【51CTO.com原創稿件】早在三年前，安全圈里一位專家就曾對記者說過一句話：在所有IT領域里，從事網絡安全的初創企業門檻最高且風險極大。記者對此深以為然，一來安全產品都是憑技術實力說話，哪怕概念再新潮可解決不了用戶實際問題的話全是浮云，而初創企業的技術積累與部署經驗難以與大企業抗衡;二來大多數用戶對于選購安全產品都較為謹慎，初創公司尚未形成足夠的品牌影響力，除非產品特別出色，否則很難打進這個市場。

[[217642]]

　　前不久，記者接觸到一家非常“年輕”的網絡安全初創企業——成都清華永新網絡科技有限公司，清華永新的成長之路恰恰打破了記者對網絡安全初創公司的固有思維。通過清華永新產品總監于家明的分享，記者也意識到，如果對安全細分市場有足夠精準的判斷，對客戶的需求有深入的認識，其實初創企業“輕裝前行”，反而“大有可為”。

　　一把“錐子”的逆襲

　　2016年9月成立，迄今為止成立不到兩年，清華永新從不避諱自己的“年輕”。正因為“年輕”，清華永新的初創團隊在嘗試多個方向之后，終于找到了最適合自己生長的土壤。產品總監于家明告訴記者，其實公司的初創團隊在2013年前后，也曾經和傳統安全廠商一樣，致力于開發日志搜集分析等安全產品。但是他們很快發現，由于每一家安全廠商對于安全事件的理解不同，定義的級別也不同，告警的評判標準都不一樣，這給用戶的安全運維帶來很大困擾，僅僅通過安全可視化，并不能真正解決用戶的問題。

　　后來清華永新遇到一些機會，通過與運營商、保險、金融等客戶的合作，在安全運營、安全管理、安全分析、態勢感知和業務安全等方面，研究如何全面兼容各類安全廠商的日志，并進行從泛化、分析、告警、響應到整改的安全閉環管理流程，幫助安全管理人員解決整改、預警、分析和響應的需求。這就是現在清華永新明星產品“天樞”的雛形，也是清華永新專注于一個細分市場的開端。

　　與傳統的SIEM解決方案不同，清華永新的天樞態勢感知平臺兼容性更廣更靈活，關注的重點不僅僅是風險，而是將企業核心資產、安全威脅事件和脆弱性漏洞管理相結合，利用大數據安全智能分析，迅速甄別關鍵威脅并做出智能響應和持續的合規性掃描檢測。在運維方面，天樞將不同廠商的日志報告進行歸納匯總，大大降低了運維的重復性，降低運維難度的同時還提升了工作效率。果然，一經推出，便深深擊中了用戶日常工作中的痛點，深受用戶的認可。

　　于家明的分享，讓記者聯想到錐子理論——當目標市場看似銅墻鐵壁時，不妨找準一個細分痛點，將所有力量集中于一點，用力扎下去，這樣很容易打開局面。清華永新正是這樣做了，也成功了。

　　態勢感知也能“私人訂制”

　　“天樞之所以能夠順利在網絡安全市場打開局面，主要是因為它牢牢抓住了三類客戶的需求，能夠真正解決他們的應用痛點。”于家明總結到。

　　第一類客戶如電信運營商、金融行業客戶，他們的基礎設施很多，為了滿足異構性需求，又往往采購的是不同廠商的產品，運維過程中動輒上千條告警。以漏洞告警為例，同一個漏洞，不同廠商對此的命名不同，告警級別也不同，運維人員需要處理大量重復的告警日志，他們迫切希望日志管理變得更加智能;

　　第二類客戶在安全審查方面有嚴格要求，一旦上級主管單位在其重點資產上發現高危漏洞，有可能對其進行行政處罰。因此這類客戶需要一種安全產品，可以對其重要資產進行安全檢查。

　　第三類客戶是已經被曝光自身IT系統存在安全隱患，例如中了蠕蟲，也被證實和僵尸網絡有通信。客戶需要知道病毒的宿主機在哪里，如何被感染，傳播路徑又是怎樣的，溯源病毒入侵的切入點，從源頭整改系統漏洞。

　　“由于每個行業的應用場景不一樣，所以天樞態勢感知平臺的思路是把業務場景梳理出來，變成風險指標，結合客戶需求做定制，另外再提供配套的安全服務。”于家明對天樞的規劃非常清晰。

　　“攘外”同時不忘“安內”

　　那么與傳統的SIEM解決方案相比，天樞態勢感知平臺還有哪些值得借鑒的創新之處呢?

　　于家明認為，傳統SIEM解決方案更多關注的是來自外部的攻擊威脅，但是在實際應用中，越來越多的威脅是來自內部的。而天樞態勢感知平臺重點關注資產的安全，當平臺采集了日志之后，在這個基礎上結合更多行業的需求，還能夠規避來自企業內部的安全風險。

　　他舉例告訴記者，例如有的員工為了個人利益可能會違規操作，越權訪問核心數據，也有可能是被黑客操縱，通過遠程控制竊取并轉移數據。天樞態勢感知平臺通過UEBA技術關注內部威脅，對內部工作人員進行風險畫像，記錄下某員工在什么時間什么地點去訪問哪些數據。一旦出現違規現象，達到一定分值，平臺就會報警。再配合上清華永新的天盾下一代防火墻下發安全策略，完全可以相互聯動，實現智能自動化應急響應。

　　值得一提的是，在天樞態勢感知平臺上，最新的解決方案引入了一些威脅情報的內容。于家明解釋道，通過威脅情報的介入，去匹配內網中已經存在的攻擊事件，可以大大提升安全防護能力。例如將威脅情報中出現的僵尸網絡主機IP與企業內網流量比對，發現有系統正在與一些惡意IP/URL進行通信，那么很容易就會判斷出安全威脅。

　　“傳統安全廠商的做法是在客戶終端上安裝代理，這無形中增大了運維成本，用戶體驗也不好。”于家明告訴記者，清華永新的做法是在交換機上做流量鏡像，一旦發現哪個應用或哪個進程有問題，就可以直接把端口封掉，然后對問題進行溯源、追蹤、評估。“在未知威脅方面，天樞可以采集內網服務器中每個通信高峰時間點，數據通信量等信息，然后通過機器學習進行聚合，最終建立一條行為基線。一旦有某些行為超出基線范圍，平臺就會報警，再由安全分析人員進行跟進。”

　　采訪最后，于家明透露，未來天樞將繼續增強威脅情報的積累，在人工智能、機器學習方面找到突破。后續清華永新還會嘗試客戶鏈分析，與客戶的業務進行更多的融合綁定。記者也希望，像清華永新這樣擅長“謀定而后動”的初創企業能夠給網絡安全產業帶來更多的驚喜。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】