信息來(lái)源：51CTO

從IoT設(shè)備被黑到企業(yè)基礎(chǔ)設(shè)施被挖礦代碼劫持，再到自動(dòng)化勒索軟件，新式復(fù)雜網(wǎng)絡(luò)攻擊(APT)越來(lái)越難以被追蹤捕獲。抵御此類隱秘未知威脅的議題已經(jīng)成了我們各種安全會(huì)議討論的重點(diǎn)。然而，在我們揪住未知威脅檢測(cè)問(wèn)題不放的同時(shí)，數(shù)據(jù)滲漏這個(gè)顯而易見的老問(wèn)題卻沒(méi)能獲得足夠的重視。于是，數(shù)據(jù)繼續(xù)滲漏，GB級(jí)滲漏屢見不鮮。

回顧歷史

所有數(shù)據(jù)滲漏攻擊都有一個(gè)共同屬性：網(wǎng)絡(luò)中已出現(xiàn)異常行為的早期預(yù)警信號(hào)，但傳統(tǒng)安全方法沒(méi)能捕獲這些信號(hào)。無(wú)論智能水平如何，納入設(shè)備多少，邊界工具都錯(cuò)失了異常行為影響和未授權(quán)數(shù)據(jù)轉(zhuǎn)移之間的機(jī)會(huì)窗口，造成數(shù)百GB數(shù)據(jù)被從公司企業(yè)中傳出。

2014年的索尼黑客事件中，攻擊者花費(fèi)一年多時(shí)間滲漏出100TB數(shù)據(jù)的事實(shí)令世人瞠目結(jié)舌。第二年的巴拿馬文件泄密事件據(jù)稱泄露了2.6TB數(shù)據(jù)，令數(shù)名世界著名公眾人物顏面掃地。2016年，民主黨全國(guó)委員會(huì)(DNC)網(wǎng)絡(luò)中泄出80GB數(shù)據(jù)，引發(fā)長(zhǎng)達(dá)兩年的美國(guó)大選疑云。所有這些案例中，大量數(shù)據(jù)悄無(wú)聲息地持續(xù)滲漏了幾個(gè)月甚至數(shù)年之久，直到數(shù)據(jù)已遺失很久很久之后才發(fā)現(xiàn)滲漏事實(shí)。

審視該隱秘?cái)?shù)據(jù)泄露的全過(guò)程，我們不得不捫心自問(wèn)：如此大量的數(shù)據(jù)到底是怎么悄悄溜出公司網(wǎng)絡(luò)的?

網(wǎng)絡(luò)環(huán)境的復(fù)雜性和多變性

發(fā)現(xiàn)數(shù)據(jù)滲漏指標(biāo)的難點(diǎn)之一存在于今日的網(wǎng)絡(luò)結(jié)構(gòu)中。隨著公司的不斷創(chuàng)新，數(shù)字復(fù)雜性和脆弱度不斷上升，從BYOD到第三方供應(yīng)鏈，公司企業(yè)以優(yōu)化效率的名義大幅倍增了其網(wǎng)絡(luò)風(fēng)險(xiǎn)。

此一大環(huán)境下，我們的安全團(tuán)隊(duì)承受著巨大的壓力，疲于識(shí)別數(shù)據(jù)滲漏的細(xì)微信號(hào)，努力斬?cái)嗾谶M(jìn)行中的滲漏過(guò)程。更糟心的是，明明如此之多的IT設(shè)備都不是安全人員創(chuàng)建、安裝的，甚至他們壓根兒不知道某些設(shè)備的存在，卻仍不得不在持續(xù)增長(zhǎng)的海量設(shè)備中盡力尋找到那幾乎隱身的惡意威脅。

如今的網(wǎng)絡(luò)就像是鮮活的生命體：會(huì)成長(zhǎng)，會(huì)萎縮，會(huì)高速進(jìn)化。如果我們把網(wǎng)絡(luò)想象成每秒改變成百上千次的巨大數(shù)據(jù)集，我們就會(huì)意識(shí)到，沒(méi)有哪支安全團(tuán)隊(duì)能夠及時(shí)分辨已授權(quán)活動(dòng)與數(shù)據(jù)滲漏指標(biāo)。

AI檢測(cè)與關(guān)聯(lián)才是出路

雪上加霜的是，安全團(tuán)隊(duì)總是處于防御的位置——面對(duì)層出不窮的未知威脅連續(xù)作戰(zhàn)。于是，安全團(tuán)隊(duì)該怎樣排除噪音，分辨出合法活動(dòng)和犯罪數(shù)據(jù)滲漏行動(dòng)之間的差別呢?

5年前我們依賴歷史情報(bào)來(lái)定義未來(lái)的攻擊。但從未停歇的數(shù)據(jù)泄露事件已經(jīng)表明，這種方法從來(lái)沒(méi)起過(guò)什么作用。識(shí)別數(shù)據(jù)滲漏對(duì)安全團(tuán)隊(duì)而言應(yīng)該是件容易做到的事，但想要做到簡(jiǎn)單易行的程度，我們得依賴不對(duì)惡意行為特征做任何假定的技術(shù)。

公司企業(yè)目前紛紛轉(zhuǎn)向AI技術(shù)來(lái)進(jìn)行威脅檢測(cè)，該技術(shù)可識(shí)別出偏離正常網(wǎng)絡(luò)活動(dòng)的細(xì)微異常。通過(guò)理解日常網(wǎng)絡(luò)活動(dòng)的細(xì)微差異，自學(xué)習(xí)技術(shù)會(huì)關(guān)聯(lián)看起來(lái)不相關(guān)的信息點(diǎn)，構(gòu)造出網(wǎng)絡(luò)當(dāng)前狀態(tài)的全面視圖。然后AI就能發(fā)現(xiàn)不易察覺(jué)的滲漏指標(biāo)，給安全團(tuán)隊(duì)節(jié)約出寶貴的時(shí)間，搶在數(shù)據(jù)滲漏變成重大危機(jī)之前予以緩解。

想要打破重大數(shù)據(jù)泄露的怪圈，我們必須引入隨公司發(fā)展而進(jìn)化的AI技術(shù)，不斷增強(qiáng)其防御，在敏感信息跨越網(wǎng)絡(luò)邊界之前發(fā)現(xiàn)數(shù)據(jù)滲漏動(dòng)作。而在全球網(wǎng)絡(luò)安全人才短缺的大環(huán)境下，納入能夠幫助我們減輕分析負(fù)擔(dān)的技術(shù)勢(shì)在必行。盯著我們敏感數(shù)據(jù)的攻擊者都在努力跟上防御方法的進(jìn)化，作為防守方的我們是不是也在進(jìn)化呢?