數據自衛反擊戰，AI可能成為新武器

你有沒有這種感覺

時常會在app、社交平台輸入些個人信息

過後具體填了什麼都忘了

卻總會收到些莫名其妙的簡訊電話

對方甚至能報出你的名號和家庭住址

想來想去不記得怎麼透露出去的，透露給了誰

暗潮洶湧的互聯網數據世界，企業、用戶、黑灰產，三方互相鉗制，地位從不平等。

用戶享受企業服務以個人數據輸出為代價

企業以龐大的用戶數據為依託擴大生產

而黑灰產業一方面通過企業竊取數據騷擾用戶，一方面又以關鍵數據要挾企業

在如此複雜的關係中，唯有一點可以確定，個人信息的泄露，源頭是採集我們信息的企業。

當然有人會這樣說，「我們的個人信息被泄露濫用，一句道歉也沒收到。」在數據失竊這件事上，企業確實存在問題，但也是受害者。好處在於，這種問題逼著企業不得不更加關注用戶的數據安全。

2017年ISC大會主題是「萬物皆變，人是安全的尺度」,在我理解，數據安全要以保障用戶利益為出發點，當然企業的數據防護並不一定出於這樣的目的。無論如何，企業認識到網路安全應」以人為本「是件好事。

那麼當我們的個人數據被收錄到企業的資料庫中，究竟面臨著哪些風險呢？

企業管理漏洞：16年，Uber員工無意間將伺服器登陸證書上傳到了開放社區，導致泄露5700萬用戶和司機的個人信息。

惡意員工：坊間傳言，在很多教育培訓機構中，員工離職後帶走用戶數據打包賣給競爭對手和黑產。

黑客入侵：黑客通過病毒和釣魚軟體入侵併感染企業終端，竊取用戶數據。

各項互聯網技術飛速發展的今天，數據安全技術是不是也該有些新思路？

帶著這樣的疑問，我在1月12日參加了中國企業和個人數據安全技術大會。會上天空衛士發布了他們的數據防泄漏產品，一番技術推論和介紹下來頗有啟發，於是大致分析了下他們的技術思路。

簡單來講，在企業內部產生的數據泄露，無論是出於惡意竊取，還是遭受到黑客攻擊，一定會有一些特定的行為動作。換言之，想要獲得數據就一定會有訪問、獲取、外送的行為體現。如果能夠識別這些行為就能源頭上把控住數據，任黑客長有三頭六臂恐怕也無從施展。

實際上，這場數據攻防戰像極了諜戰片，間諜想盡辦法從紅方獲取情報，通過信件、暗號、無線電波，隱瞞行蹤和真實意圖，拼了老命要傳達給藍方。而紅方要從蛛絲馬跡中找出間諜的行蹤，阻止他泄露情報。天空衛士的內部威脅防護體系（以下簡稱ITP）就是在完成挖出間諜阻斷數據傳輸的任務。

但是，如果機械的攔截所有可疑文件，會影響企業正常數據往來，因此如何提高攔截精準度是ITP體系面臨的首要難題。

因此在ITP體系中，第一個技術支撐，就是利用AI（人工智慧）進行行為分析，判斷用戶行為的危險係數，進而實現高精度攔截。

這件事就像是女朋友的第六感，想像一下，你陪女朋友逛街，路遇一個長發白裙的小姐姐，你只用「旁光」掃了一眼，結局卻十分悲慘。ITP體系大體就是做成了這樣一件事。一套技術體系能進化出女朋友的神技，聽起來十分的神奇，但其實就是在捕捉用戶行為，進行邏輯判斷。具體的判斷過程，下面通過應用場景介紹一下。

為了表述更加生動，我們用一個故事來說明。

某一企業內部面臨著數據失竊的威脅：一名黑客感染了公司電腦想要竊取數據。他要像超級瑪麗一樣，通過重重關卡偷走龍騎士的公主。

ROUND

1

黑客操縱著被感染的電腦，上網訪問黑客指揮中心，獲取攻擊指令或下載惡意攻擊工具。

這類行為可以歸為間接威脅，ITP體系中的Web安全網關（ASWG）這時會捕捉到它，但因為並沒有抓到偷竊數據的把柄，所以不會直接斷網攔截，而是生成行為日誌發送到ITP的人工智慧大腦（以下簡稱ITM）處理中心，提醒ITM有人下載惡意工具，要對他提高警惕。

ROUND

2

接下來黑客操控這台電腦訪問企業共享文件夾，拖取數據敏感文件，例如員工通訊錄、企業關鍵數據信息到電腦硬碟上。

這時因為涉及敏感文件下載，會觸發防泄漏終端發出安全警報，再次生成行為日誌儲存到ITM智能大腦，這時ITM就掌握了兩條警報線索，開始時刻關注這名用戶的動向。

ROUND

3

黑客拿到數據後必然要輸送出去，但他對ITP防護體系並無防備，不清楚自己已經被ITM智能大腦盯上了，傻乎乎的採用明文外送來傳輸文件。

首先，部署在公司內網中的DLP網關會發揮作用，對涉及敏感數據的明文文件進行攔截，隨後發送事件報告到ITM智能大腦中。DLP網關發送出來的事件報告因為直接涉及數據失竊，會被確定為一個高危事件。ITM智能大腦根據事件報告，將黑客認定為10級（最高危險等級）危險用戶，並對內網中相似的上網和下載行為做統計分析，分析行為路徑與它相同的用戶會被評級為7以上的危險級別（DLP網關會對7以上行為進行攔截）。

ROUND

4

這時，黑客發現這台設備無法發送數據，意識到DLP網關在對他進行攔截，從而轉變策咯，換台電腦通過將敏感文件加密的方式傳輸出去。

如果沒有ITM智能大腦分析的話，DLP網關是不能阻斷的，因為公司業務往來也會應用到加密文件，但是因為有了上述ITM對相似行為的分析評級，DPL接收到了危險級別7以上的指令，這些加密文件也會受到阻斷。

ROUND

5

此時黑客一定氣急敗壞了，「加密都能識別出來，那我用自己編碼的文件發送」，當然DLP網關是無法識別自編碼文件的。

但是與加密文件同理，ITM智能大腦通過對黑客下載攻擊工具，以及獲取敏感數據的行為做出分析從而給出評級，任何評級高出7的電腦都無法發送未知文件（編碼文件一定是未知文件）。

這名黑客會發現以上任何辦法都無法傳輸文件。ITM大腦通過行為分析一口咬住了他，不管怎麼變換手法都無法盜竊成功。

GAME OVER

以上對整個ITP體系在內部威脅場景下的描述，ITP體系中ITM大腦與Web安全網關、防泄漏終端以及DLP網關之間緊密協作。在黑客暴露出竊取數據的意圖時，緊緊把住了數據外泄的出口，任憑黑客在內網中手法千變萬化，ITM智能大腦彷彿掌握了火眼金睛。

不可否認，通過AI進行行為分析的防衛方式確實大大提高了企業數據防護的效率。儘管如此，也沒有任何一項技術能夠做到百分百的防護。

回到文章開頭，企業應該在數據安全中要承擔什麼樣的角色，我想，既不該是數據的擁有者，也不單是數據泄露後的責任方，而應該成為保衛用戶數據安全的先鋒力量。

淺黑科技，讓技術被讀懂

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！