传统安全策略已过时,瀚思想用数据驱动安全
今年8月,雷锋网将在深圳举办一场盛况空前,且有全球影响力的人工智能与机器人峰会。届时雷锋网将发布“人工智能&机器人Top25创新企业榜”榜单。目前,我们正在拜访人工智能、机器人领域的相关公司,从中筛选最终入选榜单的公司名单。如果你也想加入我们的榜单之中,请联系:2020@leiphone.com。
在企业安全中,如果只是被动防御,那就同“门锁”一样,不可能一劳永逸。而随着高级持续性攻击(APT)的增多,以及企业内部人员监守自盗,传统的安全防御措施能起到的作用也越来越小。
Hansight瀚思的联合创始人董昕告诉雷锋网,过去近30年的信息安全技术基本以基于签名和规则等的防御为主,用MD5码等来判断病毒与恶意文件特征,依靠规则去做简单的阻断,并高度依赖网络边界设备。但随着随着云、大数据与移动等概念的兴起,安全的边界(内外网)变得越来越模糊,而使用机器学习、算法,基于行为对未知威胁进行分析变得越来越重要,安全思路已经从防御转为侦测与响应。
Gartner在2013年预测,3年
全球将有25%的大型企业部署大数据安全分析平台
;2013年RSA信息安全大会的主题是“Mastering data. Securing the world”(掌握数据,保护世界),自此大数据分析成为很多企业信息安全部门迫切需要解决的问题。现在的信息安全基本等同于大数据分析问题。
瀚思是国内一家大数据安全公司,早在2014年开始提供相关服务,其目标是“成为企业的智能安全大脑”,目前产品主要有两块:
-
企业级大数据安全分析系统Hansight Enterprise,主要用户是大型企业,由于这些公司对信息极为敏感,会以私有云的方式提供服务。它 采用海量数据处理、机器学习、算法等技术,整合HanSight UBA(用户行为分析)与HanSight TI(威胁情报中心)模块,帮助应对外部与内部安全威胁。
-
面向中小企业的安全分析平台Saas(安全即服务),如安全易。据称为国内首家企业级安全SaaS平台,为中小企业提供在线安全服务。
Enterprise示意图 / 图片来自瀚思官网
瀚思的主要用户是大型企业、银行、电信运营商,国家及省级政府单位,如招商银行、建设银行、中国联通、大唐电信。这类客户本身积累有大量数据,更适合使用大数据安全服务。
从被防御到主动侦测的转变,也得益于外部条件的成熟。董昕告诉雷锋网 (搜索“雷锋网”公众号关注) ,开源大数据框架的发展,大量数据的积累,以及计算资源的普及(如X86服务器降价),同时数据实时分析及机器学习模型的逐渐成熟,让大数据安全分析变得可能。
大数据安全服务主要涉及三个方面:机器学习算法,大数据平台技术,以及对安全场景的理解。董昕认为公司的优势也集中在这几个方面。
-
瀚思首席科学家万晓川曾任职安全公司趋势科技(Trendmicro)十多年,曾率先将机器学习应用于病毒自动分析系统和垃圾邮件识别。在算法选择上, 瀚思较多使用无监督学习算法,并通过可视化方式展现数据与结果,能帮助在海量数据中发现异常行为。
-
有别于其它安全工具,大数据安全分析需要突出的数据存储和分析能力。 瀚思在Hadoop和Spark上不少实际经验和源码级能力,也是Hortonworks在国内最早的技术合作伙伴。
-
另外团队成员来自趋势、微软、甲骨文等公司, 做过不少大数据项目,了解如何将机器学习算法用于安全领域, 用大数据安全分析平台解决APT攻击、内部监守自盗和网络欺诈等安全问题。
去年7月, 大数据行业内第一个上市的公司Plunk以1.9亿美元收购Caspida,一家用机器学习技术分析安全隐患的公司。用“数据驱动安全”已经是一个大趋势。
如果要把大数据安全服务做个类比,那更像是“上帝视角”, 相比 传统的防御只关注安全环节上的某一点,它更关注总体安全状况,把所有设备、软件、应用及行为数据采集起来,维度更高。