隨著技術(shù)的越加精進(jìn)，用戶數(shù)據(jù)成了最大的安全隱患，黑灰產(chǎn)業(yè)的發(fā)展規(guī)模也是在不斷地壯大，如何保障個人信息不被泄露，成了企業(yè)最大的難題。如今隨著人工智能技術(shù)的強大，數(shù)據(jù)自衛(wèi)反擊戰(zhàn)即將打響，在這場戰(zhàn)役中，AI可能成為最重要的新武器。

暗潮洶涌的互聯(lián)網(wǎng)數(shù)據(jù)世界，企業(yè)、用戶、黑灰產(chǎn)，三方互相鉗制，地位從不平等。用戶享受企業(yè)服務(wù)以個人數(shù)據(jù)輸出為代價，企業(yè)以龐大的用戶數(shù)據(jù)為依托擴大生產(chǎn)。而黑灰產(chǎn)業(yè)一方面通過企業(yè)竊取數(shù)據(jù)騷擾用戶，一方面又以關(guān)鍵數(shù)據(jù)要挾企業(yè)。

在如此復(fù)雜的關(guān)系中，唯有一點可以確定，個人信息的泄露，源頭是采集我們信息的企業(yè)。

當(dāng)然有人會這樣說，“我們的個人信息被泄露濫用，一句道歉也沒收到?！痹跀?shù)據(jù)失竊這件事上，企業(yè)確實存在問題，但也是受害者。好處在于，這種問題逼著企業(yè)不得不更加關(guān)注用戶的數(shù)據(jù)安全。

2017年ISC大會主題是“萬物皆變，人是安全的尺度”，在我理解，數(shù)據(jù)安全要以保障用戶利益為出發(fā)點，當(dāng)然企業(yè)的數(shù)據(jù)防護(hù)并不一定出于這樣的目的。無論如何，企業(yè)認(rèn)識到網(wǎng)絡(luò)安全應(yīng)”以人為本“是件好事。

那么當(dāng)我們的個人數(shù)據(jù)被收錄到企業(yè)的數(shù)據(jù)庫中，究竟面臨著哪些風(fēng)險呢？

企業(yè)管理漏洞：16年，Uber員工無意間將服務(wù)器登陸證書上傳到了開放社區(qū)，導(dǎo)致泄露5700萬用戶和司機的個人信息。

惡意員工：坊間傳言，在很多教育培訓(xùn)機構(gòu)中，員工離職后帶走用戶數(shù)據(jù)打包賣給競爭對手和黑產(chǎn)。

黑客入侵：黑客通過病毒和釣魚軟件入侵并感染企業(yè)終端，竊取用戶數(shù)據(jù)。

各項互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的今天，數(shù)據(jù)安全技術(shù)是不是也該有些新思路？

帶著這樣的疑問，我在1月12日參加了中國企業(yè)和個人數(shù)據(jù)安全技術(shù)大會。會上天空衛(wèi)士發(fā)布了他們的數(shù)據(jù)防泄漏產(chǎn)品，一番技術(shù)推論和介紹下來頗有啟發(fā)，于是大致分析了下他們的技術(shù)思路。

簡單來講，在企業(yè)內(nèi)部產(chǎn)生的數(shù)據(jù)泄露，無論是出于惡意竊取，還是遭受到黑客攻擊，一定會有一些特定的行為動作。換言之，想要獲得數(shù)據(jù)就一定會有訪問、獲取、外送的行為體現(xiàn)。如果能夠識別這些行為就能源頭上把控住數(shù)據(jù)，任黑客長有三頭六臂恐怕也無從施展。

實際上，這場數(shù)據(jù)攻防戰(zhàn)像極了諜戰(zhàn)片，間諜想盡辦法從紅方獲取情報，通過信件、暗號、無線電波，隱瞞行蹤和真實意圖，拼了老命要傳達(dá)給藍(lán)方。而紅方要從蛛絲馬跡中找出間諜的行蹤，阻止他泄露情報。天空衛(wèi)士的內(nèi)部威脅防護(hù)體系（以下簡稱ITP）就是在完成挖出間諜阻斷數(shù)據(jù)傳輸?shù)娜蝿?wù)。

但是，如果機械的攔截所有可疑文件，會影響企業(yè)正常數(shù)據(jù)往來，因此如何提高攔截精準(zhǔn)度是ITP體系面臨的首要難題。

因此在ITP體系中，第一個技術(shù)支撐，就是利用AI（人工智能）進(jìn)行行為分析，判斷用戶行為的危險系數(shù)，進(jìn)而實現(xiàn)高精度攔截。

這件事就像是女朋友的第六感，想象一下，你陪女朋友逛街，路遇一個長發(fā)白裙的小姐姐，你只用“旁光”掃了一眼，結(jié)局卻十分悲慘。ITP體系大體就是做成了這樣一件事。一套技術(shù)體系能進(jìn)化出女朋友的神技，聽起來十分的神奇，但其實就是在捕捉用戶行為，進(jìn)行邏輯判斷。具體的判斷過程，下面通過應(yīng)用場景介紹一下。

為了表述更加生動，我們用一個故事來說明。

某一企業(yè)內(nèi)部面臨著數(shù)據(jù)失竊的威脅：一名黑客感染了公司電腦想要竊取數(shù)據(jù)。他要像超級瑪麗一樣，通過重重關(guān)卡偷走龍騎士的公主。

黑客操縱著被感染的電腦，上網(wǎng)訪問黑客指揮中心，獲取攻擊指令或下載惡意攻擊工具。

這類行為可以歸為間接威脅，ITP體系中的Web安全網(wǎng)關(guān)（ASWG）這時會捕捉到它，但因為并沒有抓到偷竊數(shù)據(jù)的把柄，所以不會直接斷網(wǎng)攔截，而是生成行為日志發(fā)送到ITP的人工智能大腦（以下簡稱ITM）處理中心，提醒ITM有人下載惡意工具，要對他提高警惕。

接下來黑客操控這臺電腦訪問企業(yè)共享文件夾，拖取數(shù)據(jù)敏感文件，例如員工通訊錄、企業(yè)關(guān)鍵數(shù)據(jù)信息到電腦硬盤上。

這時因為涉及敏感文件下載，會觸發(fā)防泄漏終端發(fā)出安全警報，再次生成行為日志儲存到ITM智能大腦，這時ITM就掌握了兩條警報線索，開始時刻關(guān)注這名用戶的動向。

黑客拿到數(shù)據(jù)后必然要輸送出去，但他對ITP防護(hù)體系并無防備，不清楚自己已經(jīng)被ITM智能大腦盯上了，傻乎乎的采用明文外送來傳輸文件。

首先，部署在公司內(nèi)網(wǎng)中的DLP網(wǎng)關(guān)會發(fā)揮作用，對涉及敏感數(shù)據(jù)的明文文件進(jìn)行攔截，隨后發(fā)送事件報告到ITM智能大腦中。DLP網(wǎng)關(guān)發(fā)送出來的事件報告因為直接涉及數(shù)據(jù)失竊，會被確定為一個高危事件。ITM智能大腦根據(jù)事件報告，將黑客認(rèn)定為10級（最高危險等級）危險用戶，并對內(nèi)網(wǎng)中相似的上網(wǎng)和下載行為做統(tǒng)計分析，分析行為路徑與它相同的用戶會被評級為7以上的危險級別（DLP網(wǎng)關(guān)會對7以上行為進(jìn)行攔截）。

這時，黑客發(fā)現(xiàn)這臺設(shè)備無法發(fā)送數(shù)據(jù)，意識到DLP網(wǎng)關(guān)在對他進(jìn)行攔截，從而轉(zhuǎn)變策咯，換臺電腦通過將敏感文件加密的方式傳輸出去。

如果沒有ITM智能大腦分析的話，DLP網(wǎng)關(guān)是不能阻斷的，因為公司業(yè)務(wù)往來也會應(yīng)用到加密文件，但是因為有了上述ITM對相似行為的分析評級，DPL接收到了危險級別7以上的指令，這些加密文件也會受到阻斷。

此時黑客一定氣急敗壞了，“加密都能識別出來，那我用自己編碼的文件發(fā)送”，當(dāng)然DLP網(wǎng)關(guān)是無法識別自編碼文件的。

但是與加密文件同理，ITM智能大腦通過對黑客下載攻擊工具，以及獲取敏感數(shù)據(jù)的行為做出分析從而給出評級，任何評級高出7的電腦都無法發(fā)送未知文件（編碼文件一定是未知文件）。

這名黑客會發(fā)現(xiàn)以上任何辦法都無法傳輸文件。ITM大腦通過行為分析一口咬住了他，不管怎么變換手法都無法盜竊成功。

以上對整個ITP體系在內(nèi)部威脅場景下的描述，ITP體系中ITM大腦與Web安全網(wǎng)關(guān)、防泄漏終端以及DLP網(wǎng)關(guān)之間緊密協(xié)作。在黑客暴露出竊取數(shù)據(jù)的意圖時，緊緊把住了數(shù)據(jù)外泄的出口，任憑黑客在內(nèi)網(wǎng)中手法千變?nèi)f化，ITM智能大腦仿佛掌握了火眼金睛。

不可否認(rèn)，通過AI進(jìn)行行為分析的防衛(wèi)方式確實大大提高了企業(yè)數(shù)據(jù)防護(hù)的效率。盡管如此，也沒有任何一項技術(shù)能夠做到百分百的防護(hù)。

回到文章開頭，企業(yè)應(yīng)該在數(shù)據(jù)安全中要承擔(dān)什么樣的角色，我想，既不該是數(shù)據(jù)的擁有者，也不單是數(shù)據(jù)泄露后的責(zé)任方，而應(yīng)該成為保衛(wèi)用戶數(shù)據(jù)安全的先鋒力量。