【51CTO.com原創(chuàng)稿件】早在三年前，安全圈里一位專家就曾對記者說過一句話：在所有IT領(lǐng)域里，從事網(wǎng)絡(luò)安全的初創(chuàng)企業(yè)門檻最高且風(fēng)險極大。記者對此深以為然，一來安全產(chǎn)品都是憑技術(shù)實力說話，哪怕概念再新潮可解決不了用戶實際問題的話全是浮云，而初創(chuàng)企業(yè)的技術(shù)積累與部署經(jīng)驗難以與大企業(yè)抗衡;二來大多數(shù)用戶對于選購安全產(chǎn)品都較為謹(jǐn)慎，初創(chuàng)公司尚未形成足夠的品牌影響力，除非產(chǎn)品特別出色，否則很難打進這個市場。

[[217642]]

　　前不久，記者接觸到一家非常“年輕”的網(wǎng)絡(luò)安全初創(chuàng)企業(yè)——成都清華永新網(wǎng)絡(luò)科技有限公司，清華永新的成長之路恰恰打破了記者對網(wǎng)絡(luò)安全初創(chuàng)公司的固有思維。通過清華永新產(chǎn)品總監(jiān)于家明的分享，記者也意識到，如果對安全細(xì)分市場有足夠精準(zhǔn)的判斷，對客戶的需求有深入的認(rèn)識，其實初創(chuàng)企業(yè)“輕裝前行”，反而“大有可為”。

　　一把“錐子”的逆襲

　　2016年9月成立，迄今為止成立不到兩年，清華永新從不避諱自己的“年輕”。正因為“年輕”，清華永新的初創(chuàng)團隊在嘗試多個方向之后，終于找到了最適合自己生長的土壤。產(chǎn)品總監(jiān)于家明告訴記者，其實公司的初創(chuàng)團隊在2013年前后，也曾經(jīng)和傳統(tǒng)安全廠商一樣，致力于開發(fā)日志搜集分析等安全產(chǎn)品。但是他們很快發(fā)現(xiàn)，由于每一家安全廠商對于安全事件的理解不同，定義的級別也不同，告警的評判標(biāo)準(zhǔn)都不一樣，這給用戶的安全運維帶來很大困擾，僅僅通過安全可視化，并不能真正解決用戶的問題。

　　后來清華永新遇到一些機會，通過與運營商、保險、金融等客戶的合作，在安全運營、安全管理、安全分析、態(tài)勢感知和業(yè)務(wù)安全等方面，研究如何全面兼容各類安全廠商的日志，并進行從泛化、分析、告警、響應(yīng)到整改的安全閉環(huán)管理流程，幫助安全管理人員解決整改、預(yù)警、分析和響應(yīng)的需求。這就是現(xiàn)在清華永新明星產(chǎn)品“天樞”的雛形，也是清華永新專注于一個細(xì)分市場的開端。

　　與傳統(tǒng)的SIEM解決方案不同，清華永新的天樞態(tài)勢感知平臺兼容性更廣更靈活，關(guān)注的重點不僅僅是風(fēng)險，而是將企業(yè)核心資產(chǎn)、安全威脅事件和脆弱性漏洞管理相結(jié)合，利用大數(shù)據(jù)安全智能分析，迅速甄別關(guān)鍵威脅并做出智能響應(yīng)和持續(xù)的合規(guī)性掃描檢測。在運維方面，天樞將不同廠商的日志報告進行歸納匯總，大大降低了運維的重復(fù)性，降低運維難度的同時還提升了工作效率。果然，一經(jīng)推出，便深深擊中了用戶日常工作中的痛點，深受用戶的認(rèn)可。

　　于家明的分享，讓記者聯(lián)想到錐子理論——當(dāng)目標(biāo)市場看似銅墻鐵壁時，不妨找準(zhǔn)一個細(xì)分痛點，將所有力量集中于一點，用力扎下去，這樣很容易打開局面。清華永新正是這樣做了，也成功了。

　　態(tài)勢感知也能“私人訂制”

　　“天樞之所以能夠順利在網(wǎng)絡(luò)安全市場打開局面，主要是因為它牢牢抓住了三類客戶的需求，能夠真正解決他們的應(yīng)用痛點。”于家明總結(jié)到。

　　第一類客戶如電信運營商、金融行業(yè)客戶，他們的基礎(chǔ)設(shè)施很多，為了滿足異構(gòu)性需求，又往往采購的是不同廠商的產(chǎn)品，運維過程中動輒上千條告警。以漏洞告警為例，同一個漏洞，不同廠商對此的命名不同，告警級別也不同，運維人員需要處理大量重復(fù)的告警日志，他們迫切希望日志管理變得更加智能;

　　第二類客戶在安全審查方面有嚴(yán)格要求，一旦上級主管單位在其重點資產(chǎn)上發(fā)現(xiàn)高危漏洞，有可能對其進行行政處罰。因此這類客戶需要一種安全產(chǎn)品，可以對其重要資產(chǎn)進行安全檢查。

　　第三類客戶是已經(jīng)被曝光自身IT系統(tǒng)存在安全隱患，例如中了蠕蟲，也被證實和僵尸網(wǎng)絡(luò)有通信?？蛻粜枰啦《镜乃拗鳈C在哪里，如何被感染，傳播路徑又是怎樣的，溯源病毒入侵的切入點，從源頭整改系統(tǒng)漏洞。

　　“由于每個行業(yè)的應(yīng)用場景不一樣，所以天樞態(tài)勢感知平臺的思路是把業(yè)務(wù)場景梳理出來，變成風(fēng)險指標(biāo)，結(jié)合客戶需求做定制，另外再提供配套的安全服務(wù)。”于家明對天樞的規(guī)劃非常清晰。

　　“攘外”同時不忘“安內(nèi)”

　　那么與傳統(tǒng)的SIEM解決方案相比，天樞態(tài)勢感知平臺還有哪些值得借鑒的創(chuàng)新之處呢?

　　于家明認(rèn)為，傳統(tǒng)SIEM解決方案更多關(guān)注的是來自外部的攻擊威脅，但是在實際應(yīng)用中，越來越多的威脅是來自內(nèi)部的。而天樞態(tài)勢感知平臺重點關(guān)注資產(chǎn)的安全，當(dāng)平臺采集了日志之后，在這個基礎(chǔ)上結(jié)合更多行業(yè)的需求，還能夠規(guī)避來自企業(yè)內(nèi)部的安全風(fēng)險。

　　他舉例告訴記者，例如有的員工為了個人利益可能會違規(guī)操作，越權(quán)訪問核心數(shù)據(jù)，也有可能是被黑客操縱，通過遠(yuǎn)程控制竊取并轉(zhuǎn)移數(shù)據(jù)。天樞態(tài)勢感知平臺通過UEBA技術(shù)關(guān)注內(nèi)部威脅，對內(nèi)部工作人員進行風(fēng)險畫像，記錄下某員工在什么時間什么地點去訪問哪些數(shù)據(jù)。一旦出現(xiàn)違規(guī)現(xiàn)象，達(dá)到一定分值，平臺就會報警。再配合上清華永新的天盾下一代防火墻下發(fā)安全策略，完全可以相互聯(lián)動，實現(xiàn)智能自動化應(yīng)急響應(yīng)。

　　值得一提的是，在天樞態(tài)勢感知平臺上，最新的解決方案引入了一些威脅情報的內(nèi)容。于家明解釋道，通過威脅情報的介入，去匹配內(nèi)網(wǎng)中已經(jīng)存在的攻擊事件，可以大大提升安全防護能力。例如將威脅情報中出現(xiàn)的僵尸網(wǎng)絡(luò)主機IP與企業(yè)內(nèi)網(wǎng)流量比對，發(fā)現(xiàn)有系統(tǒng)正在與一些惡意IP/URL進行通信，那么很容易就會判斷出安全威脅。

　　“傳統(tǒng)安全廠商的做法是在客戶終端上安裝代理，這無形中增大了運維成本，用戶體驗也不好。”于家明告訴記者，清華永新的做法是在交換機上做流量鏡像，一旦發(fā)現(xiàn)哪個應(yīng)用或哪個進程有問題，就可以直接把端口封掉，然后對問題進行溯源、追蹤、評估。“在未知威脅方面，天樞可以采集內(nèi)網(wǎng)服務(wù)器中每個通信高峰時間點，數(shù)據(jù)通信量等信息，然后通過機器學(xué)習(xí)進行聚合，最終建立一條行為基線。一旦有某些行為超出基線范圍，平臺就會報警，再由安全分析人員進行跟進。”

　　采訪最后，于家明透露，未來天樞將繼續(xù)增強威脅情報的積累，在人工智能、機器學(xué)習(xí)方面找到突破。后續(xù)清華永新還會嘗試客戶鏈分析，與客戶的業(yè)務(wù)進行更多的融合綁定。記者也希望，像清華永新這樣擅長“謀定而后動”的初創(chuàng)企業(yè)能夠給網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來更多的驚喜。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】