资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

在趋势干了 20 年后,他要在瀚思做下一代 SIEM

作者:李勤
2017/11/13 15:44

3 个多月前,号称“中国第一家大数据安全公司”的瀚思举办了 B 轮融资发布会,宣布获得 1 亿元人民币融资。雷锋网了解到,这期间,瀚思没有大动作,直到 10 月 31 日,瀚思对媒体放出风声,称其聘任了一位产品副总裁,并正在进行产品大版本的革新。

这个“产品副总裁”就是其 CEO 高瀚昭从老东家趋势科技(以下简称趋势)挖来的周奕。周奕是趋势常驻亚洲的唯一全球产品总监,在趋势工作近 20 年,领导来自八个国家的全球团队,发布多款企业级邮件和 SaaS 应用安全产品。他还是将 DLP (数据泄密防护)和Sandbox (沙箱)技术引入邮件安全领域的第一人。

随后,瀚思召开了一个小型的媒体沟通会,让上任不超过两个星期的周奕接受采访。雷锋网与瀚思确认,周奕上任,是瀚思冲向国际市场的一个重要信号。

为什么是周奕?周奕又将给瀚思带来什么?

口述:周奕 | 文:李勤

我一直想做产品的工作,但我原来在趋势的南京的研发中心,做的是研发工作。

为了成为趋势的产品经理(PM),我争取了三次。

趋势研发主管的 career path 都是往上走,从三线、二线再到一线。我对职业的看法不一样。2005 年年度考评时,我跟老板说:“我想了解产品的全生命周期,不想只看一个点。”

老板回复:“你的愿望是美好的,但是不成熟。”当时,趋势的高层只能由“聪明”的犹太人出任,其他欧洲人、亚洲人都不可以。

2008 年,我又争取了一次。此时,趋势内部依然没有明确的路径可以让亚洲人从研发转到产品,研发老板不得不又一次跟我 say no,但表示:“周奕,你可以升研发二线,只要你愿意,我把我的团队和产品切一半分给你带。”

我没同意。

2010 年,机会终于来了。我听说有一个“Open position”,我想请老板的老板—— R&D 的老大跟产品部门的老板打招呼,推荐我转岗。研发老大说,美国人喜欢毛遂自荐,我推荐你,这样显得你很不自信。于是,我直接发邮件申请。第一轮和美国的 HR 谈完后,第二轮直接与产品副总裁沟通,随后顺利转岗。

看上去风平浪静,十分顺利。转岗后的三个月,有人跟我讲,其实你老板当时顶着巨大的压力。因为他要让你 on board,Cupertino(库比蒂诺,趋势科技总部所在地)很多 pm 觉得不舒服。他们说,为什么要把这个职位给亚洲人,难道这边招不到更好的人吗?老板觉得,从我面试的情况看,我是能胜任这个岗位的。

随后,我在产品岗上从 2010 年一直做到 2017 年。一开始为了照顾家庭,我没有去美国,而是选择趋势的南京研发中心。转岗后的前两年,我面临的挑战非常多,一周要和国外客户开三场会,都是在凌晨。因为当时不想给美国的团队造成这种感觉:这个人在亚洲,不能支持美国的生意。

我咬着牙参加各种会议,在会议里,还不能提自己来自亚洲。不过情况慢慢好起来,全球产品经理的机会现在向亚洲团队开放。

今年,新老板一直跟我聊事业规划,包括要不要去北美,我们讨论了很多次,我挣扎了很久。

直到今年 8 月,我在达沃斯论坛达拉斯开会时,美国的 HR 给我发来一个人格分析测试 (HBDI Herrmann Brain Dominance Instrument) 。我特别吃惊,测试分析显示,我是极度适合创业的企业家,这个倾向分数几乎是评测人员中最高的。我小时候,人家跟我算命说,我最适合打工,可以做到企业很高的位置,但是我个性偏保守不适合创业。

也许,我得到了一个暗示:我跟原来的自己不太一样了。

从达沃斯回来后,以前也是我老板的瀚昭(编者注:高瀚昭,在趋势科技从业 20 年,后创立大数据安全企业瀚思科技)约我去酒吧小聚,聊起了大家现在做的东西。

今年 5 月,你们都知道的勒索病毒事件(WannaCry) 影响了两个欧洲大客户。当时,我正在参加微软的大会,收到老板的邮件,交代我和另外一个同事查出攻击源。我们又兴奋又紧张——大家都希望攻击源是从自己负责的领域来,这样自己才重要。

两天过去,我们全球的蜜罐都没捕获到什么信息。后来微软的一篇博文说,攻击源可能来自邮件。我就很兴奋,是从我负责的邮件领域来的。结果,微软这篇文章也是不准确的,攻击是源于 SMB 分享协议相关的漏洞。后来,公司的解决措施中提出,客户应该及时打补丁,防护层面也是终端以及网络安全相关的。

瀚昭跟我讨论这件事,提出了他们( 指瀚思 )的视角,说“其实我们在做下一代 SIEM  ( 安全信息和事件管理 ),最大的不一样是,你看的不是单点,而是一个面。”

我有点动心了。

不管是终端是 IPS ,还是 IDS,最终都会跟  SIEM 进行整合。在有众多产品线的公司,每一季,每个产品线的老大都要出来证明——我是最重要的,攻击是从自己这边开始,所以要在我这边防。大的竞争对手也是这么做,客户也是这么问。其实,我们非常挣扎,攻击者从哪里入侵,你根本没法控制。

我开始觉得,从全局看安全、做产品,才是我想要的东西。

在趋势干了 20 年后,他要在瀚思做下一代 SIEM

我和瀚昭达成了一致:我们要做最好的系统,最好的下一代 SIEM。

我们从两个维度来定义下一代 SIEM。第一个纬度是与相邻技术领域的整合而演进成一个更全面的安全智能平台,例如 HanSight Enterprise,平台包括端点检测与响应工具(EDR)、事件响应平台(IRP)、网络安全分析(NTA)、 用户行为分析(UBA)、资产与漏洞管理、反恶意软件沙箱、威胁情报、蜜罐等技术的整合。

另一个纬度是机器学习与算法的大规模使用和不断提高的自动化率。

威胁情报目前也是跟 SIEM 匹配的对接平台,让 SIEM 消化它。像即时响应这一块,我们也在考虑如何从产品层面、服务层面更快地响应,贴切响应需求。

在分析层面,国外大厂把分析把它做成了一个工具。要把工具做到极致,我们也在考虑要不要加入自动分析,自动分析可以让客户使用整个平台的门槛降低,这是大的方向。另外,我们还在考虑一些产品线要不要在战略层面进行扩展。但短期内,我想还是想先把 SIEM 做到世界一流。

我之前在趋势主要做的两种业务在瀚思也会有承接。

第一类,邮件安全。可以把它想象成典型的网关的防守,坏人在进城墙之前,就能把它缉获,尽其所能地将坏人抵御在外,这一块跟瀚思现在的业务不太接近,但是会有整合,把E-mail 防护日志变成SIEM数据源。因为现在针对高管的“钓鱼”越来越多,这些人掌握企业重要的资产和信息,所以邮件产品将和 SIEM 整合。

第二类,SaaS。我们一直在评估,要不要做 UBA (用户行为分析)。

目前,我最重要的工作是,统一企业内部对产品和市场的认知,出英文版的产品,与国际化的内容分析师团队联系,出具高级别的评测分析报告。同时,在产品核心能力上,跟全球大厂的关键指标吻合,从整个展现层面上,我们要接地气。

至于上述是否会整合成一个大平台,我们进行了一些讨论,在与客户、销售沟通,但没法现在就给出 yes or no 的回答。无论是否整合,我总觉得,我们需要一个更健康的生态。国内的对手都比较保守,不愿意分享,“非我即你”这种方式比较多。我对此持保留意见,因为大家会有自己关注的商业领域。但是,我希望我们好,不是因为你做得不好。我们不希望整个生态和市场往 low 里带,而是往高处走。

李勤,雷锋网网络安全专栏作者,微信ID:qinqin0511。

长按图片保存图片,分享给好友或朋友圈

在趋势干了 20 年后,他要在瀚思做下一代 SIEM

扫码查看文章

正在生成分享图...

取消
相关文章