打响数据安全保卫战 AI或成数据安全先锋力量

随着技术的越加精进，用户数据成了最大的安全隐患，黑灰产业的发展规模也是在不断地壮大，如何保障个人信息不被泄露，成了企业最大的难题。如今随着人工智能技术的强大，数据自卫反击战即将打响，在这场战役中，AI可能成为最重要的新武器。

暗潮汹涌的互联网数据世界，企业、用户、黑灰产，三方互相钳制，地位从不平等。用户享受企业服务以个人数据输出为代价，企业以庞大的用户数据为依托扩大生产。而黑灰产业一方面通过企业窃取数据骚扰用户，一方面又以关键数据要挟企业。

在如此复杂的关系中，唯有一点可以确定，个人信息的泄露，源头是采集我们信息的企业。

当然有人会这样说，“我们的个人信息被泄露滥用，一句道歉也没收到。”在数据失窃这件事上，企业确实存在问题，但也是受害者。好处在于，这种问题逼着企业不得不更加关注用户的数据安全。

2017年ISC大会主题是“万物皆变，人是安全的尺度”，在我理解，数据安全要以保障用户利益为出发点，当然企业的数据防护并不一定出于这样的目的。无论如何，企业认识到网络安全应”以人为本“是件好事。

那么当我们的个人数据被收录到企业的数据库中，究竟面临着哪些风险呢？

企业管理漏洞：16年，Uber员工无意间将服务器登陆证书上传到了开放社区，导致泄露5700万用户和司机的个人信息。

恶意员工：坊间传言，在很多教育培训机构中，员工离职后带走用户数据打包卖给竞争对手和黑产。

黑客入侵：黑客通过病毒和钓鱼软件入侵并感染企业终端，窃取用户数据。

各项互联网技术飞速发展的今天，数据安全技术是不是也该有些新思路？

带着这样的疑问，我在1月12日参加了中国企业和个人数据安全技术大会。会上天空卫士发布了他们的数据防泄漏产品，一番技术推论和介绍下来颇有启发，于是大致分析了下他们的技术思路。

简单来讲，在企业内部产生的数据泄露，无论是出于恶意窃取，还是遭受到黑客攻击，一定会有一些特定的行为动作。换言之，想要获得数据就一定会有访问、获取、外送的行为体现。如果能够识别这些行为就能源头上把控住数据，任黑客长有三头六臂恐怕也无从施展。

实际上，这场数据攻防战像极了谍战片，间谍想尽办法从红方获取情报，通过信件、暗号、无线电波，隐瞒行踪和真实意图，拼了老命要传达给蓝方。而红方要从蛛丝马迹中找出间谍的行踪，阻止他泄露情报。天空卫士的内部威胁防护体系（以下简称ITP）就是在完成挖出间谍阻断数据传输的任务。

但是，如果机械的拦截所有可疑文件，会影响企业正常数据往来，因此如何提高拦截精准度是ITP体系面临的首要难题。

因此在ITP体系中，第一个技术支撑，就是利用AI（人工智能）进行行为分析，判断用户行为的危险系数，进而实现高精度拦截。

这件事就像是女朋友的第六感，想象一下，你陪女朋友逛街，路遇一个长发白裙的小姐姐，你只用“旁光”扫了一眼，结局却十分悲惨。ITP体系大体就是做成了这样一件事。一套技术体系能进化出女朋友的神技，听起来十分的神奇，但其实就是在捕捉用户行为，进行逻辑判断。具体的判断过程，下面通过应用场景介绍一下。

为了表述更加生动，我们用一个故事来说明。

某一企业内部面临着数据失窃的威胁：一名黑客感染了公司电脑想要窃取数据。他要像超级玛丽一样，通过重重关卡偷走龙骑士的公主。

黑客操纵着被感染的电脑，上网访问黑客指挥中心，获取攻击指令或下载恶意攻击工具。

这类行为可以归为间接威胁，ITP体系中的Web安全网关（ASWG）这时会捕捉到它，但因为并没有抓到偷窃数据的把柄，所以不会直接断网拦截，而是生成行为日志发送到ITP的人工智能大脑（以下简称ITM）处理中心，提醒ITM有人下载恶意工具，要对他提高警惕。

接下来黑客操控这台电脑访问企业共享文件夹，拖取数据敏感文件，例如员工通讯录、企业关键数据信息到电脑硬盘上。

这时因为涉及敏感文件下载，会触发防泄漏终端发出安全警报，再次生成行为日志储存到ITM智能大脑，这时ITM就掌握了两条警报线索，开始时刻关注这名用户的动向。

黑客拿到数据后必然要输送出去，但他对ITP防护体系并无防备，不清楚自己已经被ITM智能大脑盯上了，傻乎乎的采用明文外送来传输文件。

首先，部署在公司内网中的DLP网关会发挥作用，对涉及敏感数据的明文文件进行拦截，随后发送事件报告到ITM智能大脑中。DLP网关发送出来的事件报告因为直接涉及数据失窃，会被确定为一个高危事件。ITM智能大脑根据事件报告，将黑客认定为10级（最高危险等级）危险用户，并对内网中相似的上网和下载行为做统计分析，分析行为路径与它相同的用户会被评级为7以上的危险级别（DLP网关会对7以上行为进行拦截）。

这时，黑客发现这台设备无法发送数据，意识到DLP网关在对他进行拦截，从而转变策咯，换台电脑通过将敏感文件加密的方式传输出去。

如果没有ITM智能大脑分析的话，DLP网关是不能阻断的，因为公司业务往来也会应用到加密文件，但是因为有了上述ITM对相似行为的分析评级，DPL接收到了危险级别7以上的指令，这些加密文件也会受到阻断。

此时黑客一定气急败坏了，“加密都能识别出来，那我用自己编码的文件发送”，当然DLP网关是无法识别自编码文件的。

但是与加密文件同理，ITM智能大脑通过对黑客下载攻击工具，以及获取敏感数据的行为做出分析从而给出评级，任何评级高出7的电脑都无法发送未知文件（编码文件一定是未知文件）。

这名黑客会发现以上任何办法都无法传输文件。ITM大脑通过行为分析一口咬住了他，不管怎么变换手法都无法盗窃成功。

以上对整个ITP体系在内部威胁场景下的描述，ITP体系中ITM大脑与Web安全网关、防泄漏终端以及DLP网关之间紧密协作。在黑客暴露出窃取数据的意图时，紧紧把住了数据外泄的出口，任凭黑客在内网中手法千变万化，ITM智能大脑仿佛掌握了火眼金睛。

不可否认，通过AI进行行为分析的防卫方式确实大大提高了企业数据防护的效率。尽管如此，也没有任何一项技术能够做到百分百的防护。

回到文章开头，企业应该在数据安全中要承担什么样的角色，我想，既不该是数据的拥有者，也不单是数据泄露后的责任方，而应该成为保卫用户数据安全的先锋力量。