“斯诺登”也许前无来者，但却很难后继有人——为什么？

他穿着一件黑色的夹克，仍然带着斯文的眼镜，却看着比上一次露面更瘦了，但他刚一在Twitter的直播软件Periscope上出现，数亿人就在全球各地躁动起来：

“是的，就是他！”

“没错，没错，他瘦了，但这就是我们的英雄。”

几秒种后，在网络直播软件的另一侧，传来了Twitter CEO 杰克·多西（Jack Dorsey）的声音和画面，他清了清嗓子，说出了所有人心中期待已久的名字：

“你好，爱德华，爱德华·斯诺登（Edward Snowden），欢迎你。”

今年的12月14日久违露面的斯诺登与多西进行了一个多小时的视频对话，Twitter使用直播APP Periscope全程播放了两人对话的实况，在这场对话中，斯诺登除了再次强调了“他为什么做那些应该做的事情”以及“那些被他曝光的事情要更进一步的进行严格管理”，他貌似对Twitter的功能改进更感兴趣，比如，斯诺登建议说：“Twitter可以把产品做的更加无缝化、融合化，比如说将更多的功能放到主APP上，甚至取消第三方网页跳转。”

杰克·多西接受了斯诺登的建议，表示会对Twitter的功能做更多优化，但更多将斯诺登视作英雄的人却不断地在直播中怂恿杰克·多西：“嗨，杰克·多西，你知道我们想知道什么！”“多西，你能不能不要为自己做广告了。”“多西，奥巴马到底会不会赦免我们的英雄？”

很显然，对大多数Twitter用户，甚至是大多数全球各地的人民来说，斯诺登是一个英雄，他的所作所为几乎就是典型的英雄式小说：孤胆英雄在阴霾中发现了不为人知的秘密，凭借一己之力将其公之于众，却受到不公平的待遇，只能远走他乡，从此过着不为人知的低调生活。

斯诺登是英雄 但如果“英雄”出现在你的公司？

2013年，身为美国国家安全局（NSA）雇员的爱德华·斯诺登，以系统管理人员的身份，获得了至少20万份最高机密文件，令NSA的调查人员大跌眼镜的是，斯诺登获得这些机密文件的方式非常简单，竟然是利用比较廉价、也容易获取的“网络爬虫”或爬行器类软件，通过程序设定自动抓取大量数据，而不是一个人坐在电脑前一一查找、复制、下载大量文件。

但斯诺登的“搜索和准备的时间”可不是几分钟、几小时或是几天，在决定将所收集到的信息公之于众之前，这位英雄般的人物有超过半年的时间来做充足的准备，包括收集资料、存储、整理、公开以及确保自己能够离开美国政府的管辖范围之内。

更令人称奇的是，在《卫报》将“棱镜计划”公之于众之前，号称无所不知的美国政府完全被蒙在鼓里——原本应该在斯诺登所工作的夏威夷分局部署的升级版安全措施，一直没有到位，因此，斯诺登在“NSA系统里所捣的那些鬼，从没有引爆系统的红色安全标志”，就这样，“棱镜门”事件就此发酵。

如果美国国家安全局料想到会发生这样的事件，他们一定会在第一时间将安全措施进行升级，事实上，就在斯诺登事件发生之后，NSA火速进行了全机构的安全措施升级，除了在数据丢失预防（DLP）上下了很大功夫之外，最重要的就是对内部的权限管理、异常行为发现等系统进行了升级，他们要做的是，“绝对不能再出现类似的第二个斯诺登。”

对于美国和全世界的人民来说，斯诺登毫无疑问是个英雄，但是美国国家安全局来说，“爱德华是机构历史上最大的叛徒”，虽然他披露了很多非法监控和非法审查的计划，但对于NSA来说，这显然是一种背叛的行为，“NSA恨不能有个时光机，在斯诺登这么做以前就把他抓起来坐牢”——一位Twitter上的用户调侃道。

或许，斯诺登的出现对国际社会是件好事，但如果类似的“英雄”出现在你的企业中呢？想必这也是会让人非常头疼的吧？

Security concept with sneaky thief and laptop at night

毫无疑问，确保机密数据和资产的安全，一直是企业组织所面临的一大挑战，据美国波耐蒙研究所（Ponemon Institute）2015年的一项调查显示，目前损失最为惨重的网络犯罪案件多数是由企业内部人员监守自盗导致，其次才是拒绝服务攻击（DoS）和基于Web的攻击。

这正应了那句俗话：“日防夜防，家贼难防”，组织内部的安全隐患往往具有隐藏深、发动时机不确定、难以及时辨认、对安全防范规程较为熟悉以及安全事件进展迅速等特点，这往往对组织机构的安全体系造成极大的破坏，对正常的业务、核心的数据甚至是组织机构的信誉造成不可挽回的严重损失。

但既然是“家贼”，就意味着威胁来源在组织机构中是“合理的存在”，拥有正常的行为权限和操作手段，甚至会将自己的威胁操作，隐藏在正常的工作流程和业务操作之中（比如说化整为零），变得难以察觉。

这也意味着想要通过过去安全防范体系中对“传统恶意行为”的定义可能不能起到全部的作用。

另一方面，每家组织机构的业务流程、工作规范都不同：例如，在A公司属于异常行为的操作（比如说深夜刷卡进入数据中心或是突然取消了数据备份作业），在B公司很可能就不是，反之亦然，这意味着对“恶意行为”的定义是动态的、不停变化的。

在面对以上两种情况的时候，传统的安全防范机制是撰写大量的规则，这种方式费时费力不说（要为每一个部门、每一类人员都撰写一套规则），还需要时刻更新大量规则（某些部门最近加班较多或是近期公司业务规则发生变化）；

而且，此外，还需要时刻处理死板规则产生的大量报警（临时性出现的业务需求或产品故障，导致了紧急性的大量事物处理）。

可以说，传统的方式不仅不能防范很多居心叵测着深藏不露、化整为零的安全威胁，更在及时性、灵活性和工作繁重性上不能够满足组织机构安全管理团队的需求。

抛开斯诺登所作所为的正义性不谈，谁的组织机构、企业公司内，都不希望出现斯诺登式的人物，因为这类人物的出现往往不是在内部进行破坏，就是将收集到的数据信息出卖给企业的竞争对手或是不利于自己的第三方，如果传统的内部安全威胁防范方式越来越捉襟见肘，那么有什么样的新技术可以弥补甚至是取代传统的技术呢？

用户行为分析：让大数据+算法告诉你真相

设想一下，如果我们能够将每一个用户的行为——他的业务流程、工作方式、日常习惯和权限权责等——都集中在一个完整的大数据平台集合中并加以分析，为用户建立执行的正常活动确立基线，也就是用户“日常行为的画像”，就能够迅速识别偏离正常行为的异常行为，以便安全分析员执行调查。

这听起来像不像：小明每天放学后都要在家打游戏，今天到家后却很殷勤的又给妈妈端茶倒水，又帮爸爸拿拖鞋，还主动带着家里的小狗下楼遛弯，恩，这些反常的举动一定存在着什么蹊跷！比如说，小明是不是前几天的期中考试成绩不太理想？！

是的，这就是用户行为分析（UBA）所做的事情。UBA的原理很像小明父母发现他的异常举动所必需的大脑思考过程：使用统计分析和机器学习技术，UBA使用统计分析和机器学习技术，实时分析并了解用户行为和模式，从而检测和评估企业中的高危用户行为。

当然，笔者更相信小明的父母是因为对自己孩子了解至深。UBA也在帮助企业深入了解自己的内部系统，达到明察秋毫的目的。

UBA可以主动寻找内部威胁和欺诈行为、检测高级的恶意软件活动、密切关注用户的行为行动，从而自动识别高危行为，并向安全分析员表明用户的风险状况。这一切不需要分析员花大量的时间来筛选大量的误报干扰警报，UBA可以有效地关联安全警报，并确定优先级。

但就像我们的大脑有时候也会出现误判一样（比如说小明当天的殷勤举动，不过是想要买一本《哈利·波特》新的续集），聪明如UBA也会出现“误报”的情形：毕竟，一名授权用户试图在半夜访问企业组织的文件服务器是有多种可能的，这其中既有可能是一起登录信息被恶意利用的事件：攻击者企图将数据泄露到服务器外面，以窃取企业信息或知识产权，也有可能只是该用户当晚有维护工作，不得不凌晨时分还要继续工作。

严格来说，UBA的“误报”分为两种情况：

第一种，是在设定“基线”的时候出现的问题，导致“正常活动基线”并不能准确的衡量用户的异常情况，这是机器“误报”；

第二种，是在将UBA所产生各种数值结果呈现给安全分析员、安全管理员时无法准确让后者理解并作出判断，导致的人工“误判”。

针对UBA使用中的上述两类情况，HanSight瀚思为瀚思用户行为分析系统（HanSight UBA）进行了两项针对性的优化：

首先，HanSight UBA不再简单的以个体的活动作为“基线”的设定标准（即横向的与个体自身的历史记录比较），更进一步加入了“以群为单位的多维度基线偏离（即与同部门、同业务的人的行为进行对比）”，进一步降低了误报的几率；

HanSight瀚思以群为单位的多维度基线偏离降低误报

其次，HanSight UBA已经内置37种检测场景，并可以通过独特的“仪表盘”功能，将机器学习和算法产生的各种数值结果翻译成用户能够理解的安全场景，从而让安全管理员或安全分析人员能够从最直观的信息展示中做出预判，减少因对数值结果理解的偏差而造成的误判。

可以说，UBA的出现，是企业信息安全防范技术的一个突破，它不再将安全风险防范的目标仅仅聚焦在“如何定义‘黑’（即病毒、木马、DDoS攻击、非法入侵等）上”，转而将安全分析的对象瞄准“白”，也就是通过定义正常的日常操作与业务活动，设定企业安全无风险的“基线”，让所有的“黑”——特别是对企业威胁最大的内部安全隐患——直接曝光在“光天化日之下”，原形毕露。

HanSight UBA是一项涉及数据整合、数据挖掘、关联、数据呈现及可视化和服务交付等多种技术的集成式解决方案，它的高效实现基于两点：

第一，是否能够收集到足够的、有效的组织机构结构化信息和非结构化信息，形成服务于UBA的大数据集合；

第二，是否有高效的算法，以此建立高效、准确的UBA分析引擎，这样才能在将含有业务上下文的合适数据接入引擎后，获得较为准确的基线和更为准确的报警。

可以说，UBA是一项由“大数据+算法”告诉你真相的安全风险防范技术，但是UBA的算法可不仅仅是“编程”或是“计算方法”这么简单。

UBA最终拼的是机器学习

我们知道，UBA的思路就是“假定人群中是好人居多的，于是要从人群中找到大部分人做事的规律，再把不符合规律的坏人挑选出来”，这就意味着，你没法事先知道机器或用户的好坏，所以只能先假设他们是恶意的，你的网络和系统是缺乏抵抗力的，所以你时刻对每个人的行为进行监测和制作模型，从而找到恶意行为者。

这也就意味着，对用户来说，合格的UBA解决方案是自动化、智能化的，极少需要人工参与，UBA的全流程——建立大数据集合，进行监测，放弃了人工干预的规则制定，建立安全防范的行为模式模型（基线）——需要的是具有自学习能力的“算法”，即机器学习。

因此，UBA的技术核心就是使用无监督式的机器学习算法监测用户的行为模式，建立模型，进行监测，并作出判断和预报。

瀚思用户行为分析系统-HanSight UBA

作为国内首家真正实现多维度用户行为分析的UBA产品，HanSight UBA集成了四大类算法集合及数十种算法，其中不仅有常见的聚类算法，更包括了数据拓扑分析、变分自编码器等无监督机器学习业界前沿的研究成果，再将其与内置的37种检测场景相结合，构建了一整套监督和非监督式的机器学习体系。这不仅让HanSight UBA有助于显示异常行为和身份识别频率，发现严重的内部威胁和针对性高级攻击，更使得异常分析在企业缺乏标注安全数据的情况下也能达到好的效果。

除此以外，HanSight瀚思在HanSight UBA中引入了机器学习领域日益成熟的GPU技术，利用GPU优化的高速算法，在普通服务器上，进一步的提高了UBA异常检测的速度，“一分钟内就能完成大部分企业业务场景下的行为数据分析”。

随着机器学习、GPU优化、场景检测等技术不断地丰富UBA的功能、提高和加速UBA的判断速度，UBA将在许多方面为企业提供巨大的价值：它提供了企业内部安全威胁的快速预判和极佳可见性，以便企业深入了解潜在的内部威胁，评估用户的正常活动与异常活动中的行为变化。可以说，UBA正在成为新一代以认知计算、人工智能为核心的信息安全防范体系的代表性产品。

但对组织机构的安全管理员、分析员们来说，想要获得UBA所提供的巨大价值，仍然需要进行大量的工作，从前期的数据收集与接入，到密切关注基线建立期的用户行为，再到充分理解UBA所展现的威胁情报，以及日常UBA运行中的矫正与优化，这都需要安全团队投入100%的精力和努力。

当然，为此付出再多的努力对安全团队和组织机构的运营者们来说也是值得的，毕竟，UBA相比传统的安全威胁防范技术已经是很大的进步，更何况，谁也不希望在自己的组织机构内部，给那些对敏感信息觊觎已久的黑手，哪怕是万分之一的机会。

作者：HanSight瀚思

未经允许不得转载：DOIT » “斯诺登”也许前无来者，但却很难后继有人——为什么？