瀚思發布 UBA 產品的背後

去年 10 月 16 日，在趨勢科技幹了 20 年的周奕入職安全創業公司瀚思，擔任產品副總裁。當時，周告訴雷鋒網宅客頻道（微信ID：letshome）編輯，他要對瀚思的產品做大版本革新，要做下一代 SIEM 。

周對下一代 SIEM 做了定義。

第一個緯度是，這個 SIEM 要與瀚思相鄰技術領域整合，演進成一個更全面的安全智能平台，例如 HanSight Enterprise，平台包括端點檢測與響應工具（EDR）、事件響應平台（IRP）、網路安全分析（NTA）、 用戶行為分析（UBA）、資產與漏洞管理、反惡意軟體沙箱、威脅情報、蜜罐等技術的整合。另一個緯度是，這個SIEM 在機器學習與演算法的大規模使用和不斷提高的自動化率。

「我們一直在評估，要不要推 UBA 。」那時，周還在猶豫。

現在，周奕完成了第一步。不久前，瀚思在 Q1 媒體溝通會上介紹了「HanSight UBA-瀚思用戶行為分析系統」在真實客戶案例中的實踐。

【周奕在新產品發布現場】

轉變

打消這個疑慮花了周和瀚思 6 個月時間。

事實上，這款 UBA 產品研發了兩年，但由於「商務方面的不重視及技術方面的局限」導致 「UBA+DLP」的方案實際落地困難。

從商務層面上看，起初企業的安全建設處於早期階段，更多關注的是來自外部的網路攻擊。而 UBA 是一項偏偵測內部威脅的技術，企業對這方面的需求並不迫切。

去年，普華永道發布了一份《2018全球信息安全狀況調查》，包含了對 122 個國家的 9500 個企業安全高管的調查問卷結果。這份調查指出，黑客、 現有第三方和現有員工引發的安全事件有所下降， 而競爭對手 和前員工的比例則上升。42% 的中國內地與香港受訪企業認為前僱員是導致安全事件發生的重要來源， 這一比例要遠高於全球其他國家和地區。

來自企業內部的安全威脅讓企業惴惴不安。

周奕意識到時機到了：「隨著企業由外到內的縱深防禦體系愈加成熟，以及近期數據泄露事件頻發，企業意識到需要將防範內部人員違規、偵測內部威脅以及防止數據泄露事件的工作排上議事日程。」

一個背景是，周曾將 DLP （數據泄密防護）和Sandbox （沙箱）技術引入郵件安全領域。這意味著，他很了解傳統 DLP 的局限性。

傳統 DLP 技術已經無法滿足企業面臨安全新威脅的需求：誤報率高、部署運維成本高、降低效率、犧牲易用性，不能有效防範內部人員信息盜用。

周奕和同事在 6 個月內對潛在客戶進行了密集調研後，發現對方要的是全場景、全面可見性、智能的產品。

「每天那麼多告警，但我梳理不過來，你能不能幫我在已知威脅里做規避、排序，這樣我才知道應該處理哪些。在我的環境里，有沒有已知風險？再者，能否偵測未知，透過一些異常的行為、流量、人員的舉動，告訴我有沒有其他安全問題。「被調研企業跟周說。

所以，在打造這款產品時，瀚思應用了「UBA + DLP」的思路，希望用敏感數據移動作為重要上下文確認用戶行為意圖，並定位風險用戶關聯敏感數據移動事件。

當然，這款產品並未脫離瀚思「AI、數據、安全」的框架，周奕介紹，UBA 中應用了無監督學習，支持行為分類和 30+ 細分場景實現 UBA 開箱即用，發現人員與行為異常。

不過，市場態度的轉變並不足以讓瀚思決心推出這款產品。

真正讓周決定「推一把」的是，在技術層面上, UBA 技術落地的效果跟統一身份認證體系的建立有比較直接的關係。隨著客戶 IT 的基礎建設，越來越多的企業客戶建立統一身份系統, 從而保證了 UBA 產品的落地效果。

6個月內，他們在券商、航空、銀行業做了三個案例。

周對雷鋒網說：「6個月是客戶密集實踐區，對分析模型的優化，對客戶場景更深層次的理解。」

在瀚思的構想中，這款 UBA 產品與瀚思已有的四個產品一起，構成了其主攻「AI+安全」的重要力量。但要獲得市場認可，首先要有人用，在做成案例的過程中，不斷優化產品，才是其未來可能拿下主推的金融市場的關鍵。

去年 10 月，瀚思與一家安全水平較高的券商對接 UBA+DLP 產品測試後，發現其有員工在非工作時間段內異常登錄了文件伺服器，關聯 DLP 日誌後，疑似發現數據泄露。查詢原始數據後，他們發現，這個用戶下載了兩個重要文件：一份專利申請的word 文件和一份包含了券商的源代碼。

這事到此就歸券商自己處置了。後來，周才了解到，一個員工離職後，其賬號沒有被清理乾淨，這個人在夜深人靜時，意圖拖走一些核心文檔和源代碼。

在隨後的案例中，他們又發現有人意圖爬走「客戶的客戶」的關鍵數據行為，並追蹤溯源，捋清了惡意行為的鏈條。

目前，在銀行業的案例中，對方的需求不僅限於 UBA上，對於進一步部署以瀚思企業版為核心平台建立 SOC 中心的需求也在規劃測試中。這意味著，還有更多可能性。

這對瀚思而言，是個好消息。

雷鋒網了解到，目前瀚思落地的 UBA 產品的平均客單價在百萬級別。一方面，做更多的案例，意味著收入的大幅增加，另一方面，周奕透露，瀚思接下來的產品計劃是，下一代的企業版將著力打造一個全場景智能安全分析平台，與下一代 UBA 產品深度整合，更加專註於防止數據泄露、保護特權賬戶以及其他業務安全相關的應用場景。

如果 UBA 產品進攻得力，將這部分客戶納入自家的其他產品體系目標中，將有更多可能性。

此次溝通會上，瀚思 COO 董昕還宣布，瀚思的 B+ 輪融資落定，這是去年 7 月瀚思宣布拿到 1 億 B 輪融資後的最新一輪融資消息。

董表示：「未來可能就可以放緩一些了，因為這個時間段比較關鍵，在我們看來兩點：第一，我們看到這個市場已經比較熱了，不像 4 年前，沒人做，我們當時可能有點不著急不著慌，但是現在我們發現這個市場發展得其實比我們想像的要快，而且市場利好，所以我們要抓住這個領先的機會，將客戶服務好。因此，我們更需要一些大的合作，無論是在產品上，還是開拓上。」

顯而易見，這次新產品的落地對瀚思「未來的大合作」，也許十分重要。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！