快捷菜单
社交媒体
联系方式
业务咨询

400-816-1670

地址

北京市 海淀区 东北旺西路8号 中关村软件园9号楼2区306A

Email

contact@HanSight.com

Phone

(+86 10) 8282 6616

新闻 / News

数据驱动安全,SOC和SIEM的未来在哪里?(微信公众号:特大号)

特大妹那天看到有人转发了一篇《安全圈的鄙视链》,很娱乐,但这里面缺了很重要的一条链,那就是SIEM/SOC:安全信息和事件管理。

这条链子应该是什么样呢?先看看Gartner的魔力象限吧:

可以看出来,第一象限有五家厂商:IBM Security、Splunk、HP、Intel Security和LogRhythm,他们属于互相鄙视的范畴,占据了整个市场60%的市场份额。

而Gartner也指出,大数据处理是SIEM的未来技术方向之一,妹子也觉得,SIEM是天生具备大数据特征的应用场景,比如,我们看看Gartner对应用场景的定义,就知道数据有多大了。

在这样的海量数据下,就必须用到大数据处理技术了。

可是遗憾的是,再这个象限里面,竟然没有一家中国本土厂商,妹子觉得原因有两点:
1.北美是SIEM最成熟的市场。
2.国内目前SOC产品大多停留在厂商卖硬件的陪衬、或者方案完整性补充的角色。

但是,随着安全威胁事件的频发和国家对信息安全的日益重视,中国一定会成为SIEM高速增长的市场。这时候,就需要能有国产化的新一代SIEM厂商涌现。

昨天,妹子有幸看到了一个这样的厂商在发芽……

昨天下午,瀚思(HanSight)科技在北京低调召开媒体沟通会。瀚思创始人兼CEO高瀚昭、瀚思联合创始人董昕分享了瀚思在大数据安全分析领域的成果。

瀚思是谁?

瀚思成立于2014年,以“数据驱动安全”为愿景,致力于利用大数据帮助企业解决庞杂、分立的信息安全问题。主创团队均为趋势科技、微软、甲骨文等跨国公司精英成员,拥有十余年的信息安全与企业软件产品经验,同时也是大数据、云计算领域的连续创业者。

瀚思以大数据收集、处理与分析技术为驱动,以异常检测(Anomaly Detection)和用户行为分析(User Behavior Analysis)为切入点,帮助企业实时、自动侦测已经发生或即将发生的内外部安全威胁,提高安全事件处理的效率,最大限度的保护企业信息资产安全。

为什么安全需要大数据?

瀚思首席执行官高瀚昭先生对媒体表示:“所有数据都是和安全相关的。近年来随着安全威胁的专业化,越来越多的安全威胁职能在以前和安全似乎没有直接关系的数据中体现,比如操作系统日志、域管理服务器记录、DNS记录、网站日志、内部网络流量甚至门禁刷卡系统记录等等。而企业IT人员和预算都有限,因此不可能随着数据量的增长不断增加人手,必须通过机器学习的方法自动侦测异常行为,通过大数据技术提高处理性能、扩展性、灵活性,使企业用户能够减少增加数据源、规则和事件响应的费用,让IT部门用最少的人员完成最多的事情。”

信息安全问题已经逐步演变成一个大数据分析问题,大规模的安全数据需要被有效地关联、分析和挖掘,并预测未来将出现安全分析平台。

瀚思如何进行大数据安全分析?

实际上,进行大数据安全分析也是多数企业公认有效的手段。那么为何,在以前,没有大规模的进行这项工作呢?

究其主要原因则是由于单机数据库的手段无法支撑庞大量级数据的采集和分析:一个千人规模的企业内部数据量就在每天几百GB,大型企业更是每天几TB到几十TB,不应用大数据技术是不可能做到全量采集和长周期分析的。

除此之外,采集部分的难点还在于数据源的多样性,这就意味着我们不仅要把数据收回来还要保证看得懂。另外如何高性能的让数据即收即可用也是很大的挑战。在分析上,如何高性能的准确找到可疑事件,也成为很多做大数据分析的公司所要解决的问题。

瀚思大数据安全分析产品中所用到的关键技术

高瀚昭先生说:瀚思把数据源分为四大类:网络数据,主机数据,登录认证数据和威胁情报数据。就传统的安全分析系统来说,可以分析到的仅仅是安全设备所产生的数据,并没有办法涵盖以上所有,而瀚思在做的就是将这些用户环境中的所有行为足迹统一进行分析,给用户一个最直观分析结果。

瀚思把大数据安全分析分为采集、存储、分析、展现四个步骤。此外除了存储针对不同的数据规模和性能要求采用多种成熟的大数据存储系统外,采集、分析和展现模块都是自主开发并正在申请国内外专利。

瀚思联合创始人董昕先生也强调:从市场的角度,瀚思将不仅仅帮助大企业来解决问题,如何协助中小企业和互联网企业用轻量级的办法解决安全问题也是瀚思未来考虑的重点。

特大妹点评:瀚思在2014年曾获得红鲱鱼杂志亚洲百强创新企业奖,希望瀚思基于大数据技术的新一代SIEM,也能够引领安全分析的新潮头。