【51CTO.com原创稿件】早在三年前,安全圈里一位专家就曾对记者说过一句话:在所有IT领域里,从事网络安全的初创企业门槛最高且风险极大。记者对此深以为然,一来安全产品都是凭技术实力说话,哪怕概念再新潮可解决不了用户实际问题的话全是浮云,而初创企业的技术积累与部署经验难以与大企业抗衡;二来大多数用户对于选购安全产品都较为谨慎,初创公司尚未形成足够的品牌影响力,除非产品特别出色,否则很难打进这个市场。
前不久,记者接触到一家非常“年轻”的网络安全初创企业——成都清华永新网络科技有限公司,清华永新的成长之路恰恰打破了记者对网络安全初创公司的固有思维。通过清华永新产品总监于家明的分享,记者也意识到,如果对安全细分市场有足够精准的判断,对客户的需求有深入的认识,其实初创企业“轻装前行”,反而“大有可为”。
一把“锥子”的逆袭
2016年9月成立,迄今为止成立不到两年,清华永新从不避讳自己的“年轻”。正因为“年轻”,清华永新的初创团队在尝试多个方向之后,终于找到了最适合自己生长的土壤。产品总监于家明告诉记者,其实公司的初创团队在2013年前后,也曾经和传统安全厂商一样,致力于开发日志搜集分析等安全产品。但是他们很快发现,由于每一家安全厂商对于安全事件的理解不同,定义的级别也不同,告警的评判标准都不一样,这给用户的安全运维带来很大困扰,仅仅通过安全可视化,并不能真正解决用户的问题。
后来清华永新遇到一些机会,通过与运营商、保险、金融等客户的合作,在安全运营、安全管理、安全分析、态势感知和业务安全等方面,研究如何全面兼容各类安全厂商的日志,并进行从泛化、分析、告警、响应到整改的安全闭环管理流程,帮助安全管理人员解决整改、预警、分析和响应的需求。这就是现在清华永新明星产品“天枢”的雏形,也是清华永新专注于一个细分市场的开端。
与传统的SIEM解决方案不同,清华永新的天枢态势感知平台兼容性更广更灵活,关注的重点不仅仅是风险,而是将企业核心资产、安全威胁事件和脆弱性漏洞管理相结合,利用大数据安全智能分析,迅速甄别关键威胁并做出智能响应和持续的合规性扫描检测。在运维方面,天枢将不同厂商的日志报告进行归纳汇总,大大降低了运维的重复性,降低运维难度的同时还提升了工作效率。果然,一经推出,便深深击中了用户日常工作中的痛点,深受用户的认可。
于家明的分享,让记者联想到锥子理论——当目标市场看似铜墙铁壁时,不妨找准一个细分痛点,将所有力量集中于一点,用力扎下去,这样很容易打开局面。清华永新正是这样做了,也成功了。
态势感知也能“私人订制”
“天枢之所以能够顺利在网络安全市场打开局面,主要是因为它牢牢抓住了三类客户的需求,能够真正解决他们的应用痛点。”于家明总结到。
第一类客户如电信运营商、金融行业客户,他们的基础设施很多,为了满足异构性需求,又往往采购的是不同厂商的产品,运维过程中动辄上千条告警。以漏洞告警为例,同一个漏洞,不同厂商对此的命名不同,告警级别也不同,运维人员需要处理大量重复的告警日志,他们迫切希望日志管理变得更加智能;
第二类客户在安全审查方面有严格要求,一旦上级主管单位在其重点资产上发现高危漏洞,有可能对其进行行政处罚。因此这类客户需要一种安全产品,可以对其重要资产进行安全检查。
第三类客户是已经被曝光自身IT系统存在安全隐患,例如中了蠕虫,也被证实和僵尸网络有通信。客户需要知道病毒的宿主机在哪里,如何被感染,传播路径又是怎样的,溯源病毒入侵的切入点,从源头整改系统漏洞。
“由于每个行业的应用场景不一样,所以天枢态势感知平台的思路是把业务场景梳理出来,变成风险指标,结合客户需求做定制,另外再提供配套的安全服务。”于家明对天枢的规划非常清晰。
“攘外”同时不忘“安内”
那么与传统的SIEM解决方案相比,天枢态势感知平台还有哪些值得借鉴的创新之处呢?
于家明认为,传统SIEM解决方案更多关注的是来自外部的攻击威胁,但是在实际应用中,越来越多的威胁是来自内部的。而天枢态势感知平台重点关注资产的安全,当平台采集了日志之后,在这个基础上结合更多行业的需求,还能够规避来自企业内部的安全风险。
他举例告诉记者,例如有的员工为了个人利益可能会违规操作,越权访问核心数据,也有可能是被黑客操纵,通过远程控制窃取并转移数据。天枢态势感知平台通过UEBA技术关注内部威胁,对内部工作人员进行风险画像,记录下某员工在什么时间什么地点去访问哪些数据。一旦出现违规现象,达到一定分值,平台就会报警。再配合上清华永新的天盾下一代防火墙下发安全策略,完全可以相互联动,实现智能自动化应急响应。
值得一提的是,在天枢态势感知平台上,最新的解决方案引入了一些威胁情报的内容。于家明解释道,通过威胁情报的介入,去匹配内网中已经存在的攻击事件,可以大大提升安全防护能力。例如将威胁情报中出现的僵尸网络主机IP与企业内网流量比对,发现有系统正在与一些恶意IP/URL进行通信,那么很容易就会判断出安全威胁。
“传统安全厂商的做法是在客户终端上安装代理,这无形中增大了运维成本,用户体验也不好。”于家明告诉记者,清华永新的做法是在交换机上做流量镜像,一旦发现哪个应用或哪个进程有问题,就可以直接把端口封掉,然后对问题进行溯源、追踪、评估。“在未知威胁方面,天枢可以采集内网服务器中每个通信高峰时间点,数据通信量等信息,然后通过机器学习进行聚合,最终建立一条行为基线。一旦有某些行为超出基线范围,平台就会报警,再由安全分析人员进行跟进。”
采访最后,于家明透露,未来天枢将继续增强威胁情报的积累,在人工智能、机器学习方面找到突破。后续清华永新还会尝试客户链分析,与客户的业务进行更多的融合绑定。记者也希望,像清华永新这样擅长“谋定而后动”的初创企业能够给网络安全产业带来更多的惊喜。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
