他穿著一件黑色的夾克，仍然帶著斯文的眼鏡，卻看著比上一次露面更瘦了，但他剛一在Twitter的直播軟件Periscope上出現(xiàn)，數(shù)億人就在全球各地躁動(dòng)起來：

“是的，就是他！”

“沒錯(cuò)，沒錯(cuò)，他瘦了，但這就是我們的英雄?！?/p>

幾秒種后，在網(wǎng)絡(luò)直播軟件的另一側(cè)，傳來了Twitter CEO 杰克·多西（Jack Dorsey）的聲音和畫面，他清了清嗓子，說出了所有人心中期待已久的名字：

“你好，愛德華，愛德華·斯諾登（Edward Snowden），歡迎你?！?/p>

今年的12月14日久違露面的斯諾登與多西進(jìn)行了一個(gè)多小時(shí)的視頻對話，Twitter使用直播APP Periscope全程播放了兩人對話的實(shí)況，在這場對話中，斯諾登除了再次強(qiáng)調(diào)了“他為什么做那些應(yīng)該做的事情”以及“那些被他曝光的事情要更進(jìn)一步的進(jìn)行嚴(yán)格管理”，他貌似對Twitter的功能改進(jìn)更感興趣，比如，斯諾登建議說：“Twitter可以把產(chǎn)品做的更加無縫化、融合化，比如說將更多的功能放到主APP上，甚至取消第三方網(wǎng)頁跳轉(zhuǎn)?！?/p>

杰克·多西接受了斯諾登的建議，表示會(huì)對Twitter的功能做更多優(yōu)化，但更多將斯諾登視作英雄的人卻不斷地在直播中慫恿杰克·多西：“嗨，杰克·多西，你知道我們想知道什么！”“多西，你能不能不要為自己做廣告了。”“多西，奧巴馬到底會(huì)不會(huì)赦免我們的英雄？”

很顯然，對大多數(shù)Twitter用戶，甚至是大多數(shù)全球各地的人民來說，斯諾登是一個(gè)英雄，他的所作所為幾乎就是典型的英雄式小說：孤膽英雄在陰霾中發(fā)現(xiàn)了不為人知的秘密，憑借一己之力將其公之于眾，卻受到不公平的待遇，只能遠(yuǎn)走他鄉(xiāng)，從此過著不為人知的低調(diào)生活。

斯諾登是英雄 但如果“英雄”出現(xiàn)在你的公司？

2013年，身為美國國家安全局（NSA）雇員的愛德華·斯諾登，以系統(tǒng)管理人員的身份，獲得了至少20萬份最高機(jī)密文件，令NSA的調(diào)查人員大跌眼鏡的是，斯諾登獲得這些機(jī)密文件的方式非常簡單，竟然是利用比較廉價(jià)、也容易獲取的“網(wǎng)絡(luò)爬蟲”或爬行器類軟件，通過程序設(shè)定自動(dòng)抓取大量數(shù)據(jù)，而不是一個(gè)人坐在電腦前一一查找、復(fù)制、下載大量文件。

但斯諾登的“搜索和準(zhǔn)備的時(shí)間”可不是幾分鐘、幾小時(shí)或是幾天，在決定將所收集到的信息公之于眾之前，這位英雄般的人物有超過半年的時(shí)間來做充足的準(zhǔn)備，包括收集資料、存儲(chǔ)、整理、公開以及確保自己能夠離開美國政府的管轄范圍之內(nèi)。

更令人稱奇的是，在《衛(wèi)報(bào)》將“棱鏡計(jì)劃”公之于眾之前，號稱無所不知的美國政府完全被蒙在鼓里——原本應(yīng)該在斯諾登所工作的夏威夷分局部署的升級版安全措施，一直沒有到位，因此，斯諾登在“NSA系統(tǒng)里所搗的那些鬼，從沒有引爆系統(tǒng)的紅色安全標(biāo)志”，就這樣，“棱鏡門”事件就此發(fā)酵。

如果美國國家安全局料想到會(huì)發(fā)生這樣的事件，他們一定會(huì)在第一時(shí)間將安全措施進(jìn)行升級，事實(shí)上，就在斯諾登事件發(fā)生之后，NSA火速進(jìn)行了全機(jī)構(gòu)的安全措施升級，除了在數(shù)據(jù)丟失預(yù)防（DLP）上下了很大功夫之外，最重要的就是對內(nèi)部的權(quán)限管理、異常行為發(fā)現(xiàn)等系統(tǒng)進(jìn)行了升級，他們要做的是，“絕對不能再出現(xiàn)類似的第二個(gè)斯諾登。”

對于美國和全世界的人民來說，斯諾登毫無疑問是個(gè)英雄，但是美國國家安全局來說，“愛德華是機(jī)構(gòu)歷史上最大的叛徒”，雖然他披露了很多非法監(jiān)控和非法審查的計(jì)劃，但對于NSA來說，這顯然是一種背叛的行為，“NSA恨不能有個(gè)時(shí)光機(jī)，在斯諾登這么做以前就把他抓起來坐牢”——一位Twitter上的用戶調(diào)侃道。

或許，斯諾登的出現(xiàn)對國際社會(huì)是件好事，但如果類似的“英雄”出現(xiàn)在你的企業(yè)中呢？想必這也是會(huì)讓人非常頭疼的吧？

Security concept with sneaky thief and laptop at night

毫無疑問，確保機(jī)密數(shù)據(jù)和資產(chǎn)的安全，一直是企業(yè)組織所面臨的一大挑戰(zhàn)，據(jù)美國波耐蒙研究所（Ponemon Institute）2015年的一項(xiàng)調(diào)查顯示，目前損失最為慘重的網(wǎng)絡(luò)犯罪案件多數(shù)是由企業(yè)內(nèi)部人員監(jiān)守自盜導(dǎo)致，其次才是拒絕服務(wù)攻擊（DoS）和基于Web的攻擊。

這正應(yīng)了那句俗話：“日防夜防，家賊難防”，組織內(nèi)部的安全隱患往往具有隱藏深、發(fā)動(dòng)時(shí)機(jī)不確定、難以及時(shí)辨認(rèn)、對安全防范規(guī)程較為熟悉以及安全事件進(jìn)展迅速等特點(diǎn)，這往往對組織機(jī)構(gòu)的安全體系造成極大的破壞，對正常的業(yè)務(wù)、核心的數(shù)據(jù)甚至是組織機(jī)構(gòu)的信譽(yù)造成不可挽回的嚴(yán)重?fù)p失。

但既然是“家賊”，就意味著威脅來源在組織機(jī)構(gòu)中是“合理的存在”，擁有正常的行為權(quán)限和操作手段，甚至?xí)⒆约旱耐{操作，隱藏在正常的工作流程和業(yè)務(wù)操作之中（比如說化整為零），變得難以察覺。

這也意味著想要通過過去安全防范體系中對“傳統(tǒng)惡意行為”的定義可能不能起到全部的作用。

另一方面，每家組織機(jī)構(gòu)的業(yè)務(wù)流程、工作規(guī)范都不同：例如，在A公司屬于異常行為的操作（比如說深夜刷卡進(jìn)入數(shù)據(jù)中心或是突然取消了數(shù)據(jù)備份作業(yè)），在B公司很可能就不是，反之亦然，這意味著對“惡意行為”的定義是動(dòng)態(tài)的、不停變化的。

在面對以上兩種情況的時(shí)候，傳統(tǒng)的安全防范機(jī)制是撰寫大量的規(guī)則，這種方式費(fèi)時(shí)費(fèi)力不說（要為每一個(gè)部門、每一類人員都撰寫一套規(guī)則），還需要時(shí)刻更新大量規(guī)則（某些部門最近加班較多或是近期公司業(yè)務(wù)規(guī)則發(fā)生變化）；

而且，此外，還需要時(shí)刻處理死板規(guī)則產(chǎn)生的大量報(bào)警（臨時(shí)性出現(xiàn)的業(yè)務(wù)需求或產(chǎn)品故障，導(dǎo)致了緊急性的大量事物處理）。

可以說，傳統(tǒng)的方式不僅不能防范很多居心叵測著深藏不露、化整為零的安全威脅，更在及時(shí)性、靈活性和工作繁重性上不能夠滿足組織機(jī)構(gòu)安全管理團(tuán)隊(duì)的需求。

拋開斯諾登所作所為的正義性不談，誰的組織機(jī)構(gòu)、企業(yè)公司內(nèi)，都不希望出現(xiàn)斯諾登式的人物，因?yàn)檫@類人物的出現(xiàn)往往不是在內(nèi)部進(jìn)行破壞，就是將收集到的數(shù)據(jù)信息出賣給企業(yè)的競爭對手或是不利于自己的第三方，如果傳統(tǒng)的內(nèi)部安全威脅防范方式越來越捉襟見肘，那么有什么樣的新技術(shù)可以彌補(bǔ)甚至是取代傳統(tǒng)的技術(shù)呢？

用戶行為分析：讓大數(shù)據(jù)+算法告訴你真相

設(shè)想一下，如果我們能夠?qū)⒚恳粋€(gè)用戶的行為——他的業(yè)務(wù)流程、工作方式、日常習(xí)慣和權(quán)限權(quán)責(zé)等——都集中在一個(gè)完整的大數(shù)據(jù)平臺(tái)集合中并加以分析，為用戶建立執(zhí)行的正?；顒?dòng)確立基線，也就是用戶“日常行為的畫像”，就能夠迅速識別偏離正常行為的異常行為，以便安全分析員執(zhí)行調(diào)查。

這聽起來像不像：小明每天放學(xué)后都要在家打游戲，今天到家后卻很殷勤的又給媽媽端茶倒水，又幫爸爸拿拖鞋，還主動(dòng)帶著家里的小狗下樓遛彎，恩，這些反常的舉動(dòng)一定存在著什么蹊蹺！比如說，小明是不是前幾天的期中考試成績不太理想？！

是的，這就是用戶行為分析（UBA）所做的事情。UBA的原理很像小明父母發(fā)現(xiàn)他的異常舉動(dòng)所必需的大腦思考過程：使用統(tǒng)計(jì)分析和機(jī)器學(xué)習(xí)技術(shù)，UBA使用統(tǒng)計(jì)分析和機(jī)器學(xué)習(xí)技術(shù)，實(shí)時(shí)分析并了解用戶行為和模式，從而檢測和評估企業(yè)中的高危用戶行為。

當(dāng)然，筆者更相信小明的父母是因?yàn)閷ψ约汉⒆恿私庵辽睢BA也在幫助企業(yè)深入了解自己的內(nèi)部系統(tǒng)，達(dá)到明察秋毫的目的。

UBA可以主動(dòng)尋找內(nèi)部威脅和欺詐行為、檢測高級的惡意軟件活動(dòng)、密切關(guān)注用戶的行為行動(dòng)，從而自動(dòng)識別高危行為，并向安全分析員表明用戶的風(fēng)險(xiǎn)狀況。這一切不需要分析員花大量的時(shí)間來篩選大量的誤報(bào)干擾警報(bào)，UBA可以有效地關(guān)聯(lián)安全警報(bào)，并確定優(yōu)先級。

但就像我們的大腦有時(shí)候也會(huì)出現(xiàn)誤判一樣（比如說小明當(dāng)天的殷勤舉動(dòng)，不過是想要買一本《哈利·波特》新的續(xù)集），聰明如UBA也會(huì)出現(xiàn)“誤報(bào)”的情形：畢竟，一名授權(quán)用戶試圖在半夜訪問企業(yè)組織的文件服務(wù)器是有多種可能的，這其中既有可能是一起登錄信息被惡意利用的事件：攻擊者企圖將數(shù)據(jù)泄露到服務(wù)器外面，以竊取企業(yè)信息或知識產(chǎn)權(quán)，也有可能只是該用戶當(dāng)晚有維護(hù)工作，不得不凌晨時(shí)分還要繼續(xù)工作。

嚴(yán)格來說，UBA的“誤報(bào)”分為兩種情況：

第一種，是在設(shè)定“基線”的時(shí)候出現(xiàn)的問題，導(dǎo)致“正?；顒?dòng)基線”并不能準(zhǔn)確的衡量用戶的異常情況，這是機(jī)器“誤報(bào)”；

第二種，是在將UBA所產(chǎn)生各種數(shù)值結(jié)果呈現(xiàn)給安全分析員、安全管理員時(shí)無法準(zhǔn)確讓后者理解并作出判斷，導(dǎo)致的人工“誤判”。

針對UBA使用中的上述兩類情況，HanSight瀚思為瀚思用戶行為分析系統(tǒng)（HanSight UBA）進(jìn)行了兩項(xiàng)針對性的優(yōu)化：

首先，HanSight UBA不再簡單的以個(gè)體的活動(dòng)作為“基線”的設(shè)定標(biāo)準(zhǔn)（即橫向的與個(gè)體自身的歷史記錄比較），更進(jìn)一步加入了“以群為單位的多維度基線偏離（即與同部門、同業(yè)務(wù)的人的行為進(jìn)行對比）”，進(jìn)一步降低了誤報(bào)的幾率；

HanSight瀚思以群為單位的多維度基線偏離降低誤報(bào)

其次，HanSight UBA已經(jīng)內(nèi)置37種檢測場景，并可以通過獨(dú)特的“儀表盤”功能，將機(jī)器學(xué)習(xí)和算法產(chǎn)生的各種數(shù)值結(jié)果翻譯成用戶能夠理解的安全場景，從而讓安全管理員或安全分析人員能夠從最直觀的信息展示中做出預(yù)判，減少因?qū)?shù)值結(jié)果理解的偏差而造成的誤判。

可以說，UBA的出現(xiàn)，是企業(yè)信息安全防范技術(shù)的一個(gè)突破，它不再將安全風(fēng)險(xiǎn)防范的目標(biāo)僅僅聚焦在“如何定義‘黑’（即病毒、木馬、DDoS攻擊、非法入侵等）上”，轉(zhuǎn)而將安全分析的對象瞄準(zhǔn)“白”，也就是通過定義正常的日常操作與業(yè)務(wù)活動(dòng)，設(shè)定企業(yè)安全無風(fēng)險(xiǎn)的“基線”，讓所有的“黑”——特別是對企業(yè)威脅最大的內(nèi)部安全隱患——直接曝光在“光天化日之下”，原形畢露。

HanSight UBA是一項(xiàng)涉及數(shù)據(jù)整合、數(shù)據(jù)挖掘、關(guān)聯(lián)、數(shù)據(jù)呈現(xiàn)及可視化和服務(wù)交付等多種技術(shù)的集成式解決方案，它的高效實(shí)現(xiàn)基于兩點(diǎn)：

第一，是否能夠收集到足夠的、有效的組織機(jī)構(gòu)結(jié)構(gòu)化信息和非結(jié)構(gòu)化信息，形成服務(wù)于UBA的大數(shù)據(jù)集合；

第二，是否有高效的算法，以此建立高效、準(zhǔn)確的UBA分析引擎，這樣才能在將含有業(yè)務(wù)上下文的合適數(shù)據(jù)接入引擎后，獲得較為準(zhǔn)確的基線和更為準(zhǔn)確的報(bào)警。

可以說，UBA是一項(xiàng)由“大數(shù)據(jù)+算法”告訴你真相的安全風(fēng)險(xiǎn)防范技術(shù)，但是UBA的算法可不僅僅是“編程”或是“計(jì)算方法”這么簡單。

UBA最終拼的是機(jī)器學(xué)習(xí)

我們知道，UBA的思路就是“假定人群中是好人居多的，于是要從人群中找到大部分人做事的規(guī)律，再把不符合規(guī)律的壞人挑選出來”，這就意味著，你沒法事先知道機(jī)器或用戶的好壞，所以只能先假設(shè)他們是惡意的，你的網(wǎng)絡(luò)和系統(tǒng)是缺乏抵抗力的，所以你時(shí)刻對每個(gè)人的行為進(jìn)行監(jiān)測和制作模型，從而找到惡意行為者。

這也就意味著，對用戶來說，合格的UBA解決方案是自動(dòng)化、智能化的，極少需要人工參與，UBA的全流程——建立大數(shù)據(jù)集合，進(jìn)行監(jiān)測，放棄了人工干預(yù)的規(guī)則制定，建立安全防范的行為模式模型（基線）——需要的是具有自學(xué)習(xí)能力的“算法”，即機(jī)器學(xué)習(xí)。

因此，UBA的技術(shù)核心就是使用無監(jiān)督式的機(jī)器學(xué)習(xí)算法監(jiān)測用戶的行為模式，建立模型，進(jìn)行監(jiān)測，并作出判斷和預(yù)報(bào)。

瀚思用戶行為分析系統(tǒng)-HanSight UBA

作為國內(nèi)首家真正實(shí)現(xiàn)多維度用戶行為分析的UBA產(chǎn)品，HanSight UBA集成了四大類算法集合及數(shù)十種算法，其中不僅有常見的聚類算法，更包括了數(shù)據(jù)拓?fù)浞治?、變分自編碼器等無監(jiān)督機(jī)器學(xué)習(xí)業(yè)界前沿的研究成果，再將其與內(nèi)置的37種檢測場景相結(jié)合，構(gòu)建了一整套監(jiān)督和非監(jiān)督式的機(jī)器學(xué)習(xí)體系。這不僅讓HanSight UBA有助于顯示異常行為和身份識別頻率，發(fā)現(xiàn)嚴(yán)重的內(nèi)部威脅和針對性高級攻擊，更使得異常分析在企業(yè)缺乏標(biāo)注安全數(shù)據(jù)的情況下也能達(dá)到好的效果。

除此以外，HanSight瀚思在HanSight UBA中引入了機(jī)器學(xué)習(xí)領(lǐng)域日益成熟的GPU技術(shù)，利用GPU優(yōu)化的高速算法，在普通服務(wù)器上，進(jìn)一步的提高了UBA異常檢測的速度，“一分鐘內(nèi)就能完成大部分企業(yè)業(yè)務(wù)場景下的行為數(shù)據(jù)分析”。

隨著機(jī)器學(xué)習(xí)、GPU優(yōu)化、場景檢測等技術(shù)不斷地豐富UBA的功能、提高和加速UBA的判斷速度，UBA將在許多方面為企業(yè)提供巨大的價(jià)值：它提供了企業(yè)內(nèi)部安全威脅的快速預(yù)判和極佳可見性，以便企業(yè)深入了解潛在的內(nèi)部威脅，評估用戶的正?；顒?dòng)與異常活動(dòng)中的行為變化?？梢哉f，UBA正在成為新一代以認(rèn)知計(jì)算、人工智能為核心的信息安全防范體系的代表性產(chǎn)品。

但對組織機(jī)構(gòu)的安全管理員、分析員們來說，想要獲得UBA所提供的巨大價(jià)值，仍然需要進(jìn)行大量的工作，從前期的數(shù)據(jù)收集與接入，到密切關(guān)注基線建立期的用戶行為，再到充分理解UBA所展現(xiàn)的威脅情報(bào)，以及日常UBA運(yùn)行中的矯正與優(yōu)化，這都需要安全團(tuán)隊(duì)投入100%的精力和努力。

當(dāng)然，為此付出再多的努力對安全團(tuán)隊(duì)和組織機(jī)構(gòu)的運(yùn)營者們來說也是值得的，畢竟，UBA相比傳統(tǒng)的安全威脅防范技術(shù)已經(jīng)是很大的進(jìn)步，更何況，誰也不希望在自己的組織機(jī)構(gòu)內(nèi)部，給那些對敏感信息覬覦已久的黑手，哪怕是萬分之一的機(jī)會(huì)。

作者：HanSight瀚思

王珂玥

存儲(chǔ)在線（DOSTOR）主編