從IoT設(shè)備被黑到企業(yè)基礎(chǔ)設(shè)施被挖礦代碼劫持，再到自動化勒索軟件，新式復雜網(wǎng)絡(luò)攻擊(APT)越來越難以被追蹤捕獲。抵御此類隱秘未知威脅的議題已經(jīng)成了我們各種安全會議討論的重點。然而，在我們揪住未知威脅檢測問題不放的同時，數(shù)據(jù)滲漏這個顯而易見的老問題卻沒能獲得足夠的重視。于是，數(shù)據(jù)繼續(xù)滲漏，GB級滲漏屢見不鮮。

 回顧歷史

所有數(shù)據(jù)滲漏攻擊都有一個共同屬性：網(wǎng)絡(luò)中已出現(xiàn)異常行為的早期預(yù)警信號，但傳統(tǒng)安全方法沒能捕獲這些信號。無論智能水平如何，納入設(shè)備多少，邊界工具都錯失了異常行為影響和未授權(quán)數(shù)據(jù)轉(zhuǎn)移之間的機會窗口，造成數(shù)百GB數(shù)據(jù)被從公司企業(yè)中傳出。

2014年的索尼黑客事件中，攻擊者花費一年多時間滲漏出100TB數(shù)據(jù)的事實令世人瞠目結(jié)舌。第二年的巴拿馬文件泄密事件據(jù)稱泄露了2.6TB數(shù)據(jù)，令數(shù)名世界著名公眾人物顏面掃地。2016年，民主黨全國委員會(DNC)網(wǎng)絡(luò)中泄出80GB數(shù)據(jù)，引發(fā)長達兩年的美國大選疑云。所有這些案例中，大量數(shù)據(jù)悄無聲息地持續(xù)滲漏了幾個月甚至數(shù)年之久，直到數(shù)據(jù)已遺失很久很久之后才發(fā)現(xiàn)滲漏事實。

審視該隱秘數(shù)據(jù)泄露的全過程，我們不得不捫心自問：如此大量的數(shù)據(jù)到底是怎么悄悄溜出公司網(wǎng)絡(luò)的?

網(wǎng)絡(luò)環(huán)境的復雜性和多變性

發(fā)現(xiàn)數(shù)據(jù)滲漏指標的難點之一存在于今日的網(wǎng)絡(luò)結(jié)構(gòu)中。隨著公司的不斷創(chuàng)新，數(shù)字復雜性和脆弱度不斷上升，從BYOD到第三方供應(yīng)鏈，公司企業(yè)以優(yōu)化效率的名義大幅倍增了其網(wǎng)絡(luò)風險。

此一大環(huán)境下，我們的安全團隊承受著巨大的壓力，疲于識別數(shù)據(jù)滲漏的細微信號，努力斬斷正在進行中的滲漏過程。更糟心的是，明明如此之多的IT設(shè)備都不是安全人員創(chuàng)建、安裝的，甚至他們壓根兒不知道某些設(shè)備的存在，卻仍不得不在持續(xù)增長的海量設(shè)備中盡力尋找到那幾乎隱身的惡意威脅。

如今的網(wǎng)絡(luò)就像是鮮活的生命體：會成長，會萎縮，會高速進化。如果我們把網(wǎng)絡(luò)想象成每秒改變成百上千次的巨大數(shù)據(jù)集，我們就會意識到，沒有哪支安全團隊能夠及時分辨已授權(quán)活動與數(shù)據(jù)滲漏指標。

AI檢測與關(guān)聯(lián)才是出路

雪上加霜的是，安全團隊總是處于防御的位置——面對層出不窮的未知威脅連續(xù)作戰(zhàn)。于是，安全團隊該怎樣排除噪音，分辨出合法活動和犯罪數(shù)據(jù)滲漏行動之間的差別呢?

5年前我們依賴歷史情報來定義未來的攻擊。但從未停歇的數(shù)據(jù)泄露事件已經(jīng)表明，這種方法從來沒起過什么作用。識別數(shù)據(jù)滲漏對安全團隊而言應(yīng)該是件容易做到的事，但想要做到簡單易行的程度，我們得依賴不對惡意行為特征做任何假定的技術(shù)。

公司企業(yè)目前紛紛轉(zhuǎn)向AI技術(shù)來進行威脅檢測，該技術(shù)可識別出偏離正常網(wǎng)絡(luò)活動的細微異常。通過理解日常網(wǎng)絡(luò)活動的細微差異，自學習技術(shù)會關(guān)聯(lián)看起來不相關(guān)的信息點，構(gòu)造出網(wǎng)絡(luò)當前狀態(tài)的全面視圖。然后AI就能發(fā)現(xiàn)不易察覺的滲漏指標，給安全團隊節(jié)約出寶貴的時間，搶在數(shù)據(jù)滲漏變成重大危機之前予以緩解。

想要打破重大數(shù)據(jù)泄露的怪圈，我們必須引入隨公司發(fā)展而進化的AI技術(shù)，不斷增強其防御，在敏感信息跨越網(wǎng)絡(luò)邊界之前發(fā)現(xiàn)數(shù)據(jù)滲漏動作。而在全球網(wǎng)絡(luò)安全人才短缺的大環(huán)境下，納入能夠幫助我們減輕分析負擔的技術(shù)勢在必行。盯著我們敏感數(shù)據(jù)的攻擊者都在努力跟上防御方法的進化，作為防守方的我們是不是也在進化呢?