去年 10 月 16 日，在趨勢科技干了 20 年的周奕入職安全創(chuàng)業(yè)公司瀚思，擔(dān)任產(chǎn)品副總裁。當(dāng)時(shí)，周告訴雷鋒網(wǎng)宅客頻道（微信ID：letshome）編輯，他要對瀚思的產(chǎn)品做大版本革新，要做下一代 SIEM 。

周對下一代 SIEM 做了定義。

第一個(gè)緯度是，這個(gè) SIEM 要與瀚思相鄰技術(shù)領(lǐng)域整合，演進(jìn)成一個(gè)更全面的安全智能平臺，例如 HanSight Enterprise，平臺包括端點(diǎn)檢測與響應(yīng)工具（EDR）、事件響應(yīng)平臺（IRP）、網(wǎng)絡(luò)安全分析（NTA）、 用戶行為分析（UBA）、資產(chǎn)與漏洞管理、反惡意軟件沙箱、威脅情報(bào)、蜜罐等技術(shù)的整合。另一個(gè)緯度是，這個(gè)SIEM 在機(jī)器學(xué)習(xí)與算法的大規(guī)模使用和不斷提高的自動(dòng)化率。

“我們一直在評估，要不要推 UBA 。”那時(shí)，周還在猶豫。

現(xiàn)在，周奕完成了第一步。不久前，瀚思在 Q1 媒體溝通會上介紹了“HanSight UBA-瀚思用戶行為分析系統(tǒng)”在真實(shí)客戶案例中的實(shí)踐。

【周奕在新產(chǎn)品發(fā)布現(xiàn)場】

轉(zhuǎn)變

打消這個(gè)疑慮花了周和瀚思 6 個(gè)月時(shí)間。

事實(shí)上，這款 UBA 產(chǎn)品研發(fā)了兩年，但由于“商務(wù)方面的不重視及技術(shù)方面的局限”導(dǎo)致 “UBA+DLP”的方案實(shí)際落地困難。

從商務(wù)層面上看，起初企業(yè)的安全建設(shè)處于早期階段，更多關(guān)注的是來自外部的網(wǎng)絡(luò)攻擊。而 UBA 是一項(xiàng)偏偵測內(nèi)部威脅的技術(shù)，企業(yè)對這方面的需求并不迫切。

去年，普華永道發(fā)布了一份《2018全球信息安全狀況調(diào)查》，包含了對 122 個(gè)國家的 9500 個(gè)企業(yè)安全高管的調(diào)查問卷結(jié)果。這份調(diào)查指出，黑客、 現(xiàn)有第三方和現(xiàn)有員工引發(fā)的安全事件有所下降， 而競爭對手 和前員工的比例則上升。42% 的中國內(nèi)地與香港受訪企業(yè)認(rèn)為前雇員是導(dǎo)致安全事件發(fā)生的重要來源， 這一比例要遠(yuǎn)高于全球其他國家和地區(qū)。

來自企業(yè)內(nèi)部的安全威脅讓企業(yè)惴惴不安。

周奕意識到時(shí)機(jī)到了：“隨著企業(yè)由外到內(nèi)的縱深防御體系愈加成熟，以及近期數(shù)據(jù)泄露事件頻發(fā)，企業(yè)意識到需要將防范內(nèi)部人員違規(guī)、偵測內(nèi)部威脅以及防止數(shù)據(jù)泄露事件的工作排上議事日程?！?/strong>

一個(gè)背景是，周曾將 DLP （數(shù)據(jù)泄密防護(hù)）和Sandbox （沙箱）技術(shù)引入郵件安全領(lǐng)域。這意味著，他很了解傳統(tǒng)  DLP 的局限性。

傳統(tǒng) DLP 技術(shù)已經(jīng)無法滿足企業(yè)面臨安全新威脅的需求：誤報(bào)率高、部署運(yùn)維成本高、降低效率、犧牲易用性，不能有效防范內(nèi)部人員信息盜用。

周奕和同事在 6 個(gè)月內(nèi)對潛在客戶進(jìn)行了密集調(diào)研后，發(fā)現(xiàn)對方要的是全場景、全面可見性、智能的產(chǎn)品。

“每天那么多告警，但我梳理不過來，你能不能幫我在已知威脅里做規(guī)避、排序，這樣我才知道應(yīng)該處理哪些。在我的環(huán)境里，有沒有已知風(fēng)險(xiǎn)？再者，能否偵測未知，透過一些異常的行為、流量、人員的舉動(dòng)，告訴我有沒有其他安全問題?！氨徽{(diào)研企業(yè)跟周說。

所以，在打造這款產(chǎn)品時(shí)，瀚思應(yīng)用了“UBA + DLP”的思路，希望用敏感數(shù)據(jù)移動(dòng)作為重要上下文確認(rèn)用戶行為意圖，并定位風(fēng)險(xiǎn)用戶關(guān)聯(lián)敏感數(shù)據(jù)移動(dòng)事件。

當(dāng)然，這款產(chǎn)品并未脫離瀚思“AI、數(shù)據(jù)、安全”的框架，周奕介紹，UBA 中應(yīng)用了無監(jiān)督學(xué)習(xí)，支持行為分類和 30+ 細(xì)分場景實(shí)現(xiàn) UBA 開箱即用，發(fā)現(xiàn)人員與行為異常。

落地

不過，市場態(tài)度的轉(zhuǎn)變并不足以讓瀚思決心推出這款產(chǎn)品。

真正讓周決定“推一把”的是，在技術(shù)層面上, UBA 技術(shù)落地的效果跟統(tǒng)一身份認(rèn)證體系的建立有比較直接的關(guān)系。隨著客戶 IT 的基礎(chǔ)建設(shè)，越來越多的企業(yè)客戶建立統(tǒng)一身份系統(tǒng), 從而保證了 UBA 產(chǎn)品的落地效果。

6個(gè)月內(nèi)，他們在券商、航空、銀行業(yè)做了三個(gè)案例。

周對雷鋒網(wǎng)說：“6個(gè)月是客戶密集實(shí)踐區(qū)，對分析模型的優(yōu)化，對客戶場景更深層次的理解?！?/p>

在瀚思的構(gòu)想中，這款 UBA 產(chǎn)品與瀚思已有的四個(gè)產(chǎn)品一起，構(gòu)成了其主攻“AI+安全”的重要力量。但要獲得市場認(rèn)可，首先要有人用，在做成案例的過程中，不斷優(yōu)化產(chǎn)品，才是其未來可能拿下主推的金融市場的關(guān)鍵。

去年 10 月，瀚思與一家安全水平較高的券商對接 UBA+DLP 產(chǎn)品測試后，發(fā)現(xiàn)其有員工在非工作時(shí)間段內(nèi)異常登錄了文件服務(wù)器，關(guān)聯(lián) DLP 日志后，疑似發(fā)現(xiàn)數(shù)據(jù)泄露。查詢原始數(shù)據(jù)后，他們發(fā)現(xiàn)，這個(gè)用戶下載了兩個(gè)重要文件：一份專利申請的word 文件和一份包含了券商的源代碼。

這事到此就歸券商自己處置了。后來，周才了解到，一個(gè)員工離職后，其賬號沒有被清理干凈，這個(gè)人在夜深人靜時(shí)，意圖拖走一些核心文檔和源代碼。

在隨后的案例中，他們又發(fā)現(xiàn)有人意圖爬走“客戶的客戶”的關(guān)鍵數(shù)據(jù)行為，并追蹤溯源，捋清了惡意行為的鏈條。

目前，在銀行業(yè)的案例中，對方的需求不僅限于 UBA上，對于進(jìn)一步部署以瀚思企業(yè)版為核心平臺建立 SOC 中心的需求也在規(guī)劃測試中。這意味著，還有更多可能性。

押注的可能

這對瀚思而言，是個(gè)好消息。

雷鋒網(wǎng)了解到，目前瀚思落地的 UBA 產(chǎn)品的平均客單價(jià)在百萬級別。一方面，做更多的案例，意味著收入的大幅增加，另一方面，周奕透露，瀚思接下來的產(chǎn)品計(jì)劃是，下一代的企業(yè)版將著力打造一個(gè)全場景智能安全分析平臺，與下一代 UBA 產(chǎn)品深度整合，更加專注于防止數(shù)據(jù)泄露、保護(hù)特權(quán)賬戶以及其他業(yè)務(wù)安全相關(guān)的應(yīng)用場景。

如果 UBA 產(chǎn)品進(jìn)攻得力，將這部分客戶納入自家的其他產(chǎn)品體系目標(biāo)中，將有更多可能性。

此次溝通會上，瀚思 COO 董昕還宣布，瀚思的 B+ 輪融資落定，這是去年 7 月瀚思宣布拿到 1 億 B 輪融資后的最新一輪融資消息。

董表示：“未來可能就可以放緩一些了，因?yàn)檫@個(gè)時(shí)間段比較關(guān)鍵，在我們看來兩點(diǎn)：第一，我們看到這個(gè)市場已經(jīng)比較熱了，不像 4 年前，沒人做，我們當(dāng)時(shí)可能有點(diǎn)不著急不著慌，但是現(xiàn)在我們發(fā)現(xiàn)這個(gè)市場發(fā)展得其實(shí)比我們想象的要快，而且市場利好，所以我們要抓住這個(gè)領(lǐng)先的機(jī)會，將客戶服務(wù)好。因此，我們更需要一些大的合作，無論是在產(chǎn)品上，還是開拓上?！?/p>

顯而易見，這次新產(chǎn)品的落地對瀚思“未來的大合作”，也許十分重要。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。