开始逐步支撑自然语言处理。例如请告诉我在过去24小时发生的最紧急的安全事件,就可以从海量的几十亿找出已有的安全事件并将这个结果呈现出来,本质就是将安全分析从一个复杂的视觉科学变成IT人员或者是安全人员能够自行操作、快速理解、快速见效的一个过程。
以前如果进行复杂场景的二次定制可能需要几周时间,现在通过HAL查询语言,整个过程缩短到几个小时,也就是说企业可以更从容地面对新的安全事件,可以更快地定义安全场景并且将安全场景的检测、模型通过产品进行反馈和实现。
安全平台本身是否有可扩展性,是否具备智能,更多要看正在发生或者已经发生甚至即将发生的安全事件最后能不能对人员、系统带来控制力,如何将目光由以前外在的黑客攻击转移到企业内部,是个值得探讨的问题。在全球范围内有90%的数据泄漏最终其实跟黑客攻击没有关系,反而与内部有特权账号的人员有关。信息泄漏、快递单号泄漏,甚至是内部核心敏感资料的泄漏,往往是由于内部人员不小心或者是恶意串通商业间谍造成内部攻击,最终带来整个安全系统的损失惨重,对此,HanSight Enterprise 3中加了HanSight UBA 2(用户与行为智能安全分析引擎),通过这个产品就可以帮助企业发现最为隐蔽的内部的安全问题。
谈到场景落地,瀚思方面列举了一个代表性场景的使用。例如,很多城市都铺设了很多摄像头,每个摄像头都在全天无间断拍摄城市中的各种情况,但摄像头本身的安全性却往往被忽略。是否被攻击?是否在发起攻击?是否已经被劫持?拍摄的是否合规?存储和传输的图像是不是传到了应该被传输的地方,拍摄资料是否受到入侵而造成隐私泄露等,都是值得用数据分析以及机器学习等技术所关注的。
随着云计算、大数据时代到来,由被动防御转向主动智能并利用大数据、机器学习和AI技术实现业务场景安全的可见、可知、可控,会成为安全领域未来追赶的趋势,企业努力的方向。
本文作者:刘晶晶
来源:51CTO