快捷菜单
社交媒体
联系方式
业务咨询

400-816-1670

地址

北京市 海淀区 东北旺西路8号 中关村软件园9号楼2区306A

Email

contact@HanSight.com

Phone

(+86 10) 8282 6616

新闻 / News

从外企技术宅到创业弄潮儿,高瀚昭是个乐天派(安在专访)

导语:从穿着来看,高瀚昭介于正式与随意之间:身着衬衫西裤,却又不喜欢将衣服束进皮带。这种微妙的过渡感与他的背景不谋而合:既是根正苗红、拥有深厚积淀的“技术贵族”;又是逃离大公司束缚、另辟天地的“创业新锐”。
与网络安全、大数据、云计算接触近15年后,这个自诩保守的技术男终于感到,将大数据与安全结合的“天时地利人和”已经到来。
于是,瀚思科技诞生了。
瀚思的英文名是HanSight,它的母本和目标,是美国曾经最好的安全管理平台Arcsight。“让每一个中小企业都能拥有SOC服务”,就成为高瀚昭对瀚思,也是对自己所寄予的最现实的价值期待。

十五年外企磨练,一朝开始创业

先说说你的过往经历吧?

我的经历很简单,一直都还算按部就班。
我是1991年上的大学。1998年,我从南京大学计算机系研究生毕业。大学里,我学的是分布式计算,和大数据有点关系,我是南京本地人,毕业后就留在南京,直接到趋势科技工作。
那时候,趋势科技在南京有一个研发中心,我就是那里的第六个员工。在我之后,研发中心慢慢地发展到了三四百人的规模。
2006年,我被外派到菲律宾,有两年的时间,做病毒自动分析。
到2010年,趋势和宽带资本合资成立天云趋势,我被派到北京,因为他们觉得我在大数据、虚拟化这块是全公司最顶尖的。当时我去的目的是在国内推广大数据和云平台的技术,国内趋势是涉足这个领域的第一家公司,宽带资本也是看中我们这块的经验。

说起来天云趋势那么早就能提出云计算和大数据,并将其视为自己的业务方向,还是蛮有前瞻性的,但市场上声音却不大,是不是没做起来?

一开始我们就是冲着云平台大数据去的,我们假设用户知道大数据的价值,希望给他们提供分析工具,可后来我们发现,国内用户真正的关注点还没到后面,还停在更前面的阶段,他们会问,大数据到底能够带来什么样的价值?
我们从2010年到2013年,基本上都在帮用户去寻找价值:我们帮运营商做用户行为分析;帮电网做电价的波峰波谷分析,帮用户做营销推荐。结果,公司变成一个项目制的公司,虽然2013年底我们还盈利了,但是这样做下去,和传统的项目制公司就基本是相同的了。
2013年底,我们做了一些反思,认为接下来有两种方案,一种是我们做运营服务;另一种,我们把某一项业务和云平台大数据做一个整合。我本人做了十多年的安全行业,安全和云平台结合就是云安全,这个东西在国际上已经有一些公司在做了,包括像Splunk,或者Sumo Logic这样一些公司。 但是当时的公司已经积重难返,规模虽然不算很大,但是要调整人手,变动太大了。我后来就带了大数据团队出来,从趋势找了一些合作伙伴,在外面又找了一个光速投资,创立了瀚思。

创立瀚思是一个怎样的时机考虑?

数据驱动安全,但首先必须要有数据;过去,安全厂商只采集安全信息,从13年起,主流的观念就是所有信息都和安全相关,广义安全的时代来了。国内网银一天的数据量就是一个T,这种数据量无法用传统数据库、单机的方法解决,必须利用大数据技术。国内安全公司转变比较慢,对大数据技术应用比较晚。我们认为这是一个机会。

感觉你从毕业到现在,一路上还是很顺利的,如果要给自己划分一些阶段,比如从个人经历、能力、心态的变化上,你会怎么划分?

2000年就做项目经理了,那时候才毕业两年。然后研发方面做过很多角色,包括管理,直到研发总监。那时候我觉得自己花了五六年时间,成了一个合格的经理人。我的感觉是,我去别的公司做项目经理、研发经理都是合格的,不管去任何跨国公司都是合格的。
07、08年,我觉得自己一个大的变化是,终于知道安全是怎么回事了,以前虽然做核心技术,做引擎开发,但并没有怎么接触和分析。我在大学学的数学、机器学习、人工智能这些概念,之前都觉得离自己很遥远,到了菲律宾以后,我发现原来是真的,是能够落地的。防垃圾软件我们曾经做到全球第一,防病毒后台能力也是。
但是自己当时倒是有点迷茫,因为会想,你这些经验到了新公司以后有多大用处?公司赋予你的价值,跟你自己创造的价值究竟有多大?我有这个迷思。所以我当时跟老板谈,是不是我有机会往业务层面去了解一下。因为我做了那么多产品,但是并不知道用户是怎么看以及怎么用我们产品的。正好当时有两个选择,一个是去趋势中国,另一个是趋势中国正好和宽带资本合资了,做大数据云平台。
从2010年到2013年,我开始知道中国企业市场的业务要怎么做了,公司要怎么运作了。因为一开始先做北京公司整体运营,后来又做整个公司CEO。财务怎么做,每年的预算怎么做、开销怎么做,要事必躬亲。因为我是天云趋势的第一个员工,所有人都是我招来的,整个团队都是我建立的,所以这个人要怎么招,组织要怎么搭建,可以看做是一种练摊,也就是怎么把一个公司从无到有,人财物给排列起来,形成一个盈利的公司。
说实话,没干过这些事情,我是不敢出来创业的。正好有了这件事情 又有了大数据团队的积累,再加上自己安全方面经验的积累,才让我自己觉得,差不多是时候(创业)了。

要用大数据分析玩转潜在的安全大市场

之前你曾多次提到过“数据驱动安全”这个概念,挺好的,大数据与安全的结合也是必然趋势,问题在于,大数据的概念很大,其衍生出来的内容也很多,瀚思在这方面是如何聚焦和定位的?

我一开始就想做大数据在安全方面的落地,确切说是大数据安全分析。大数据分析有两个做法,一个是做业务,那需要你公司非常大;第二个就是你在运维、安全、性能管理方面有一些特别的专长,可以用大数据解决一个具体的问题。我们定位是在后者。

国内的IT创业公司,通常都会有个国外“对标”,瀚思是怎样的?

现在我们整个发展战略就是对标splunk,以splunk的框架,做一个能够替代Arcsight的SOC的旗舰产品。
而对于中小企业的SaaS,我们的目标是做出一个他们可以用的SIEM。因为以前的中小企业是没有SIEM可以用的,对于传统SIEM解决不了的问题,我们来解决。像一些大中型的业务,数据量比它(SIEM承载范围)大的用户,传统SIEM解决不了,我们帮它解决;比他小的,以前买不起的企业,我们也可以以SaaS的形式给他提供。我们涵盖了所有可能的企业。

据我所知,splunk并不只局限在安全方面,他的定位更应该是稍微底层一些的分析工具和平台上吧,那瀚思呢?会不会局限了些?

没错,所以我刚才说,其实我们框架上对标splunk,但目前在应用场景上,想先把安全这块做好。未来,我们更应该是一个平台,上面承载怎样的业务,这要和具体应用场景结合。比如现在我们就有客户,根本不是做安全的,搞业务运营的,人家想用我们的平台也不是为了安全的目的,而是业务风险的分析。分析的能力有了,平台有了,上面其实可以适用面很大的。

现在瀚思快两年了,经历了怎样一个发展过程?

第一步是组建研发团队,也是去年主要的任务。我们COO是从微软出来的,原来是在MSDN,在中国落地的负责人;我们的销售副总是从甲骨文出来的,原来也都是年薪百万的,愿意到我们公司来做是很不容易的,也是看好我们的前景。
去年年底我们做出了第一版产品,并且交付给了第一个客户,是一家银行。我觉得这是第一个里程碑。第二个里程碑就是今年。去年我们卖的是大数据的能力,今年我们在卖的就是安全的能力。随着成都团队的建立,我们有十几个人的团队,其中包括安全研究这一块,我觉得是不错的里程碑。
今年下半年我最期待的,是年底的安全SaaS服务。到现在为止,虽然我们研究的课题比较新,但做的事情还是基于传统的产品-渠道销售模式。要服务中国那么多中小企业的安全领域,只靠传统的销售方式是不行的,中小企业没有能力做定制化服务,你必须通过SaaS方式去交付。但是SaaS模式交付SOC,也没有这样的先例,我们看到唯一一家这么做的是sumologic,但是它更多是做日志上传的分析,并没有做到用户的内网中。我们希望让中小企业能用比较低的成本,使用以前只有大型企业能用得起的SOC。
此外,我们也希望能打通后台的威胁情报,和其他公司交互,甚至给国家提供一些威胁情报的最新动态。随着创业公司越来越多,在安全领域合作的可能性也越来越大。

相对来讲,做企业项目和做SaaS,两种类型的产品有什么区别?

做企业的难点主要在于,如何在投入产出上做平衡;做SaaS,则主要考虑的是怎么让客户更快地用起来。
在企业产品上,客户更多是自己部署,不存在学习曲线的问题;而SaaS这边,用户下载了软件之后,也不会来问你,顶多在微信或者helpdesk上面咨询一下。所以,要做到给它一个简单的介绍,它就能用起来,上传数据。如何让他们更快地使用起来是最难的。所以SaaS越快餐化越好。
一个是连锁店,一个是高大上,所以这两个业务蛮难变成一样的东西,唯一互通的是它们的情报是可以共享的。

瀚思在产品线和商业模式上是怎么考虑的?

我们想得比较清楚,但是执行下去还有很多事情要做。
一方面是做SaaS。怎么去做病毒和威胁的自动发现,怎么让用户体验更好,更易用,有很多工作要做。我认为,在SaaS做到5000个用户之前是不挣钱的,但是也不太会赔钱。
另一方面,做企业市场产品可能会比较成熟,它可以养活我们自己,做一些标杆式的工程,让你的SaaS更好推广;而从SaaS获得的情报又可以反哺大企业客户。
等客户多了之后,很多底层的数据可以开放给第三方,这里面有很多的商业模式可以做。
还有一点,前面也提过,就是作为一个大数据分析工具和平台,我们希望在云端,未来更靠近PaaS的模式,我们提供SDK和接口,应用场景交给更广泛的合作方和客户自己。

那就眼下的业务重心来讲,你会对SaaS和大企业项目哪一块更看重?

短期可能是企业这一块,SaaS这块一方面是长期投资,同时它有两个作用,一个是积累用户,一个是做市场。有时候,你可能做了四五个项目,但外面根本没听过你;而你做了SaaS之后,半年之后到处都听过你的名字,到时候做项目、渠道的时候就会更容易。听过你和没听过你,信任度是不一样的。

组织架构和设置也会做相应的部署吗?

目前我们北京的团队主要负责产品和项目,也就是大企业这块。成都主要负责SaaS开发,偏安全应用这块。而核心技术lab这一块,我们未来考虑在南京设一个点,做SaaS的运维。
去年上半年,瀚思总共只有7个人,主要是趋势和Tcloud来的,到去年年底十七八人,到现在40人。成都的业务是去年八月份开始设立,因为我们的招聘速度不是太快。我们一半的团队是做算法的,它涵盖了整个学习链,从NLP、神经网络编程,到gpu编程、矩阵编程,到应用数学、到spark应用,涵盖了整条算法的链条。

你们现在怎么和云厂商合作?

我们现在主要做亚马逊、微软、阿里云。我们在各个云上都会布一套SaaS服务。这是考虑贴近用户,用户怎么样成本最低?当然是在它自己使用的云上面布一套这个系统。因为我们用的是比较方便引擎的比如docker,做一个实施和部署,所以一两天我们就可以完成云上的后台部署。
SaaS服务讲究短平快。用户关注的是,第一,我怎么知道我的公司整体安全状况?第二,我每个月得到的一个报告,是否能讲得明确,有什么问题,怎么改进?所以我们集中解决这两个问题。因为要解决的东西越多,部署实施定制化就越繁琐。所以我们由简入繁,逐步增加自己的内容。在云上,我们的工作有两种模式,一是用户要在云上下载一个客户端,它有一个预管理的权限,可以采集所有设备和系统应用信息,上传回来做分析;更简单的模式是,如果它是云的用户,其实它只要把token给我们,我们可以访它他的日志,访问它的存储,就可以直接分析了。这都在同一个云上完成,就不用考虑上传带宽的瓶颈了。

能透露一下你们的融资情况吗?

一开始就有天使轮投资,现在是做了A轮投资,估值接近2个亿。

说起找投资商,你好像几个热门题材都占全了,大数据、安全、SaaS,你的团队又是“贵族精英”,齐了,又是在一个很恰当的时机。那一路投资支持快速发展看来就是顺理成章的事情了?

早期的时候是比较顺利成章,但是接下来,尤其是在这次拿了之后,我觉得现在最紧急的就是要把东西做出来。我们都知道,天使看人,A轮看你的产品和商业模式、客户,到下一轮就要看业绩了,你的客户增长、利润增长。所以我们下一步的重心会放在业务以及销售和推广上。

威胁情报需要多方联盟和共同机制

就大数据而言,像BAT这样拥有海量数据的企业是不是更有先天之利?

在国外看来,目前用户对自己数据控制权的要求是越来越高的。我免费让你用产品,你把数据给我,这种事情用户现在会答应,未来未必会答应,这个红利能持续多久值得探讨。
早前我曾有个概念,就是数据银行,这是大数据真正发挥作用的一种可行模式。你搭一个平台给别人来用,他们不是看你的技术有多好,而是看中你平台有多少用户,你的平台是他们接触到用户的渠道。数据也是一样,他们更关注你数据背后代表了多少用户。用户多了,数据又属于你,你就有很大的机会创造商业价值。
就我们而言,我会利用安全数据创造价值,用户数据的所有权是属于用户的,但用户可以授权给第三方开发,去创造新的价值,去返回给用户。
当然,目前对数据所有权的界定问题,从立法到实践都很模糊。还有就是,有能力大规模加工数据的公司也不是很多。
但相对来说,安全方面的数据反而比较容易做共享。以前,我们总是觉得自己要建一个蜜罐,要爬一些DNS、URL,自己做一些分析,然后建一个病毒样本库、恶意网址库,但是这些库都是滞后的,因为单个公司的能力都是有限的。
现在,那么多用户的数据里面加工出来的安全事件,是不是能成为非常有价值的安全情报?这个东西,最理想是让同一个公司来做,但是我觉得也可以每个公司分头做,并且交换自己的情报库,甚至国家牵头打通,定义一些交换的标准,我觉得这个价值很大。美国已经在做这个事情了,他们是国防部牵头的,中国应该是会往这个方向走,听说工信部公安部也在牵头做这个事情。
我也希望出一份力,除了自己爬数据和拿外部的情报之外,能够做更多的事情。我们知道,现在的很多情报都是通过美国的漏洞库或者国家的情报库,直接从国外拿过来的。其实,放到中国环境未必适用。对于中国企业、中国用户面临什么威胁,它是不了解的。所以,这个联盟如果能做起来,我觉得是有一定社会价值和业务价值的。

数据的价值不言而喻,相比于黑客的外部攻击,企业内部人员在利益驱动下的监守自盗行为已经屡见不鲜。然而随着企业移动化的普及,内部员工访问系统的 时间更加碎片化,这意味着数据丢失的风险增大。大数据需要收集不同来源、不同格式的信息,因此就需要创建单 一系统 以收集、检索、规范、分析和共享所有的信息。机构还应该寻找概要文件账户、用户或其他实体,并跟踪这些概要文件的异常操作。

你提到的应该是当下最火爆的威胁情报了,就这个概念来说,我觉得刚开始厂商驱动可能会比较容易些,因为它的利益诉求是很直接的,没有威胁源怎么去做更好的分析?至于甲方,通常会比较保守吧。

是这样的。我们也知道。用户环境有四种,我们要做真正完整的安全分析,就需要四种数据源:所有网络的信息、所有主机侧的信息、所有认证和登陆服务信息,以及所有外部的威胁情报。必须把这四个东西串起来,你才能把用户的所有问题搞清楚。以前安全厂商只是知道你发生了什么事,现在,安全厂商要告诉你为什么会发生这个事情,以及未来还会发生什么事情。
这是我们最希望干的事情,它不仅仅局限在杀病毒或者防具体的攻击,而是要告诉用户,你现在是一个什么样的状态,为什么会这样,未来还可以怎样改善。这有点像咨询。我现在究竟对我的安全有没有awareness?意识到什么程度?以及未来能提高到什么程度?我们要告诉客户,要达到某种状态,还差哪些事情要做。
这些东西怎么去具体往某一个方向上发展,是需要一个标准的,一个简单的、良好的、可以向上对齐的标准。事实上,很多用户不知道自己安全有什么问题,也不知道短板在哪里。随着对用户的分析,你知道得越多,你才知道之后怎么去做。只有全知才能全能。

现在搞威胁情报的也不少创业公司了,像薛峰的微步,还有最近刚刚有的“烽火台威胁情报联盟”,对此你会有何预期?

我们是产品厂商,和威胁情报机构可以互补合作,我也希望能与他们有更多互动。

圈外人也可以搞安全

我们都知道,搞安全有个尴尬,没出事的话,根本没人知道你的价值,出了事才知道你的价值。但是很多时候,事情要么被掩盖了,要么根本不觉得这个是个事。对此而言,你会不会有无奈感?

没错,这是长期以来的一个问题。但我不会有无奈感,我们也要看到,企业也都在改变。现在不是有句很流行的话吗,世界上只有两种公司,一种是知道自己有安全问题的,还有一种是不知道的,但是没有一家公司是安全没有问题的。从这一点来说,就是机会。

当这种变化成为共识,安全企业的重要性就体现出来了。

我们有这个信心。你可以去看思科的报告,世界500强都有安全问题。我们也希望通过这种方式让客户的安全问题逐步减少。完全避免有难度,但是我们可以通过我们的努力,和现有安全公司的合作,逐步把客户的安全问题减少。

从你的经验来看,外企、传统的安全企业,以及互联网的安全团队,这三者的是怎样的关系?竞争更多一些吗?

传统安全的市场无论国际还是国内,增长都很慢。因为面对新的变化的时候,他们的反应比较慢。大公司的天性就是没办法去做快速创新。
而互联网公司的问题,是他们主要解决的是自身问题,从自身出发,但是他们自身的问题都有特殊性,所以他们比较难给出一个普遍的方案,去满足普遍客户。但从安全角度看,他们的优势是有更多的威胁情报来源,因为他们有大量用户、数据,他们是威胁情报的很好的发起者。当然,就传统厂商来讲,他们也有现成的客户群。
总体上我觉得,通过合作、开放的心态,不光是业务层面,甚至在资本层面大家也可以做一些合作,这才是一个比较正常的生态。

你搞安全也有十多年快二十年了,你觉得自己是圈内人吗?

在国内不太算。以前我在外企,虽然做的是核心的安全技术,但是外企一个大公司只有5%的人是在做核心技术,80%的人是做产品,其他人做推广和销售,真正做核心分析、病毒分析的人很少。所以能交流的人不多。
我一直觉得自己不像是国内安全圈的人,也没有花名什么的,就觉得自己是圈外人。我跟赛门铁克、McAFee等企业出来的那些,在国内创业的人聊起来,大家都觉得,外企出来的和国内的人圈子没打通,非常希望有机会可以加入进来。

这是一个适合创业者的最好时代

创业这两年里,有没有什么觉得比较为难的事情?

最大的难处就是,BAT把北上广人才的价格,尤其是安全的人才价格提得很高,甚至超过美国同等公司,我们都在考虑要不要在美国设立安全中心。另外大数据人才也缺乏。希望学校能有一些倾斜,让学生有这方面的经验。否则你到了公司之后,我们还要花半年一年做员工的培训,对我们这样的创业公司来讲发展是有一些挑战的。

最适合你的安全人才是什么样的?

我们更倾向于两种人,第一他曾经在甲方待过,对安全是有兴趣的。为什么说是甲方呢?因为通常做攻防的人未必会从一堆日志里看出来有什么问题。另外,最好是有运维经验的运维人员,尤其做过安全分析的运维,我感觉是非常缺乏的。即使甲方也是很缺的。

除了人,其他方面你都很有信心?

当你找对人以后,很多觉得困难的事情就不困难了,所以我坚信,企业的事情大部分就是人的事情。所以我接下来大部分精力我都会放在找人上面。

对创业者尤其是安全领域的创业者来说,互联网创业的玩法和以前传统的似乎不太一样,你怎么看?

以前是量入为出,比较慢。而资本的力量最主要的,当然了,不是说简单让你去烧钱,而是让你跨过早期的积累期,不管是产品,还是技术人员的积累期。因为当你拿到投资以后,你能更容易地找到有经验的人才,也能更容易的做市场、销售。这样,原来5年做的事情,可以2、3年做出来。所以,无论你做什么,必须要快。

你怎么看待创业公司目前的生存土壤?和以前相比有什么变化?

许多新东西,都是在你刚开始试错的时候,别人不会去做;等你真的做出来之后,很多公司就会跟进,特别是传统企业。传统的大公司是有资源的,但是在没有明确信号的时候,他们不会去做。
以前在国内,创业的起点比较低,传统企业抄的速度很快。但现在不同了,越来越多的创业企业做的事情难度都很大,哪怕你大公司看到了,要重新做一遍,也很不容易。同时,资本市场也有变化,上市也好、并购也好,创业企业有更多机会更快速拿到钱,更快速发展。而在以前,创业全靠自己的钱,创业公司增长速度有限,我大公司花5年时间,怎么也抄会了,但是现在,两三年时间里,你还没抄会,我已经超过你了。
当然,对创业公司来说还有一个挑战,中国的企业对安全这方面的采购意愿和认知,重视程度和投入,这个差距是国内和国外比较大的门槛,也是造成创业公司发展速度不如国外的原因。这个门槛还是存在的,其他门槛已经好很多了。

你提的这三点概括很全面,企业本身技术门槛起点高低的问题,资本市场的问题,以及市场和客户的问题。

没错,不过相比之下,最后一个才是最大的挑战。

今天聊下来,你给我最直观的感受就是乐观,信心满满呀。

是的,我一向很乐观,总是乐呵呵的,在我看来没什么过不去的,只要想办法克服掉,应该会有很好的发展。