做数据安全大脑

王涵

瀚思科技创始人兼CEO高瀚昭 每上一個台阶，就需要更专业的人才加入 摄影王雷

一位国有银行客户负责人告诉创业邦：“在半年内我们实验的多家数据安全服务商当中，瀚思的产品监测误报率比一般水平低80%。”

数据安全市场存在明显的优先级关系，首先选择政府企业，再是头部企业，最后才是中小厂商。但在3年内，瀚思已签下数十家金融领域和保险领域的标杆客户，复购率为80%，其中包含上述这家国有银行。

作为一家以创业公司形态出现的数据服务商，瀚思刚刚获得了“2019中关村国际前沿科技创新大赛”总决赛亚军，它的往届获奖者是旷视科技、pony.ai。

它还以综合评分最高的成绩，作为亚洲唯一一家SIEM（安全信息和事件管理）厂商，入选Gartner Peer Insights Voice of the Customer全球报告，并且作为入围ATT&CK（基于实战用以描述黑客攻击的模型和知识库）官方评测的唯一一家中国企业。

这并不容易。

筚路蓝缕

中关村软件园门前的两排白蜡树，陪伴了瀚思科技那段飞速成长的日子。时间线拉回到2015年8月，一个初秋的阴雨天。

瀚思科技创始人高瀚昭在办公室里，闭目静坐。就在5分钟前，他发送了一条约见某资深投资人的微信，本月的第N条，均未果。

这是距离2014年拿到天使轮后的第16个月。这16个月，对于瀚思或高瀚昭，都是漫长而煎熬的。

“通常A轮融资周期最长不过6个月，这确实超出了我的预期。”高瀚昭说。

要不要关停？关停后，客户怎么办？不关，入不敷出的业绩还能让公司撑多久？一连串难以抉择的问题在高瀚昭脑海里萦绕不散。

无奈之下，瀚思在这一年本着自愿的原则，裁去了三分之一的员工。当然，寻找投资人的脚步还在继续。

当时，2014年至2015年上半年，整个创投圈基本上都在投to C赛道。大部分人能听到的两个核心，一个叫O2O，另一个叫P2P。

“to C都是每个月增长，你们to B太慢了。”一位投资人告诉高瀚昭。

想融资，就必须要找到真正投to B的投资机构。有些机构看重业绩，偏产业资本背景;还有一类是财务投资人，比如美元基金，对于短期指标要求低一些，存续期较长，一般更看重5～7年内整个市场的规模。但偏偏信息安全市场才起步十年不到，行业里优先级意识尤为明显，留给一家初创企业的机会并不多。

在美国，企业安全赛道是第二大市场，于是，瀚思前后花了三四个月的时间找美元基金。为了适应美元基金的胃口，瀚思也曾试图想把故事讲大，讲得宏伟广阔，但事实上，大家都是聪明人。

后来发现，安全属性的企业在美国上市比国内更困难，于是，瀚思又转变思路，找人民币基金。

体量不大，但年增长可达30%～40%，在整个to B行业里，信息安全算是增长较快的细分赛道。另外，国内相关政策也在同步推进，将国外企业赛门铁克和卡巴斯基从政府安全软件供应商名单中剔除，安全系统国产化是大势所趋。几番游说，加上刚签约了一个标杆客户，几位目标投资人终于敲定了投资计划。

一直以来，企业对待信息安全的态度都十分被动，它们更习惯的做法是借助防火墙等工具垒成一堵高墙，阻挡外部黑客的攻击;对于新型攻击模式和技术，很难做到事前预警。

最后，是恒宝股份旗下基金、赛伯乐和南京高科三家联合投资的。换句话讲，投资人心里没有太大的把握，也希望分散些风险。

摸索门径

自1998年入行，高瀚昭已有近二十余年研发及运营经验，他心里很明白信息安全行业的阻力来自哪儿，无非商业价值和业绩。

一直以来，企业对待信息安全的态度都十分被动，它们更习惯的做法是借助防火墙等工具垒成一堵高墙，阻挡外部黑客的攻击;对于新型攻击模式和技术，很难做到事前预警。

当高瀚昭意识到，企业面对暗处的黑客总是“力不从心”时，就决心要另辟蹊径做调整。

第一步，找定位。他坚持认为，产品与客户的环境应该是相互结合的，而不仅仅只是去分析病毒，还原事件发生原委。由此，瀚思开始试着超前一步，在虚拟世界里安装一套“监控探针”，结合用户环境场景，实时监测可疑威胁动作，做不同维度的关联分析，解决企业客户真正的难题。

以某家头部保险公司为例。黑客想进入后台，偷些保单数据，通过瀚思用户行为分析系统（UBA），企业就可以通过对黑客搜寻轨迹和内部员工正常操作行为比对，第一时间针对蛛丝马迹分析、反馈并迅速拦截，为企业规避用户资产流失问题，让企业管理有的放矢，可防可控。

第二步，定战略。近年来，网络犯罪事件逐年增多，其中，金融领域信息泄露的案例不在少数。基于此背景，瀚思从金融、政府领域切入，将客户分成五个层级。从头部往大企业做，其次是中大企业，然后是中小企业，最后是小微企业。

这五层客户是按照诉求不同来区分的：特大型企业有先进的技术能力和优秀的团队，瀚思需要起到配合辅助作用，理解客户核心诉求和阶段性思路;大中型的企业有团队，需要的是引导;中型企业基本上以瀚思推动为主，需要标准化产品解决对应问题，更看重立竿见影的使用效果;到了教育、医疗等中小型企业，瀚思需要通过代理商去辅助触达，它们更关注合规性需求;而小微企业更看中的则是成本问题，软硬件怎么搭配。

“在以上两步中，瀚思足足交了两年的学费。”高瀚昭自嘲道。

2018年4月，瀚思推出一套标准化的用户行为分析HanSight UBA，可以从数据的采集、存储、传输、销毁、使用等各个阶段入手，用于实时监测并处理可能存在的风险。

撬开头部

作为B轮投资人，IDG资本副总裁邵辉表示，并不担心这家公司在产品和技术上的竞争力，他担心的是2B企业都会面临的共同问题——如何更好地卖出产品，打开头部市场。

从接触客户，把产品装入原有系统里，再根据公司数据分析验证，最后到完成销售，整个流程至少需要一年的时间。在服务过程中，消除用户质疑是最大的难点。

早期，客户安全意识较低，反馈积极性不高，瀚思经常因没有攻击而困扰，有些项目等了一两个月，才检测到一次攻击。对此效果，客户并不买账：“靠传统设备，发现攻击的频率更高，看不出瀚思的优越性。”最后，经过团队反复测试后发现，数据已经被其他现有产品拦截了。与大量同类竞品正面竞争，显然，并不是最佳选择。

“存量市场有限，增量机会尚存。”高瀚昭的直觉来自经验。

整个市场内，大部分信息安全公司均集中于解决移动安全或防火墙等单点问题，各家服务完全割裂，企业客户需要从不同厂商购买A、B、C、D甚至更多产品。所以，高瀚昭要做的是一个数据安全大脑，整合市面上的产品功能，为客户提供针对内外和外部攻击的全方面监测解决方案，通过叠加销售，最终实现价值最大化。

这也就意味着，瀚思不仅要监测黑客，解决用户环境适配的问题，还要应对与其他品牌产品的联结问题。各家品牌的产品良莠不齐，有黑白和彩色摄像头、分辨率差距悬殊的，更有识别频率不同的……

为了提高分析精度，瀚思做出了大胆的尝试：把历史攻击都当作实战训练试一遍，有针对性地训练实际防御能力。

“连续七八个月，技术团队的同事们都处于997的工作状态。”一名瀚思的创始成员回忆道。

凭借全场景安全平台的差异化打法，瀚思很快落地到招商银行、东方航空、国家开发银行、太平保险等近百个头部企业中。瀚思已经做到了知防知攻，保证90%客户在使用系统后，一周内监测到重大问题。

有一次测试过程中，客户的五六十套系统，几乎每一套系统都有问题。在给客户反馈时，刚开始讲前两个问题，对方面带笑容地说“你们干得不错”;讲到第二十个问题，对方就开始慌了，心里想“这么多问题”;到第三十个问题时，索性就把所有员工都召集过来，开始讨论接下来该怎么办。

谈起颇有成就感的小细节，高瀚昭的脸上挂满了欣慰的笑容。

同性相惜

此前，一位投资人在谈到安全领域的投资逻辑和投资要素时曾说：“to B企业，看中的是补短板、创造新场景价值和技术壁垒三方面的能力。”而瀚思也正在这条道路上砥砺前行。

2017年，世界级产品专家周奕加入，主抓产品国际化，提高瀚思在国际的品牌知名度;2019年，国际安全专家余凯加入，组建了瀚思的核心技术团队，平衡在攻防之间的技术侧重点，同时，帮助团队与国际ATT&CK（威胁模型）生态圈接轨;近期，前VM ware大客户事业部总经理宋林山加入，整合销售瀚思团队，调整营销打法。

用高瀚昭的话说，每上一个台阶，就需要更专业的人才加入。瀚思给每位成员提供了“纸上作画”的机会和平台。

至于，瀚思科技早期能成功的原因，或许就是它选择了一个别人不敢选的冷门赛道，却用大多数人不敢尝试的方式坚持下来了。

如今的瀚思，身披盛装，它的背后是光速中国、IDG、国科嘉和、毅达资本、赛伯乐、南京高科等一线投资机构，以及金融、能源、政府、制造、医疗等众多行业头部客户。

“这只是瀚思科技十几年研发经验的初释放。”高瀚昭说。

就在一个月前，瀚思科技从五环外的中关村软件园迁至二环东直门的核心商圈融汇国际大厦，门外依旧立了一排翠绿的白蜡树。

关于瀚思科技

成立时间

成立于2014年

融资情况

2014年4月，完成光速中国数百万元天使轮融资;

2016年3月，完成盛宇投资的Pre-A 轮投资，金额未披露;

2016年6月，完成由恒宝股份领投，南京高科、赛伯乐跟投的3000万元A轮融资;

2017年7月，完成由國科嘉和、IDG 资本领投，南京高科、苹果天使基金跟投的1亿元B轮融资;

2018年3月，完成毅达资本、瑞峰投资的1亿元B+轮融资;

2019年7月，完成奇虎360轮融资，金额未披露。