隨著技術(shù)的越加精進(jìn)，用戶數(shù)據(jù)成了最大的安全隱患，黑灰產(chǎn)業(yè)的發(fā)展規(guī)模也是在不斷地壯大，如何保障個(gè)人信息不被泄露，成了企業(yè)最大的難題。如今隨著人工智能技術(shù)的強(qiáng)大，數(shù)據(jù)自衛(wèi)反擊戰(zhàn)即將打響，在這場(chǎng)戰(zhàn)役中，AI可能成為最重要的新武器。

暗潮洶涌的互聯(lián)網(wǎng)數(shù)據(jù)世界，企業(yè)、用戶、黑灰產(chǎn)，三方互相鉗制，地位從不平等。用戶享受企業(yè)服務(wù)以個(gè)人數(shù)據(jù)輸出為代價(jià)，企業(yè)以龐大的用戶數(shù)據(jù)為依托擴(kuò)大生產(chǎn)。而黑灰產(chǎn)業(yè)一方面通過企業(yè)竊取數(shù)據(jù)騷擾用戶，一方面又以關(guān)鍵數(shù)據(jù)要挾企業(yè)。

在如此復(fù)雜的關(guān)系中，唯有一點(diǎn)可以確定，個(gè)人信息的泄露，源頭是采集我們信息的企業(yè)。

當(dāng)然有人會(huì)這樣說，“我們的個(gè)人信息被泄露濫用，一句道歉也沒收到?！痹跀?shù)據(jù)失竊這件事上，企業(yè)確實(shí)存在問題，但也是受害者。好處在于，這種問題逼著企業(yè)不得不更加關(guān)注用戶的數(shù)據(jù)安全。

2017年ISC大會(huì)主題是“萬物皆變，人是安全的尺度”，在我理解，數(shù)據(jù)安全要以保障用戶利益為出發(fā)點(diǎn)，當(dāng)然企業(yè)的數(shù)據(jù)防護(hù)并不一定出于這樣的目的。無論如何，企業(yè)認(rèn)識(shí)到網(wǎng)絡(luò)安全應(yīng)”以人為本“是件好事。

那么當(dāng)我們的個(gè)人數(shù)據(jù)被收錄到企業(yè)的數(shù)據(jù)庫中，究竟面臨著哪些風(fēng)險(xiǎn)呢？

企業(yè)管理漏洞：16年，Uber員工無意間將服務(wù)器登陸證書上傳到了開放社區(qū)，導(dǎo)致泄露5700萬用戶和司機(jī)的個(gè)人信息。

惡意員工：坊間傳言，在很多教育培訓(xùn)機(jī)構(gòu)中，員工離職后帶走用戶數(shù)據(jù)打包賣給競(jìng)爭(zhēng)對(duì)手和黑產(chǎn)。

黑客入侵：黑客通過病毒和釣魚軟件入侵并感染企業(yè)終端，竊取用戶數(shù)據(jù)。

各項(xiàng)互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的今天，數(shù)據(jù)安全技術(shù)是不是也該有些新思路？

帶著這樣的疑問，我在1月12日參加了中國企業(yè)和個(gè)人數(shù)據(jù)安全技術(shù)大會(huì)。會(huì)上天空衛(wèi)士發(fā)布了他們的數(shù)據(jù)防泄漏產(chǎn)品，一番技術(shù)推論和介紹下來頗有啟發(fā)，于是大致分析了下他們的技術(shù)思路。

簡(jiǎn)單來講，在企業(yè)內(nèi)部產(chǎn)生的數(shù)據(jù)泄露，無論是出于惡意竊取，還是遭受到黑客攻擊，一定會(huì)有一些特定的行為動(dòng)作。換言之，想要獲得數(shù)據(jù)就一定會(huì)有訪問、獲取、外送的行為體現(xiàn)。如果能夠識(shí)別這些行為就能源頭上把控住數(shù)據(jù)，任黑客長有三頭六臂恐怕也無從施展。

實(shí)際上，這場(chǎng)數(shù)據(jù)攻防戰(zhàn)像極了諜戰(zhàn)片，間諜想盡辦法從紅方獲取情報(bào)，通過信件、暗號(hào)、無線電波，隱瞞行蹤和真實(shí)意圖，拼了老命要傳達(dá)給藍(lán)方。而紅方要從蛛絲馬跡中找出間諜的行蹤，阻止他泄露情報(bào)。天空衛(wèi)士的內(nèi)部威脅防護(hù)體系（以下簡(jiǎn)稱ITP）就是在完成挖出間諜阻斷數(shù)據(jù)傳輸?shù)娜蝿?wù)。

但是，如果機(jī)械的攔截所有可疑文件，會(huì)影響企業(yè)正常數(shù)據(jù)往來，因此如何提高攔截精準(zhǔn)度是ITP體系面臨的首要難題。

因此在ITP體系中，第一個(gè)技術(shù)支撐，就是利用AI（人工智能）進(jìn)行行為分析，判斷用戶行為的危險(xiǎn)系數(shù)，進(jìn)而實(shí)現(xiàn)高精度攔截。

這件事就像是女朋友的第六感，想象一下，你陪女朋友逛街，路遇一個(gè)長發(fā)白裙的小姐姐，你只用“旁光”掃了一眼，結(jié)局卻十分悲慘。ITP體系大體就是做成了這樣一件事。一套技術(shù)體系能進(jìn)化出女朋友的神技，聽起來十分的神奇，但其實(shí)就是在捕捉用戶行為，進(jìn)行邏輯判斷。具體的判斷過程，下面通過應(yīng)用場(chǎng)景介紹一下。

為了表述更加生動(dòng)，我們用一個(gè)故事來說明。

某一企業(yè)內(nèi)部面臨著數(shù)據(jù)失竊的威脅：一名黑客感染了公司電腦想要竊取數(shù)據(jù)。他要像超級(jí)瑪麗一樣，通過重重關(guān)卡偷走龍騎士的公主。

黑客操縱著被感染的電腦，上網(wǎng)訪問黑客指揮中心，獲取攻擊指令或下載惡意攻擊工具。

這類行為可以歸為間接威脅，ITP體系中的Web安全網(wǎng)關(guān)（ASWG）這時(shí)會(huì)捕捉到它，但因?yàn)椴]有抓到偷竊數(shù)據(jù)的把柄，所以不會(huì)直接斷網(wǎng)攔截，而是生成行為日志發(fā)送到ITP的人工智能大腦（以下簡(jiǎn)稱ITM）處理中心，提醒ITM有人下載惡意工具，要對(duì)他提高警惕。

接下來黑客操控這臺(tái)電腦訪問企業(yè)共享文件夾，拖取數(shù)據(jù)敏感文件，例如員工通訊錄、企業(yè)關(guān)鍵數(shù)據(jù)信息到電腦硬盤上。

這時(shí)因?yàn)樯婕懊舾形募螺d，會(huì)觸發(fā)防泄漏終端發(fā)出安全警報(bào)，再次生成行為日志儲(chǔ)存到ITM智能大腦，這時(shí)ITM就掌握了兩條警報(bào)線索，開始時(shí)刻關(guān)注這名用戶的動(dòng)向。

黑客拿到數(shù)據(jù)后必然要輸送出去，但他對(duì)ITP防護(hù)體系并無防備，不清楚自己已經(jīng)被ITM智能大腦盯上了，傻乎乎的采用明文外送來傳輸文件。

首先，部署在公司內(nèi)網(wǎng)中的DLP網(wǎng)關(guān)會(huì)發(fā)揮作用，對(duì)涉及敏感數(shù)據(jù)的明文文件進(jìn)行攔截，隨后發(fā)送事件報(bào)告到ITM智能大腦中。DLP網(wǎng)關(guān)發(fā)送出來的事件報(bào)告因?yàn)橹苯由婕皵?shù)據(jù)失竊，會(huì)被確定為一個(gè)高危事件。ITM智能大腦根據(jù)事件報(bào)告，將黑客認(rèn)定為10級(jí)（最高危險(xiǎn)等級(jí)）危險(xiǎn)用戶，并對(duì)內(nèi)網(wǎng)中相似的上網(wǎng)和下載行為做統(tǒng)計(jì)分析，分析行為路徑與它相同的用戶會(huì)被評(píng)級(jí)為7以上的危險(xiǎn)級(jí)別（DLP網(wǎng)關(guān)會(huì)對(duì)7以上行為進(jìn)行攔截）。

這時(shí)，黑客發(fā)現(xiàn)這臺(tái)設(shè)備無法發(fā)送數(shù)據(jù)，意識(shí)到DLP網(wǎng)關(guān)在對(duì)他進(jìn)行攔截，從而轉(zhuǎn)變策咯，換臺(tái)電腦通過將敏感文件加密的方式傳輸出去。

如果沒有ITM智能大腦分析的話，DLP網(wǎng)關(guān)是不能阻斷的，因?yàn)楣緲I(yè)務(wù)往來也會(huì)應(yīng)用到加密文件，但是因?yàn)橛辛松鲜鯥TM對(duì)相似行為的分析評(píng)級(jí)，DPL接收到了危險(xiǎn)級(jí)別7以上的指令，這些加密文件也會(huì)受到阻斷。

此時(shí)黑客一定氣急敗壞了，“加密都能識(shí)別出來，那我用自己編碼的文件發(fā)送”，當(dāng)然DLP網(wǎng)關(guān)是無法識(shí)別自編碼文件的。

但是與加密文件同理，ITM智能大腦通過對(duì)黑客下載攻擊工具，以及獲取敏感數(shù)據(jù)的行為做出分析從而給出評(píng)級(jí)，任何評(píng)級(jí)高出7的電腦都無法發(fā)送未知文件（編碼文件一定是未知文件）。

這名黑客會(huì)發(fā)現(xiàn)以上任何辦法都無法傳輸文件。ITM大腦通過行為分析一口咬住了他，不管怎么變換手法都無法盜竊成功。

以上對(duì)整個(gè)ITP體系在內(nèi)部威脅場(chǎng)景下的描述，ITP體系中ITM大腦與Web安全網(wǎng)關(guān)、防泄漏終端以及DLP網(wǎng)關(guān)之間緊密協(xié)作。在黑客暴露出竊取數(shù)據(jù)的意圖時(shí)，緊緊把住了數(shù)據(jù)外泄的出口，任憑黑客在內(nèi)網(wǎng)中手法千變?nèi)f化，ITM智能大腦仿佛掌握了火眼金睛。

不可否認(rèn)，通過AI進(jìn)行行為分析的防衛(wèi)方式確實(shí)大大提高了企業(yè)數(shù)據(jù)防護(hù)的效率。盡管如此，也沒有任何一項(xiàng)技術(shù)能夠做到百分百的防護(hù)。

回到文章開頭，企業(yè)應(yīng)該在數(shù)據(jù)安全中要承擔(dān)什么樣的角色，我想，既不該是數(shù)據(jù)的擁有者，也不單是數(shù)據(jù)泄露后的責(zé)任方，而應(yīng)該成為保衛(wèi)用戶數(shù)據(jù)安全的先鋒力量。