2014年3月22日烏云平臺(tái)披露：攜程將用于處理用戶支付的服務(wù)接口開啟了調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。同時(shí)因?yàn)楸４嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意駭客讀取。

索尼影業(yè)2014年11月24日被黑客入侵，內(nèi)部的財(cái)務(wù)文檔、員工信息，甚至未上映的影片和內(nèi)部往來郵件均被曝光，影片“刺殺金正恩” 被迫下線。

2014年12月25日，有超過13萬條12306用戶信息遭泄露，內(nèi)容包括用戶的明文密碼、身份證號(hào)碼、電子郵箱、手機(jī)號(hào)碼等。

摩根大通8月份的黑客入侵事件造成了7600萬個(gè)個(gè)人賬戶和700萬個(gè)小企業(yè)賬戶的戶名、地址、電話和電子郵件被泄露的嚴(yán)重后果。

毫無疑問，以上事件僅僅是冰山一角，也只是暴露在眾人眼中的滄海一粟，更多未知的威脅正在悄悄蔓延。而當(dāng)數(shù)據(jù)信息頻頻遭遇“威脅”的今天，如何利用這些數(shù)據(jù)與“威脅”進(jìn)行一次快速有效的抗?fàn)?？成為我們今天重點(diǎn)討論的課題。

熟悉安全領(lǐng)域的人都知道，當(dāng)下，來自黑客以及黑客組織的攻擊手段復(fù)雜多變，傳統(tǒng)的防御手段漸漸不再奏效，那些基于黑名單的方式跟不上安全威脅的變化，而基于白名單的方式誤報(bào)率頻發(fā)。

傳統(tǒng)的安全防御在復(fù)雜多變的海量數(shù)據(jù)面前已經(jīng)力不從心，不管是從存儲(chǔ)能力、處理性能、查詢功能到分析能力等各個(gè)方面都已經(jīng)無法應(yīng)對(duì)當(dāng)下的挑戰(zhàn)。

安全已經(jīng)漸漸從“防御為核心”走到了“以數(shù)據(jù)為核心”

瀚思（HanSight）創(chuàng)始人兼CEO高瀚昭先生堅(jiān)信：唯有通過海量數(shù)據(jù)挖掘?qū)W習(xí)，才能使企業(yè)適應(yīng)當(dāng)下復(fù)雜多變的安全威脅，并最終實(shí)現(xiàn)“主動(dòng)智能”的信息安全戰(zhàn)略。

“數(shù)據(jù)驅(qū)動(dòng)安全”是瀚思一直秉承的信念，瀚思堅(jiān)持通過收集、分析與展現(xiàn)海量數(shù)據(jù)來幫助企業(yè)、云中心獲得更好的全局可見性和安全智能，從而抵御高級(jí)的網(wǎng)絡(luò)攻擊和內(nèi)部人員的監(jiān)守自盜。

瀚思（HanSight）的目標(biāo)

瀚思（HanSight）產(chǎn)品架構(gòu)圖示

目前，瀚思下一代安全信息分析系統(tǒng)已經(jīng)具備：

未知威脅和內(nèi)部異常行為偵測(cè)能力

安全事件取證和上下文檢索能力

全面安全態(tài)勢(shì)展現(xiàn)和長(zhǎng)周期分析報(bào)告能力

以瀚思實(shí)施完畢的招商銀行總行客戶為例，該銀行已部署了安全信息與事件管理系統(tǒng)（SIEM）和Web應(yīng)用防火墻（WAF）來進(jìn)行網(wǎng)銀日志的收集、分析以及系統(tǒng)安全的保障。

然而從實(shí)際應(yīng)用效果來看，仍然有以下問題讓運(yùn)維人員困擾不已：

SIEM基于傳統(tǒng)的關(guān)系型數(shù)據(jù)庫(kù)，根本無法存儲(chǔ)和處理銀行每天所產(chǎn)生的海量日志信息，也無法進(jìn)行有效的檢索和分析；

WAF已存在超過20年，受限于傳統(tǒng)的理念和使用方式，對(duì)于銀行系統(tǒng)對(duì)大數(shù)據(jù)安全方面的高要求，也有點(diǎn)力不從心，急需新的方法來輔助安全運(yùn)維。

正是由于以上問題，銀行需要一套基于海量數(shù)據(jù)存儲(chǔ)和處理技術(shù)的安全信息和事件管理平臺(tái)，最終達(dá)到統(tǒng)一的安全信息時(shí)間收集和分析并達(dá)到安全合規(guī)的目的。

瀚思（HanSight）為招商銀行提供了基于大數(shù)據(jù)技術(shù)、機(jī)器學(xué)習(xí)和算法分析為基礎(chǔ)的下一代大數(shù)據(jù)安全分析平臺(tái)。通過部署，瀚思（HanSight）幫助招商銀行實(shí)現(xiàn)了對(duì)舊有安全信息與實(shí)踐管理系統(tǒng)的升級(jí)改造，順利完成了每天海量日志信息的收集和存儲(chǔ)，同時(shí)對(duì)關(guān)鍵字段進(jìn)行實(shí)時(shí)的 索引，方便運(yùn)維人員快速的定位安全威脅。

瀚思（HanSight）為某銀行客戶采用的部署架構(gòu)

通過一段時(shí)間的運(yùn)行，該銀行原來的海量數(shù)據(jù)無法通過關(guān)系數(shù)據(jù)庫(kù)存儲(chǔ)和全文檢索等問題都得到了解決。不僅讓數(shù)據(jù)保存擴(kuò)展到了3年以上， 而且關(guān)鍵字查詢的響應(yīng)縮減到可在幾秒內(nèi)完成。

在安全方面，基于靜態(tài)已知規(guī)則的傳統(tǒng) WAF 無法有效應(yīng)對(duì)越來越多的新型攻擊，通過瀚思下一代安全產(chǎn)品可以實(shí)時(shí)有效地分析并捕獲未知威脅，從而幫助安全運(yùn)維人員主動(dòng)規(guī)避可能帶來的風(fēng)險(xiǎn)。

從部署到現(xiàn)在，我們已經(jīng)幫助用戶發(fā)現(xiàn)及溯源超過20次的風(fēng)險(xiǎn)、發(fā)現(xiàn)多起異地可以行為以及凌晨的DDos攻擊等重大安全問題及隱患。