资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

瀚思发布 UBA 产品的背后

作者:李勤
2018/04/04 11:49

去年 10 月 16 日,在趋势科技干了 20 年的周奕入职安全创业公司瀚思,担任产品副总裁。当时,周告诉雷锋网宅客频道(微信ID:letshome)编辑,他要对瀚思的产品做大版本革新,要做下一代 SIEM 。

周对下一代 SIEM 做了定义。

第一个纬度是,这个 SIEM 要与瀚思相邻技术领域整合,演进成一个更全面的安全智能平台,例如 HanSight Enterprise,平台包括端点检测与响应工具(EDR)、事件响应平台(IRP)、网络安全分析(NTA)、 用户行为分析(UBA)、资产与漏洞管理、反恶意软件沙箱、威胁情报、蜜罐等技术的整合。另一个纬度是,这个SIEM 在机器学习与算法的大规模使用和不断提高的自动化率。

“我们一直在评估,要不要推 UBA 。”那时,周还在犹豫。

现在,周奕完成了第一步。不久前,瀚思在 Q1 媒体沟通会上介绍了“HanSight UBA-瀚思用户行为分析系统”在真实客户案例中的实践。

瀚思发布 UBA 产品的背后

【周奕在新产品发布现场】

转变

打消这个疑虑花了周和瀚思 6 个月时间。

事实上,这款 UBA 产品研发了两年,但由于“商务方面的不重视及技术方面的局限”导致 “UBA+DLP”的方案实际落地困难。

从商务层面上看,起初企业的安全建设处于早期阶段,更多关注的是来自外部的网络攻击。而 UBA 是一项偏侦测内部威胁的技术,企业对这方面的需求并不迫切。

去年,普华永道发布了一份《2018全球信息安全状况调查》,包含了对 122 个国家的 9500 个企业安全高管的调查问卷结果。这份调查指出,黑客、 现有第三方和现有员工引发的安全事件有所下降, 而竞争对手 和前员工的比例则上升。42% 的中国内地与香港受访企业认为前雇员是导致安全事件发生的重要来源, 这一比例要远高于全球其他国家和地区。

来自企业内部的安全威胁让企业惴惴不安。

周奕意识到时机到了:“随着企业由外到内的纵深防御体系愈加成熟,以及近期数据泄露事件频发,企业意识到需要将防范内部人员违规、侦测内部威胁以及防止数据泄露事件的工作排上议事日程。”

一个背景是,周曾将 DLP (数据泄密防护)和Sandbox (沙箱)技术引入邮件安全领域。这意味着,他很了解传统  DLP 的局限性。

传统 DLP 技术已经无法满足企业面临安全新威胁的需求:误报率高、部署运维成本高、降低效率、牺牲易用性,不能有效防范内部人员信息盗用。

周奕和同事在 6 个月内对潜在客户进行了密集调研后,发现对方要的是全场景、全面可见性、智能的产品。

“每天那么多告警,但我梳理不过来,你能不能帮我在已知威胁里做规避、排序,这样我才知道应该处理哪些。在我的环境里,有没有已知风险?再者,能否侦测未知,透过一些异常的行为、流量、人员的举动,告诉我有没有其他安全问题。“被调研企业跟周说。

所以,在打造这款产品时,瀚思应用了“UBA + DLP”的思路,希望用敏感数据移动作为重要上下文确认用户行为意图,并定位风险用户关联敏感数据移动事件。

当然,这款产品并未脱离瀚思“AI、数据、安全”的框架,周奕介绍,UBA 中应用了无监督学习,支持行为分类和 30+ 细分场景实现 UBA 开箱即用,发现人员与行为异常。

落地

不过,市场态度的转变并不足以让瀚思决心推出这款产品。

真正让周决定“推一把”的是,在技术层面上, UBA 技术落地的效果跟统一身份认证体系的建立有比较直接的关系。随着客户 IT 的基础建设,越来越多的企业客户建立统一身份系统, 从而保证了 UBA 产品的落地效果。

6个月内,他们在券商、航空、银行业做了三个案例。

周对雷锋网说:“6个月是客户密集实践区,对分析模型的优化,对客户场景更深层次的理解。”

在瀚思的构想中,这款 UBA 产品与瀚思已有的四个产品一起,构成了其主攻“AI+安全”的重要力量。但要获得市场认可,首先要有人用,在做成案例的过程中,不断优化产品,才是其未来可能拿下主推的金融市场的关键。

去年 10 月,瀚思与一家安全水平较高的券商对接 UBA+DLP 产品测试后,发现其有员工在非工作时间段内异常登录了文件服务器,关联 DLP 日志后,疑似发现数据泄露。查询原始数据后,他们发现,这个用户下载了两个重要文件:一份专利申请的word 文件和一份包含了券商的源代码。

这事到此就归券商自己处置了。后来,周才了解到,一个员工离职后,其账号没有被清理干净,这个人在夜深人静时,意图拖走一些核心文档和源代码。

在随后的案例中,他们又发现有人意图爬走“客户的客户”的关键数据行为,并追踪溯源,捋清了恶意行为的链条。

目前,在银行业的案例中,对方的需求不仅限于 UBA上,对于进一步部署以瀚思企业版为核心平台建立 SOC 中心的需求也在规划测试中。这意味着,还有更多可能性。

押注的可能

这对瀚思而言,是个好消息。

雷锋网了解到,目前瀚思落地的 UBA 产品的平均客单价在百万级别。一方面,做更多的案例,意味着收入的大幅增加,另一方面,周奕透露,瀚思接下来的产品计划是,下一代的企业版将着力打造一个全场景智能安全分析平台,与下一代 UBA 产品深度整合,更加专注于防止数据泄露、保护特权账户以及其他业务安全相关的应用场景。

如果 UBA 产品进攻得力,将这部分客户纳入自家的其他产品体系目标中,将有更多可能性。

此次沟通会上,瀚思 COO 董昕还宣布,瀚思的 B+ 轮融资落定,这是去年 7 月瀚思宣布拿到 1 亿 B 轮融资后的最新一轮融资消息。

董表示:“未来可能就可以放缓一些了,因为这个时间段比较关键,在我们看来两点:第一,我们看到这个市场已经比较热了,不像 4 年前,没人做,我们当时可能有点不着急不着慌,但是现在我们发现这个市场发展得其实比我们想象的要快,而且市场利好,所以我们要抓住这个领先的机会,将客户服务好。因此,我们更需要一些大的合作,无论是在产品上,还是开拓上。”

显而易见,这次新产品的落地对瀚思“未来的大合作”,也许十分重要。

长按图片保存图片,分享给好友或朋友圈

瀚思发布 UBA 产品的背后

扫码查看文章

正在生成分享图...

取消
相关文章