领军大数据安全,HanSight瀚思瞄准百亿级市场-爱分析

撰写 | 田群

HanSight瀚思是一家大数据安全公司。既然标榜大数据,瀚思就必须具备处理海量数据的能力,传统关系型数据库几十GB的处理能力,自然是不够看的。

拿一家大型银行来说,其每天需要处理的数据量在1TB左右,一年就是数百TB。 如此规模的数据量,瀚思已经做到了秒级分析和检索。要做到这样的成绩,自然得有牛逼哄哄的团队。

HanSight瀚思创始团队是国内最早实践大数据开发与运维的团队之一。创始人高瀚昭曾担任趋势科技与宽带资本合资公司天云趋势的CEO。此外,高瀚昭有在趋势科技任职12年的经验,2007年,他领导团队开发了海量病毒自动分析技术,相当于替代了每天1000名员工的工作。

瀚思另一位技术大拿是首席科学家万晓川。这位前趋势科技高级架构师,不仅拥有9项美国安全专利,还主导设计了新一代沙箱并参与了2014年的NSS评测,评测中一举击败了名噪一时的FireEye,获得APT检测冠军。

在市场与运营方面,曾在微软负责开发和市场关系的联合创始人董昕同样经验丰富。在联合创立瀚思之前,董昕是云基地超云公司副总裁,其带领团队发布了一系列创新型基础设施,其中包括业界首台面向大数据优化的Hadoop优化服务器。

而负责销售的联合创始人沈海辉,曾在微软和甲骨文负责销售,不仅熟悉企业软件市场,更对电信、金融、能源等行业有深刻理解。

技术、市场、运营、销售,四位一体的瀚思团队不仅精通大数据技术,又熟悉安全分析和安全业务,扛起大数据安全的大旗自然是顺利成章。

瀚思团队规模在90人左右,其中80余人都是技术人员,其余主要是市场和销售。85%以上的技术人员占比,决定了瀚思典型的技术驱动风格。

大数据技术优势明显,实现安全数据实时处理

瀚思大数据处理主要包括数据采集、数据存储和安全智能分析三个过程。

领军大数据安全,HanSight瀚思瞄准百亿级市场-爱分析

在安全大数据领域,瀚思的客户每年大多会生成数百TB的数据量。这些海量的数据绝大多数来自日志信息,除此之外,瀚思的还可以对网络流和全量网络包进行分析。通过自带的采集器和分布式存储策略,瀚思可以根据企业需求弹性部署,按需扩展。

其中,安全智能分析和可视化是大数据安全分析的核心。传统安全一般利用规则库进行行为识别;瀚思则利用机器学习的方法对超大规模的样本数据库进行训练,形成模型库。这个模型库的效果当然是优于小样本的规则库。

经过整理后的日志信息,通过模型匹配的方式,可以更加精准的发现外部APT攻击,以及内部人员的异常行为。除模型匹配规则外,瀚思同样会利用规则匹配和沙盒分析的方法作为模型匹配的有益补充。最终,分析结果会通过仪表盘和报表等可视化的方式展现给客户。

领军大数据安全,HanSight瀚思瞄准百亿级市场-爱分析

瀚思的大数据技术带给安全行业的改变有两点:

第一,TB级数据的存储与实时的安全检测分析,在系统的存储容量、检索速度和鲁棒性方面都有大幅增加;

第二,跨设备间的日志分析及风险发现,更多应用层的攻击得以检测出来。

目前来看,瀚思大数据安全分析平台主要应用于网络异常行为的检测、反欺诈、APT攻击检测,和内部违规行为的发现。

聚焦安全管理平台,逆袭下一代SOC

从功能实现和产品定位上来讲,瀚思大数据安全分析平台更类似于下一代SOC或者SIEM产品,定位在安全管理的“大脑”级产品。国际上,整合大数据平台已成为SIEM领先厂商的发展趋势,根据2016年Gartner最新发布的SIEM魔力矩阵来看,大数据企业Splunk已经连续两年占据SIEM市场前三强。

结合中国市场,瀚思提供了一整套的安全管理解决方案,其中包含威胁情报、异常检测、行为监测、基于场景的UBA, 以及大数据安全分析的SaaS服务等功能。但瀚思的产品只涉及了检测、响应和预测三个环节,并不包含自适应架构中的防御环节。

瀚思联合创始人董昕认为,大数据平台完成的不过是一个大数据到小数据的转变,本质的安全职能并没有改变。瀚思提供的安全管理职能,更多的是提供预警和警告,并与传统的安全产品形成协同,这个过程既可以是自动化的,也可以由安全管理员去完成。

卖License为主,远超大规模部署标准

类似Splunk,瀚思产品的主要形态为软件,其产品组成有Enterprise、UBA、TI、LogManager和安全易等组成。其中,瀚思智能大数据安全分析平台Enterprise是产品的基础平台,UBA、TI、LogManager即可以独立使用,也可以通过模块的形式无缝的与Enterprise进行对接。

除软件形式外,安全易则是以SaaS方式提供的大数据分析产品,但还不是重点。

领军大数据安全,HanSight瀚思瞄准百亿级市场-爱分析

而HanSight UBA是国内首款面世的UBA产品。UBA是可以真正在客户环境里进行训练学习的多维度分析技术,可以为客户提供更加灵活、智能的分析结果。

瀚思目前以卖License为主,这既符合政策需要,又是客户喜闻乐见的形式。目前瀚思的客户以大客户为主,如招商银行、中国联通等,另外也有亚信、华为这样的合作伙伴。

虽然采用卖License模式,瀚思对服务器性能的配置要求不高,适用于旁路部署。从产品性能上,瀚思也满足了大规模部署的需要。Gartner对SIEM大规模部署的标准为,接入900个以上的日志源,持续EPS在15000以上,存储不小于10TB。目前瀚思的产品性能已达到50000+EPS,处理的数据量一般在32T以上。

大数据决定大客户市场,业务安全潜力巨大

大数据的基因决定了瀚思客户“大”的属性。瀚思的客户主要服务于数据量较大的金融、电信、政府及大型企业等行业领域。对于数据量较小的企业,采用分布式架构的瀚思,虽然能够灵活匹配各种规模,但应用上则缺少了大数据的意义。

因为Splunk高昂的价格,瀚思针对中国市场并没有采用类似Splunk按日流量的收费方式,而改用按照容量进行收费的方式。

一般瀚思提供32TB的容量,客户可以根据需要以8TB为单位进行扩容。与按照流量收费相比,按容量收费是一种更加优惠合理的收费方式。2016以来,瀚思安信的客户数从2015年的十几家发展到目前50余家,实现了超过300%的增长。

领军大数据安全,HanSight瀚思瞄准百亿级市场-爱分析

纵观国内SOC&NGSOC市场,2015年市场规模在8亿元左右,其中启明星辰占比22%,其2015年安全平台类产品增速超过55%。假设按照市场年平均30%增速,2018年国内SOC市场规模约在15~20亿元。从这一点上看,安全管理平台市场是一个增长迅速但较狭窄的赛道。

但是瀚思的产品不仅能够提供NGSOC所需的信息,其产品深入到更多的业务安全领域,如金融行业中的反欺诈,政务网中物联网设备的安全。仅就反欺诈一个领域就可能蕴藏着近百亿的市场,业务安全的潜力对于瀚思来说远大于传统安全。

综上,大数据安全平台能有多大的高度,还在于其在SOC市场和业务安全市场上的突破和选择。

领军大数据安全,HanSight瀚思瞄准百亿级市场-爱分析

近期,爱分析对HanSight瀚思联合创始人&COO董昕进行了调研访谈,现将精彩内容摘抄如下,与您分享。

Q:瀚思创立时,为什么选择做大数据安全业务?

A:我们团队做过多年云和大数据的业务,这里面包括很多大客户,如国家电网、中国移动,中国联通等。我们发现大数据的业务很大,但是这种业务却不能复制的,边际成本太高。未来大数据的趋势需要能够复制,只有复制才能让边际成本不断降低。

我们的团队主要来自趋势科技,有多年研发经验。安全领域在不同行业中的差异不太大,用大数据做安全有可能在很多行业中复制。我们就想把大数据和信息安全结合在一起,并把安全这个应用做实。

我们认为数据分析能解决很多安全领域解决不了的问题,我们的初衷是把安全业务从分析做到自动分析。

另一方面,传统信息安全在中国是个小众的市场,总盘只有200~300亿。做信息安全的市场并没有巨头,对我们是个机会。而且我们插入企业安全市场,BAT很难进来也不愿意进来。从技术和产品角度,我们选择这个市场不会有特别强的竞争对手。

Q:安全市场整体看来非常小,为什么会选择安全业务切入?

A:安全是个非常有潜力的市场。安全一直以来由两个维度驱动,一是立法驱动,一是事件驱动。美国这么高的信息安全水平,除了IT成熟本身领先以外,主要就是来自事件和立法驱动。

美国信息安全投资和建设热潮从911后开始,之后美国颁布了60部法案确保信息安全,并信息安全从国家安全上升到社会安全的高度。这些过程从中国的市场进程来看也是一致的。

中国的信息安全建设从2013年斯诺登事件开始加速到2017年网络安全法即将施行,中国正跟随美国的路径快速复制。目前美国作为成熟和快速增长的市场,安全占整个IT投资的比重为7%~8%,而中国只有2%左右。随着立法和事件的出现,中国安全市场的增长空间非常大,这是一个清楚和显而易见的趋势。

Q:我们插入的主要是安全市场的哪个领域?

A:瀚思主要通过管(理)的方式推动安全。Gartner特别提出了管的概念,指的是需要有个中心,去做指挥中心和收集中心去调度云、网、端这些手段。

从攻击和网络事件的过程来看,瀚思做的是侦测、响应和预测,防御不是瀚思主要的工作任务。根据Gartner的数据,2014年以前国际上90%的安全预算花在防御市场,10%花在其他环节。在2020年以后,情况将会倒置, 60%的预算会花后面三个环节。

传统防御已经是红海市场,我们不会去做;但是我们会跟做防御的厂商进行合作,进行数据上的互通。

Q:我们产品的主要客户和客单价是多少?

A: 我们的客单价一般在100万左右,客户一般是政府、金融、最大型公司。这类公司重视安全,并有相应的安全预算。

我们基本每年保持300~400%的增长,因为这个市场是个新市场,竞争还不充分,还没有到价格竞争的程度。

Q:我们企业的目标是什么?

A:我们的目标是2~3年时间做到这个领域的NO1.。

Q:我们的营收规模在多少?

A:现在公司大概几千万的量级。但是我们产品的粘性非常大,第二年的客户通常会购买更多的流量或者服务。客户发现产品的价值后会接入更多系统的数据进来,以前只是日志,现在是网络流、数据包;以前只做外部攻击,后来会增加内部监测。

总体来看,市场规模大概在百亿的规模,仅仅在金融行业就有几十亿,在政府方面还包括物联网的安全。这个市场是很大的。