数据防护—打败来自“未知”的恐惧

文|高宁@浅黑科技

假设把互联网描述成一个巨人，那么在大数据时代以前，恐怕这头巨人还在爬行行进。

大约10年以前，大数据的崛起打通了巨人的任督二脉。

短短10年，大数据催动着巨人迈开步子急速奔跑。但诸多经脉症结隐于血肉之下，让巨人的脚步有些踉跄。

在我看来，最深层的恐惧来自于未知。

想象一下，你身披铠甲、手握长矛警觉提防着暗处的朋友，横空飞来的弩箭瞄准铠甲的接缝，精准的刺伤了你暴露在外的皮肤，剧痛当时你勉强回身，朋友却再次隐入黑暗之中。

大数据防护常常处于这种恐惧中。

为了探清这些要挟和能够的处理办法，3月底的一天，我参与了瀚思科技的见面会。

（画面中的女子是瀚思VP周奕）

周奕通知我，防卫的前提是摸清朋友防御的路数。我想，真正的高手过招大致如此。

悄然变化的数据要挟

“放之四海皆准的攻击办法曾经越来越少了”，周奕如是说。

我们无妨把事情讲的更严重些，当大家都认同数据价值的时分，数据就像一块流油的肥肉，周遭必定虎狼环伺。

而随同着数据价值的飙升，相似讹诈病毒这种广撒网的攻击方式变少了，取而代之的是放长线钓大鱼。

数据要挟的方式为何发作变化？

或许我们能从讹诈病毒Wannacry中窥见一斑。

2017年影响最大的Wannacry数据讹诈事情，据统计，全球近20w台电脑中招，讹诈赎金每台300美元，听起来一定赚了个盆满钵满。但预先统计，总共收到比特币赎金11w美元。

关于一个全球迸发的病毒来说，这点钱真实不多，更风趣的是赎金是用比特币领取的，由于怕被追踪到，攻击者实践上一分钱都没敢提出来用。

所以，折腾了半天，攻击者一分钱也没拿到。

值得揣摩一下，Wannacry为什么没有赚到钱？

恐怕与技术手腕有关，攻击者选错了目的，没有要挟到太低价值的数据。

换句话说，谁也不会花大价钱赎硬盘里的小黄片。

黑产的触觉非常灵敏，他们的目的很快转向了更具价值的企业数据。

与黑产临时的妥协让周奕非常理解他的对手。

“为了拿下低价的企业数据，黑产做了更多的功课”

风趣的是，虽然我们常常将数据泄露与黑客大战联络起来，但理想中的泄露案件要猥琐的多。

举个例子，大少数时分黑产想要获取秘密数据，不用大费周章的攻破效劳器，只需偷到登录权限就可以。

而掌握中心数据的往往是管理层，这意味着攻击会变得目的性很强，攻击者会破费很多工夫在高管身上做“社工”，目的能够只是盗取邮箱登录权限。

而我们不得不供认大家都不是很注重这些信息的防护。

以有心算无意，中招者自然遍地都是。

企业的担忧是什么

现实上，企业在数据防护上是花了大价钱的。

想象一下，你的公司刚刚做了一个严重的战略决策转眼就被竞争对手得悉，或许某项研发的关键数据悄无声息的流向黑市。利益损失自然不用多提，严重者会对公司形成消灭性的打击。

而传统的防护机制，无外乎网络防火墙、内网隔离，先不管技术上能否过关，恐怕这类防护机制从理念上就与理想状况脱了节。

（美国某威望机构关于数据泄露的统计数据）

从这组数据不难发现，透过传统网络攻击获取高管或特权账号，从而形成数据泄露的状况，只占全体的百分之十。

这意味着企业的传统防护机制并不能无效避免数据泄露。

换句话说，最严重的要挟往往来自外部人员的疏漏，或许是本人人的歹意行为。

所以摆在企业面前的成绩不只仅是如何抬高防火墙，而是如何分辨歹意行为。

理解了这些风险，就不难了解企业为什么会动辄破费百万置办数据防护零碎。

那么，现有的防护零碎，也就是传统的DLP数据走漏防护零碎（以下简称DLP），能否应付复杂的要挟呢？

上文曾经提过，数据要挟的攻击手腕五花八门，内部网络攻击再加上外部人员的疏漏、歹意窃取。

而DLP作为一个次要用于加密和审计的零碎，应付这些显得捉襟见肘。

最次要的成绩在于，DLP的平安战略绝对死板。

对企业来说，进步DLP门槛会添加误报率影响企业效率，而降低门槛相应的就会进步风险。

更为关键的是DLP实质上还是在抵挡外来攻击，关于外部监视的意义并不大。

还有另一个层面，当DLP零碎落地到理想的防护场景中，企业往往要面对少量的误报，从而添加了运维的难度。

不言而喻，企业更关怀的是，如何在海量DLP告警中，挖出那些真正需求立刻处置的数据泄露事情。

不得不说，传统DLP防护还做不到这一步。

数据防护的多维武器

周奕援用了一句颇具禅意的话，这是数据防护市场最真实的需求。

“洞悉已知，侦测未知”

说白了，企业只想要这两个东西，

洞悉已知：帮我看见和梳理已知的平安成绩。

侦测未知：通知我未知的平安风险。

周奕举了一个生动的例子。

他说企业目前需求的是一份综合“体检报告”。

简而言之，DLP产品会提供应你一份体检报告，你能清楚地看到血惯例、大小三项这些数据是不是在合理的范围内。

然后给出一个结论：目前你没有糖尿病、心脏病这些已知疾病。

但是你无法获知身体能否存在其他风险。比方，虽然各项目标都正常，我还是偶然会头疼，是不是有些未知的疾病呢？

这时，数据防护需求的是理解对手的攻击路数，只要这样才干做到有的放矢。

周奕通知我。

瀚思的战略是：将机器学惯用于异常行为监测，将异常行为监测与DLP结合起来到达数据防护的目的。

简而言之，数据平安面临的要挟能够是多方面的，但是万变不离其宗，想要窃取数据就一定会有异常的操作。

这有些相似警察破案，想要追踪一个凶手就要从凶手的行为形式上寻觅蛛丝马迹。

瀚思UBA（用户行为剖析零碎）是个很好的例子，

UBA的作用是什么？

首先是定位行为异常人群，然后剖析用户有没有异常行为，也就是有没有执行敏感数据外流的行为。

如此一来，UBA可以精确定位数据泄露，无效处理了传统DLP零碎误报的成绩。

并且可以深挖出异常行为的动机，也就是窃取数据。

这听起来很神，但是假设理解UBA的任务机制，会发现其中逻辑并不复杂。

其实数据防护首要目的应该是避免数据外流，至于判别外部人员的属性都是后话（有数特务片通知我们那太难了）。

因而，如何判别异常行为变得十分重要。

周奕复杂引见了UBA的任务机制。

“UBA会依据团体或部门的行为基线定位异常人群”

什么是行为基线？UBA又如何完成定位呢？

周奕解释。

在部门内，每个员工登录效劳器的工夫、阅读的内容等等实践上是比拟固定的。

把这些数据整合起来就会构成一个规范的行为基线，而一旦某员工一旦呈现异常操作，他的行为就会与规范行为基线呈现偏离。

举两个复杂的例子。

其一，部门人员登录效劳器的工夫呈现偏向。

上图中的红线局部标明，用户在异常工夫段登录了效劳器，UBA会接纳到异常行为预警，当然这能够只是个不测，并不能阐明什么。

但是，假设同时这名用户拜访了本不该拜访的东西，事情就变得敏感了。

其二，敏感数据的拜访呈现偏向。

很显然，一名用户在不正常的工夫段登录效劳器能够代表不了什么，但是同时又拜访了敏感文件，这就很值得警觉了。

假设这时这名用户又拷贝了文件，那么很分明，窃取数据的意图完全暴露了。

这时UBA零碎就会对其做出外部要挟判别，收回需求立刻呼应的最高优先级告警。

不难发现，在UBA的整个检测和管理流程中，经过行为基线比拟从而发现异常行为是最重要的办法。

值得留意的是瀚思开放了维度的选择权，也就是说企业可以自行选择“降维”还是“升维”，区别在于更复杂的维度会锤炼AI构成更精准的防护体系。

一点考虑

跟随周奕的思绪，我大约理解了瀚思UBA的技术原理。

除去技术上的创新，我还发现，在AI的使用理念上UBA是一个非常具有科幻感的东西。

打个比如，几年前的AI技术其实次要依赖顺序员的数据灌输。

假设你想要制造一个智能翻译工具，首先要把数据全部输出进顺序里，AI对照数据库中的信息才干给出答案。

这个时期的AI就像是一个刚出生的婴儿，要手把手的教，处在“全监视”的学习形态。

UBA零碎中的AI使用一定水平上曾经具有了自主学习的才能，自发的从病毒样本和异常检测中不时拓宽知识面。

在这个层面对AI的使用俨然有了三岁孩子的智力，或许说人工智能进入了“半监视”的学习形态。

我不确定关于处理潜在数据要挟，将深度学惯用于数据防护是不是独一途径。

有一点是我可以一定的，数据的价值只会在将来越发凸显，它会成为人工智能深度学习的养料，而不管对用户本身还是企业来讲，大数据都是需求失掉维护的资产。

当然，这也意味着在互联网巨人奔跑的的时分，觊觎大数据价值的宵小会越来越多。他们会把灵敏的触角伸向每一个软弱的关节，而防卫力气往往要被刺痛后才会踌躇不前。

与此同时。

……

在某企业效劳器中，冬眠的爬虫迅速撑开了猩红的眼睛。

在过来几个月中它不时的反复举措，休眠…清醒…爬动…窃取。

眼看关键数据近在眼前，它再也按捺不住内心的狂喜，伸出毫米粗细的触角。

数据经由触角进入爬虫的身体，随同着一阵白光，主人将接纳到最初的战利品。

它似乎看到了主人迎接成功的浅笑……

“啪……”

爬虫生前的最初一眼，它看到一个机器人拎着一把沾满本人鲜血的苍蝇拍。