【51CTO.com原創(chuàng)稿件】早在三年前，安全圈里一位專家就曾對(duì)記者說(shuō)過(guò)一句話：在所有IT領(lǐng)域里，從事網(wǎng)絡(luò)安全的初創(chuàng)企業(yè)門檻最高且風(fēng)險(xiǎn)極大。記者對(duì)此深以為然，一來(lái)安全產(chǎn)品都是憑技術(shù)實(shí)力說(shuō)話，哪怕概念再新潮可解決不了用戶實(shí)際問(wèn)題的話全是浮云，而初創(chuàng)企業(yè)的技術(shù)積累與部署經(jīng)驗(yàn)難以與大企業(yè)抗衡;二來(lái)大多數(shù)用戶對(duì)于選購(gòu)安全產(chǎn)品都較為謹(jǐn)慎，初創(chuàng)公司尚未形成足夠的品牌影響力，除非產(chǎn)品特別出色，否則很難打進(jìn)這個(gè)市場(chǎng)。

[[217642]]

　　前不久，記者接觸到一家非常“年輕”的網(wǎng)絡(luò)安全初創(chuàng)企業(yè)——成都清華永新網(wǎng)絡(luò)科技有限公司，清華永新的成長(zhǎng)之路恰恰打破了記者對(duì)網(wǎng)絡(luò)安全初創(chuàng)公司的固有思維。通過(guò)清華永新產(chǎn)品總監(jiān)于家明的分享，記者也意識(shí)到，如果對(duì)安全細(xì)分市場(chǎng)有足夠精準(zhǔn)的判斷，對(duì)客戶的需求有深入的認(rèn)識(shí)，其實(shí)初創(chuàng)企業(yè)“輕裝前行”，反而“大有可為”。

　　一把“錐子”的逆襲

　　2016年9月成立，迄今為止成立不到兩年，清華永新從不避諱自己的“年輕”。正因?yàn)?ldquo;年輕”，清華永新的初創(chuàng)團(tuán)隊(duì)在嘗試多個(gè)方向之后，終于找到了最適合自己生長(zhǎng)的土壤。產(chǎn)品總監(jiān)于家明告訴記者，其實(shí)公司的初創(chuàng)團(tuán)隊(duì)在2013年前后，也曾經(jīng)和傳統(tǒng)安全廠商一樣，致力于開發(fā)日志搜集分析等安全產(chǎn)品。但是他們很快發(fā)現(xiàn)，由于每一家安全廠商對(duì)于安全事件的理解不同，定義的級(jí)別也不同，告警的評(píng)判標(biāo)準(zhǔn)都不一樣，這給用戶的安全運(yùn)維帶來(lái)很大困擾，僅僅通過(guò)安全可視化，并不能真正解決用戶的問(wèn)題。

　　后來(lái)清華永新遇到一些機(jī)會(huì)，通過(guò)與運(yùn)營(yíng)商、保險(xiǎn)、金融等客戶的合作，在安全運(yùn)營(yíng)、安全管理、安全分析、態(tài)勢(shì)感知和業(yè)務(wù)安全等方面，研究如何全面兼容各類安全廠商的日志，并進(jìn)行從泛化、分析、告警、響應(yīng)到整改的安全閉環(huán)管理流程，幫助安全管理人員解決整改、預(yù)警、分析和響應(yīng)的需求。這就是現(xiàn)在清華永新明星產(chǎn)品“天樞”的雛形，也是清華永新專注于一個(gè)細(xì)分市場(chǎng)的開端。

　　與傳統(tǒng)的SIEM解決方案不同，清華永新的天樞態(tài)勢(shì)感知平臺(tái)兼容性更廣更靈活，關(guān)注的重點(diǎn)不僅僅是風(fēng)險(xiǎn)，而是將企業(yè)核心資產(chǎn)、安全威脅事件和脆弱性漏洞管理相結(jié)合，利用大數(shù)據(jù)安全智能分析，迅速甄別關(guān)鍵威脅并做出智能響應(yīng)和持續(xù)的合規(guī)性掃描檢測(cè)。在運(yùn)維方面，天樞將不同廠商的日志報(bào)告進(jìn)行歸納匯總，大大降低了運(yùn)維的重復(fù)性，降低運(yùn)維難度的同時(shí)還提升了工作效率。果然，一經(jīng)推出，便深深擊中了用戶日常工作中的痛點(diǎn)，深受用戶的認(rèn)可。

　　于家明的分享，讓記者聯(lián)想到錐子理論——當(dāng)目標(biāo)市場(chǎng)看似銅墻鐵壁時(shí)，不妨找準(zhǔn)一個(gè)細(xì)分痛點(diǎn)，將所有力量集中于一點(diǎn)，用力扎下去，這樣很容易打開局面。清華永新正是這樣做了，也成功了。

　　態(tài)勢(shì)感知也能“私人訂制”

　　“天樞之所以能夠順利在網(wǎng)絡(luò)安全市場(chǎng)打開局面，主要是因?yàn)樗卫巫プ×巳惪蛻舻男枨螅軌蛘嬲鉀Q他們的應(yīng)用痛點(diǎn)。”于家明總結(jié)到。

　　第一類客戶如電信運(yùn)營(yíng)商、金融行業(yè)客戶，他們的基礎(chǔ)設(shè)施很多，為了滿足異構(gòu)性需求，又往往采購(gòu)的是不同廠商的產(chǎn)品，運(yùn)維過(guò)程中動(dòng)輒上千條告警。以漏洞告警為例，同一個(gè)漏洞，不同廠商對(duì)此的命名不同，告警級(jí)別也不同，運(yùn)維人員需要處理大量重復(fù)的告警日志，他們迫切希望日志管理變得更加智能;

　　第二類客戶在安全審查方面有嚴(yán)格要求，一旦上級(jí)主管單位在其重點(diǎn)資產(chǎn)上發(fā)現(xiàn)高危漏洞，有可能對(duì)其進(jìn)行行政處罰。因此這類客戶需要一種安全產(chǎn)品，可以對(duì)其重要資產(chǎn)進(jìn)行安全檢查。

　　第三類客戶是已經(jīng)被曝光自身IT系統(tǒng)存在安全隱患，例如中了蠕蟲，也被證實(shí)和僵尸網(wǎng)絡(luò)有通信。客戶需要知道病毒的宿主機(jī)在哪里，如何被感染，傳播路徑又是怎樣的，溯源病毒入侵的切入點(diǎn)，從源頭整改系統(tǒng)漏洞。

　　“由于每個(gè)行業(yè)的應(yīng)用場(chǎng)景不一樣，所以天樞態(tài)勢(shì)感知平臺(tái)的思路是把業(yè)務(wù)場(chǎng)景梳理出來(lái)，變成風(fēng)險(xiǎn)指標(biāo)，結(jié)合客戶需求做定制，另外再提供配套的安全服務(wù)。”于家明對(duì)天樞的規(guī)劃非常清晰。

　　“攘外”同時(shí)不忘“安內(nèi)”

　　那么與傳統(tǒng)的SIEM解決方案相比，天樞態(tài)勢(shì)感知平臺(tái)還有哪些值得借鑒的創(chuàng)新之處呢?

　　于家明認(rèn)為，傳統(tǒng)SIEM解決方案更多關(guān)注的是來(lái)自外部的攻擊威脅，但是在實(shí)際應(yīng)用中，越來(lái)越多的威脅是來(lái)自內(nèi)部的。而天樞態(tài)勢(shì)感知平臺(tái)重點(diǎn)關(guān)注資產(chǎn)的安全，當(dāng)平臺(tái)采集了日志之后，在這個(gè)基礎(chǔ)上結(jié)合更多行業(yè)的需求，還能夠規(guī)避來(lái)自企業(yè)內(nèi)部的安全風(fēng)險(xiǎn)。

　　他舉例告訴記者，例如有的員工為了個(gè)人利益可能會(huì)違規(guī)操作，越權(quán)訪問(wèn)核心數(shù)據(jù)，也有可能是被黑客操縱，通過(guò)遠(yuǎn)程控制竊取并轉(zhuǎn)移數(shù)據(jù)。天樞態(tài)勢(shì)感知平臺(tái)通過(guò)UEBA技術(shù)關(guān)注內(nèi)部威脅，對(duì)內(nèi)部工作人員進(jìn)行風(fēng)險(xiǎn)畫像，記錄下某員工在什么時(shí)間什么地點(diǎn)去訪問(wèn)哪些數(shù)據(jù)。一旦出現(xiàn)違規(guī)現(xiàn)象，達(dá)到一定分值，平臺(tái)就會(huì)報(bào)警。再配合上清華永新的天盾下一代防火墻下發(fā)安全策略，完全可以相互聯(lián)動(dòng)，實(shí)現(xiàn)智能自動(dòng)化應(yīng)急響應(yīng)。

　　值得一提的是，在天樞態(tài)勢(shì)感知平臺(tái)上，最新的解決方案引入了一些威脅情報(bào)的內(nèi)容。于家明解釋道，通過(guò)威脅情報(bào)的介入，去匹配內(nèi)網(wǎng)中已經(jīng)存在的攻擊事件，可以大大提升安全防護(hù)能力。例如將威脅情報(bào)中出現(xiàn)的僵尸網(wǎng)絡(luò)主機(jī)IP與企業(yè)內(nèi)網(wǎng)流量比對(duì)，發(fā)現(xiàn)有系統(tǒng)正在與一些惡意IP/URL進(jìn)行通信，那么很容易就會(huì)判斷出安全威脅。

　　“傳統(tǒng)安全廠商的做法是在客戶終端上安裝代理，這無(wú)形中增大了運(yùn)維成本，用戶體驗(yàn)也不好。”于家明告訴記者，清華永新的做法是在交換機(jī)上做流量鏡像，一旦發(fā)現(xiàn)哪個(gè)應(yīng)用或哪個(gè)進(jìn)程有問(wèn)題，就可以直接把端口封掉，然后對(duì)問(wèn)題進(jìn)行溯源、追蹤、評(píng)估。“在未知威脅方面，天樞可以采集內(nèi)網(wǎng)服務(wù)器中每個(gè)通信高峰時(shí)間點(diǎn)，數(shù)據(jù)通信量等信息，然后通過(guò)機(jī)器學(xué)習(xí)進(jìn)行聚合，最終建立一條行為基線。一旦有某些行為超出基線范圍，平臺(tái)就會(huì)報(bào)警，再由安全分析人員進(jìn)行跟進(jìn)。”

　　采訪最后，于家明透露，未來(lái)天樞將繼續(xù)增強(qiáng)威脅情報(bào)的積累，在人工智能、機(jī)器學(xué)習(xí)方面找到突破。后續(xù)清華永新還會(huì)嘗試客戶鏈分析，與客戶的業(yè)務(wù)進(jìn)行更多的融合綁定。記者也希望，像清華永新這樣擅長(zhǎng)“謀定而后動(dòng)”的初創(chuàng)企業(yè)能夠給網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來(lái)更多的驚喜。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】