访谈︱踏对了大数据安全节奏的HanSight瀚思

近日极牛网走访了HanSight瀚思创始人兼CEO高瀚昭。HanSight瀚思创始人兼CEO高瀚昭

个人简介

高瀚昭先生是信息安全与大数据领域的连续创业者和全球资深技术领导者，多年来一直致力于将前沿的大数据技术应用于信息安全相关领域，帮助企业和云上的用户实现从“被动防御”到 “主动智能”的转变，在过去的15年间曾在中国、北美、东南亚、日本从事核心研发与技术管理工作。

高先生曾就职于趋势科技12年，2007年作为反病毒部门的负责人，领导开发出全球第一套海量病毒分析系统，该系统平均每天可自动分析5万个病毒样本，至今仍被广泛使用。

一、产品成熟 开始盈利

极牛网：瀚思成立到现在已经三年，正好也是安全行业开始快速上升期的这几年，作为国内首个专注大数据安全的创业公司，在这段时期中有了哪些发展变化？

高瀚昭：最主要的变化是这个市场真得起来了。以前大量的工作是要做安全认知的教育，讲述为什么要做安全分析，要做管理、治理。因为三、四年前，用户普遍认为安全就是买设备，用设备解决问题。

但从前两年开始，整个安全行业的都在讲数据、服务、检测分析，用户的认知度也开始慢慢转过来。尤其是在金融行业，明显感觉到甲方高层，普遍开始认为“买盒子”是不行的，数据分析能力才是重要的。

但用户光听是不行的，需要实际体验，而我们正好产品化相对比较早一点，赶上了行业发展的节奏。虽然初创企业在竞争的时候，资质、关系、规模等条件不够，但除去这些，在技术层面PK的话基本没有对手。

去年相对来讲，明显感觉到销售比以前好做，包括经常有客户会主动打来电话咨询。因此，我们从去年四季度已经开始盈利。到现在看，今年的形势也是越来越好，已经走出所谓的“烧钱”模式。

极牛网：目前瀚思都有哪些产品线？

高瀚昭：目前主要是四条线。第一个就是我们的大数据安全分析平台HanSight Enterprise，这是我们最核心的产品，基于大数据、机器学习和行为识别技术，真正实现针对安全大数据的有效存储与实时分析。其余三块都是以这个分析平台为核心扩展出来。包括HanSight UBA（瀚思用户行为分析系统）、HanSight NTA(瀚思网络流量分析系统)和HanSight LogManager（瀚思企业级日志管理平台）。

实际上这三个产品线与安全分析平台，都是互相关联、互为加强和补充的。威胁情报可以帮助把网络行为、用户行为关联串起来，安全分析中心把所有的日志汇总，反过来又为用户行为分析提供数据。

UBA已被定义为下一代安全智能分析的重要能力之一。我们的UBA产品，可在短时间内完成业务场景下的行为数据分析，做到多维度的关联检测。

极牛网：为什么不是UEBA，UBA少了一个E（实体）？

高瀚昭：对于实体而言，其难点在于不仅要拥有看见的能力，还要具备判断对错的能力，要减少误报。这一点与用户行为不一样，因为人的行为比较容易判定，并且容易和同部门或职能的人员进行对比分析。而不同实体，如各种千差万别的系统应用，它们的行为是很难标准化的，必须要对企业业务有深入的了解和定制才行。这也是目前安全行业主要是以UBA而非EBA为突破口的原因。

二、大数据分析的核心：数据、业务和自动化

极牛网：瀚思在大数据安全分析这个领域有哪些企业优势？

高瀚昭：对于 To B 业务来说产品化能力是最关键的，否则就会面临不停的定制化局面，即需要养一个非常大的定制化团队。

瀚思的核心技术人员主要源于趋势科技，而趋势科技是全球唯一在中国设有企业级产品研发中心的大型安全公司，全公司一半以上的企业级产品都是由中国研发中心进行开发的，因此我们的产品化能力非常强。

瀚思花了三年时间打造的核心产品，目前可以做到80%的标准化，到用户那里只需改改配置、界面或报表之类的东西，内部架构不用动。业内的人都了解，这个事情说起来容易，但实际做起来会遇到很多问题，尤其是对创业团队来说。

另一个优势在于，瀚思成功地把安全人员、开发人员，以及产品人员很好的联动成一个闭环，这其实也是基于以前在外企的经验积累。

极牛网：能否具体介绍一下这个闭环的含义？

高瀚昭：比如，对自己的攻防实验室去验证产品，把用户的问题重现，然后修改问题，通过规则、模型、关联，以保证下个版本能够做到机器自动发现，最后通过人来验证它的有效性。

在这个闭环里，需要各种人才。黑客熟悉的是攻击方法，安全人员则擅长日志分析，算法人员主要是做模型、标准化，产品人员则要把大家的想法实现，形成好用的产品。这一系列事情，没有经过在大型企业的长期打磨，非常难于做好。

最后是我们进入大数据安全这个领域的时间点非常好，大家刚有认识的时候，我们成立公司。市场开始起来的时候，产品也推出来了。数据分析这个领域，数据积累和业务模型占绝对地位，一旦进入用户开始应用，复购率非常高。

总结一下就是三点企业优势，一是产品化能力，二是大数据安全方面的优秀人才，三是赶上了正确的时间节点。

极牛网：大数据安全分析主要有哪些细分领域？

高瀚昭：今年瀚思入选了 Cybersecurity Venture 的第一季度的“网络安全全球500强”。这个榜单里面大概有七家标注为大数据安全，其中五家是美国硅谷的公司，一家是以色列公司，阿里有投资，还有一家就是我们。

这七家里大多是基于日志或流量分析提供告警和预判的，比如Splunk和我们。还有两家是做数据治理，数据本身的安全。以色列那家则主做APT防护和反欺诈。我感觉目前大数据安全主要就这三种分类，数据治理、大数据分析和业务反欺诈。

数据治理首要的是数据分类、分级，但做到较为准确的分类分级需要花费很大的精力。数据治理更多的可能是管理问题，所以对于厂商来说，挑战在于客户的IT管理水平。

大数据分析领域一些大厂商也在做，但我们做的早一点，产品化程度比较高，目前正处于“跑马圈地”的阶段。

反欺诈这个领域国内已经有好多家在做，主要是基于设备指纹和外部黑名单，也有几家基于行为分析技术来做。

其实无论怎么做，都基于两个核心，内部数据和外部数据。这就是大数据安全分析这个领域的概况。

极牛网：是的，大数据分析是离不开数据的。那么大数据分析技术有哪些关键点呢？换句话说，掌握哪些核心能力才能具备竞争优势呢？

高瀚昭：第一个我觉得是对业务的理解能力，我们叫业务场景化。不管是营销、性能、运维分析，还是做安全分析，都要基于对业务的深刻理解，而且不同的行业需求也不一样。大数据分析只是手段，最核心的是要搞清楚解决什么问题。

再就是自动化或说人工智能技术。我认为安全并不神秘，有百分之八九十的事情是可以自动化的，把专业人员从海量的告警中解放出来，专做重要的事情。

最后既然是做安全的，不仅要懂业务还要懂安全，把二者很好的结合起来。不管是从日志中发现安全问题，还是从人看懂到让机器读懂，没有经过安全领域的经验和积累，是无法做好安全分析工作的。

三、进入500强 志在Gartner

极牛网：刚才您提到了瀚思入选 Cybersecurity Ventures 今年第一季度的“网络安全全球500强”，能否大概介绍一下这个榜单的背景？

高瀚昭：Cybersecurity Ventures 是一家安全领域做市场分析的机构，由IT媒体资深人员创办，核心顾问人员有约翰·迈克菲、思科的首席隐私官，和一些知名安全公司的高管。

这次的500强是 Cybersecurity Ventures 首次关注大数据安全领域，因为它比较重视创新，而不是销售数字。

他们通过我们的投资方联系到我们，经过交流和沟通，它认为无论是技术创新方向，还是核心团队成员和客户组成（世界500强企业），以及投资背景，都比较不错，因此才把瀚思列入此次榜单。中国公司仅有8家在这个榜单中。

极牛网：作为企业的创始人和CEO，您对瀚思未来一段时期的发展规划是怎样的？

高瀚昭：技术上来讲，我希望未来一两年瀚思能够进到Gartner安全智能分析类的魔力象限中去，据我了解，包括UBA或SIEM都将属于这个类别。

销售上我们去年小几千万，今年会大几千万，肯定达到盈利。明年则是亿元以上，之后就是IPO。当然如果机会特别好的话，也不排除收购。但目前看起来，IPO应该是大概率方向。

人员上今年主要是扩充销售，刚才说过产品已经比较成熟，因此要通过渠道和分销来扩大销售，我们自己也有一些重点行业的大客户，包括金融和公安。但一般的企业，尤其是区域化的客户则是由渠道来去做。

极牛网：从瀚思成立到现在，感觉一直都比较顺利，有没有走过一些弯路或是俗话所说的“踩过哪些坑”？

高瀚昭：当然有了。最大的一个弯路就是在公司创业早期，大的分析平台还来不及成型的时候，我们先开发了一些细分版本去进行差异化竞争。当时FireEye很红，APT炒得特别火热，于是我们就选择了“发现未知威胁”这个细分领域。

但其实这个方向是有问题的，后来我们发现APT的市场并不大，大部分情况下国外对中国不需要使用APT，反而是通过内部人员的情况更多一些。反映到现实情况中，就是安全系统在客户那里跑了很长时间也发现不了一两次APT，需求不够很难销售。

其他的就是企业发展过程中，通常都会遇到的问题。比如，分支机构的远程沟通，人员的投入产出比，人员招聘、客户支撑、销售本地化，以及企业发展速度和规模的节奏控制等等，甚至资本的何时介入以及如何介入，对于初创公司来说也是要考虑的头等大事。创业对于我们也是一个再学习的过程。

四、国内的四大类安全初创公司

极牛网：资本方现在也非常关注初创公司，您能分享一下投资机构是如何看待安全类的初创公司吗？

高瀚昭：没问题。我们和资本方接触的时候，也的确了解一些他们对安全初创公司的看法。

不少资本方把国内的安全创业公司人员分为四大类，第一种有着BAT3之类的互联网公司背景的技术人员，第二种是国外大型安全厂商或科技巨头背景的人员，第三种是从国内传统安全厂商出来创业的人员，最后一种是黑客出身的人员。

互联网背景的人员一般会做云安全、SaaS等新兴技术领域。传统安全公司出来的人经常为销售导向。国外公司背景的则偏向做与企业业务相关的产品或服务，也许刚开始在销售方面会吃亏，但时间一长优势就显示来了。

最后是黑客团队成立的公司，他们的优势在于非常了解攻击技术，但企业业务和产品化方面会面临很大的挑战，同时有的人员还会牵连到法律方面的事情，这类公司资本方往往会非常谨慎。