瀚思科技 CEO 高瀚昭
文 | 拓扑社 记者 成琨
如果说过去的安全技术主要是“防守”,那么,当网络环境越来越复杂,信息安全与现实安全的边界越来越模糊,提前发现安全漏洞并主动“进攻”成为了一种趋势。大数据安全企业瀚思科技(后文简称为“瀚思”)创始人兼CEO高瀚昭表示,“传统以防御为核心的安全策略已经过时,信息安全正在变成一个大数据分析问题,大规模的安全数据需要被有效地关联、分析和挖掘。”
据相关报告,到2023年,安全分析市场份额将会达到80亿美元,增长率高达26%。7月25日,瀚思宣布获得1亿元B轮融资,由国科嘉和、IDG资本领投,南京高科等A轮投资方跟投。某种程度上表明,瀚思在该领域已占得了一定先机。
此前,拓扑社与高瀚昭进行了一次访谈,聊了聊瀚思在信息安全服务的定位、创始团队背景、新产品的特点以及商业上的规划。
紧跟行业趋势,聚焦安全智能
拓扑社记者:瀚思定位为大数据安全服务商,与全球第一家上市的大数据公司Splunk在安全领域的布局有些类似,以及最近NVIDIA宣布收购以色列网络安全公司Deep Instinct,以进一步加强在人工智能领域的优势。(注:Deep Instinct使用基于GPU的神经网络和CUDA实现99%的检测率,而传统网络安全软件的检测率约为80%;其具有可以自动识别恶意软件并将其杀死在萌芽状态的专利技术,整个过程都不需要病毒库的支持。)您怎么看待这个不同于以往安全技术的方向呢?
高瀚昭:美国信息安全市场,不断有新的投资者进来,不断有新的创业公司,不断有并购事件发生,是一个基业常青的市场。但是国内对信息安全的认知还停留在防火墙、杀毒、防DDOS,其实整个安全市场进化到现在,已经远不是过去的传统安全了。如果把传统安全比作门和锁,那么现在还需要门禁卡、指纹、摄像头等增加安全系数。类似的思路应用到虚拟社会与信息安全领域,我们通过监控企业间的数据、所有人的行为,来判断这些数据是否正常。这一系列数据分析的思路,从2013年开始在美国成为了主流,而我们在2014年将这个概念带回国内并创立了瀚思。
拓扑社记者:那么近几年来,这个行业发生了一些什么变化呢?
高瀚昭:我们在市场、投资、政府这几个方面看到了一些趋势——
首先,云时代、大数据时代、万物互联时代对安全本身提出了快速进化的需求,传统安全是防火墙、网关、杀毒、漏洞评估等,而下一代网络安全包括云安全、身份和访问管理、安全智能分析、内部威胁保护等。传统安全市场正以-17%的年复合增长率在持续萎缩,而下一代安全市场年复合增长率为39%,其中安全智能分析与内部威胁保护的年复合增长率分别为35.7%和35.2%,这也是我们正在做的事情。
其次,网络安全在美国是一个非常热门的投资方向,但在此前国内是不温不火的,我们观察到从去年开始,有大量新的安全公司涌现,也有一系列国家背景的产业基金专门投资信息安全领域。比如我们本次的投资方之一是中科院旗下的国科嘉和,他们将IT基础设施、网络安全作为重点投资方向;北京日报联合成立的总规模100亿元的网络信息安全母基金,也是专注于这个方向。
最后,从政府政策来看,去年颁布的《网络安全法》是一个里程碑式的法案,除此之外还有很多相关的政策,比如银监会39号文要求每年必须增加15%的国产信息技术,优先使用国产技术。预计到2020年国内网络安全市场规模将达到1024亿元,这与政府的监管与支持是息息相关的。
拓扑社记者:这些趋势表明网络信息安全市场的创业环境还是很好的,那么瀚思创始团队有什么样的背景呢?是如何把握住这个方向的?
高瀚昭:瀚思虽然是2014年才成立,但是在过去的十年,我们的核心团队一直在解决如何用大数据、机器学习和算法解决信息安全问题。举个例子,我们在2004年开始统计异常蠕虫监测,2005年做了SVM病毒分类引擎,到了2007年、2008年的时候,我们就能靠一个仿真的模型来识别钓鱼网站了,到2013年,我们击败了美国安全公司FireEye,在沙箱领域成为了全球第一。
我曾在趋势科技工作了十几年,曾任趋势科技子公司天云趋势的CEO,负责组建了300人的全球病毒分析专家团队;首席科学家万晓川也在趋势科技工作了13年,擅长将机器学习应用于信息安全,个人拥有9项美国专利;销售负责人沈海辉曾任职于微软、Oracle,有近20年大客户销售经历;联合创始人兼COO董昕之前在微软、超云(宽带资本与美国超微合资公司)有超过15年的市场、运营、产品经验。
目前瀚思团队100多人,分布在北京、南京、成都、深圳四个城市,虽然公司成立时间不久,但是团队已经累计获得了18项美国专利,现在的方向也是基于之前的积累。
拓扑社记者:具体来讲的话,瀚思是如何为企业保障信息安全的呢?
高瀚昭:我们希望未来能够将这件事做成安全智能,即让整体的安全可见、可知、可控。我们通过采集企业内部的各种数据,对其进行建模、场景化分析。我们本质上是在做数据挖掘,这样的好处是能够让企业实现从传统的被动防御到主动智能防御的转变。最终我们可以帮助客户抵御外部的攻击、内部的威胁,进而是防止与业务相关的欺诈行为。我们最核心的是完全基于大数据分析方法。
拓扑社记者:主要收集的数据有哪些呢?
高瀚昭:我们主要收集三类数据:第一,企业所有的日志,包括网络设备、各种主机、终端产生的日志;第二,企业内部所有的网络流量,交换机流量是可以进行存储和分析的;第三,企业内部跟人相关的数据,比如HR系统、门禁、打印机、WiFi设备等。所有的数据都是客户的,我们帮他在本地进行分析并呈现最终结果,主要的客户基本是私有化部署。
集成深度学习,主攻头部客户
拓扑社记者:既然愿景是实现安全智能,那么瀚思是如何在产品上体现的呢?
高瀚昭:瀚思的新产品HanSight Enterprise 3是新一代企业安全智能平台,集成了深度学习引擎(DeepSense Bata)和用户行为分析(HanSight UBA 2),后者在原来的基础上进行了升级,还支持万兆网络流量分析(HanSight NTA)。因为是一个菜单形式的平台级产品,所以功能完全是基于客户的选择。同时,我们也发布了业界第一个针对安全数据的、安全人员可以做交互分析的查询语言(HanSight HAL)。这是我们最新的进展,安全智能是方向也是最终的目的。
拓扑社记者:您提到深度学习,是如何与安全相结合的?
高瀚昭:深度学习在驾驶、医疗等领域的应用比较广泛,既然深度学习的技术已经相对成熟,GPU的价格也降低了,从理论上来说,用深度学习去识别恶意文件和病毒也是可行的。我们认为机器学习到了一个可以大规模商用的节点,基于过去的积累,我们大概用了两年时间实现了用深度学习检测恶意文件,推出了国内第一个深度学习静态文件检测引擎DeepSense。通过识别千万量级的恶意文件,建模找到了共性,最终生成了深度学习模型,用这个模型对未知的病毒做检测,目前的检测率已经达到了99%。我们已经将这项技术应用于国内某大型金融集团。
这相对于过去有两点变化:第一,杀毒软件不可以发现未知的领域,而深度学习可以;第二,沙箱做虚拟执行往往需要分钟级的时间,而深度学习不需要执行任何文件,只去读文件的二进制代码,来判断是否为病毒,这个过程比传统的沙箱快10倍,预计明年应该可以快100倍。
拓扑社记者:那么瀚思的目标客户主要是哪些领域?这几年来,瀚思积累了多少客户呢?
高瀚昭:我们的目标客户是极大规模的金融、公安 、电信、能源及公共基础设施等头部客户,目前瀚思已经拥有了包括招商银行、建设银行、太平洋保险、药明康德、新闻出版广电总局、北京燃气及公安系统等数十家行业及政府客户,每年收入能达到500%的增长。
拓扑社记者:如何做到500%的收入增长呢?
高瀚昭:瀚思的商业模式很简单,售卖软件给大客户,首单会相对慢一点,需要半年左右的概念验证、测试、对比、招投标、部署等,一旦客户使用产品,基本上每年会续费。我们的产品是按使用量来收费的,企业数据逐年增加,所以客户也会进行扩容,相应费用也会增加。
拓扑社记者:在行业合作方面,瀚思是如何展开的?
高瀚昭:像华为、亚信、百度、汉柏科技、清华大学、美国Hortonworks是我们的战略与商业合作伙伴,公安部第三研究所、网络安全等标准的制定方也是我们的合作方。此外,我们在行业内还有一些代理商、分销商。
瀚思除了是唯一一家2015 Red Herring Top 100 Global获奖亚洲安全公司,获得了“2015红鲱鱼亚洲100强”和“2015红鲱鱼全球100强”奖项,成为2015年度亚洲信息安全领域的唯一获奖企业,今年荣誉入选Cybersecurity Ventures发布的第一季度“网络安全全球500强”榜单;在国内也做了很多事情,我们现在是公安部国家重点实验室建设单位,大数据安全标准工作组成员、数据治理国家标准工作组成员、中国互联网网络安全威胁治理联盟成员。
拓扑社记者:瀚思有对标企业吗?以及您认为在同行之间,瀚思的竞争优势是什么?
高瀚昭:瀚思在国外的对标公司是IBM Security和Splunk,这两家企业在安全领域都十分优秀。在国内,本质上我们和其他安全公司都是为企业提供安全技术服务,但是大多安全公司是围绕一个点来展开服务,而我们是一个面。安全分析涉及的是平台级产品,往往会更复杂,创业公司如果没有比较深的行业积累和技术能力,没有领先的模型和算法,是很难做下去的。
拓扑社记者:接下来的发展规划是什么呢?
高瀚昭:信息安全和物理安全的分界点越来越模糊,所以我们从现在到未来会挑选1到2个行业做纵深的业务安全,比如说在金融领域解决欺诈的问题,在公安领域解决网络犯罪的问题,这也是本次融资的目的。
