他穿著一件黑色的夾克，仍然帶著斯文的眼鏡，卻看著比上一次露面更瘦了，但他剛一在Twitter的直播軟件Periscope上出現，數億人就在全球各地躁動起來：

“是的，就是他！”

“沒錯，沒錯，他瘦了，但這就是我們的英雄?！?/p>

幾秒種后，在網絡直播軟件的另一側，傳來了Twitter CEO 杰克·多西（Jack Dorsey）的聲音和畫面，他清了清嗓子，說出了所有人心中期待已久的名字：

“你好，愛德華，愛德華·斯諾登（Edward Snowden），歡迎你?！?/p>

今年的12月14日久違露面的斯諾登與多西進行了一個多小時的視頻對話，Twitter使用直播APP Periscope全程播放了兩人對話的實況，在這場對話中，斯諾登除了再次強調了“他為什么做那些應該做的事情”以及“那些被他曝光的事情要更進一步的進行嚴格管理”，他貌似對Twitter的功能改進更感興趣，比如，斯諾登建議說：“Twitter可以把產品做的更加無縫化、融合化，比如說將更多的功能放到主APP上，甚至取消第三方網頁跳轉?！?/p>

杰克·多西接受了斯諾登的建議，表示會對Twitter的功能做更多優(yōu)化，但更多將斯諾登視作英雄的人卻不斷地在直播中慫恿杰克·多西：“嗨，杰克·多西，你知道我們想知道什么！”“多西，你能不能不要為自己做廣告了?！薄岸辔?，奧巴馬到底會不會赦免我們的英雄？”

很顯然，對大多數Twitter用戶，甚至是大多數全球各地的人民來說，斯諾登是一個英雄，他的所作所為幾乎就是典型的英雄式小說：孤膽英雄在陰霾中發(fā)現了不為人知的秘密，憑借一己之力將其公之于眾，卻受到不公平的待遇，只能遠走他鄉(xiāng)，從此過著不為人知的低調生活。

斯諾登是英雄 但如果“英雄”出現在你的公司？

2013年，身為美國國家安全局（NSA）雇員的愛德華·斯諾登，以系統(tǒng)管理人員的身份，獲得了至少20萬份最高機密文件，令NSA的調查人員大跌眼鏡的是，斯諾登獲得這些機密文件的方式非常簡單，竟然是利用比較廉價、也容易獲取的“網絡爬蟲”或爬行器類軟件，通過程序設定自動抓取大量數據，而不是一個人坐在電腦前一一查找、復制、下載大量文件。

但斯諾登的“搜索和準備的時間”可不是幾分鐘、幾小時或是幾天，在決定將所收集到的信息公之于眾之前，這位英雄般的人物有超過半年的時間來做充足的準備，包括收集資料、存儲、整理、公開以及確保自己能夠離開美國政府的管轄范圍之內。

更令人稱奇的是，在《衛(wèi)報》將“棱鏡計劃”公之于眾之前，號稱無所不知的美國政府完全被蒙在鼓里——原本應該在斯諾登所工作的夏威夷分局部署的升級版安全措施，一直沒有到位，因此，斯諾登在“NSA系統(tǒng)里所搗的那些鬼，從沒有引爆系統(tǒng)的紅色安全標志”，就這樣，“棱鏡門”事件就此發(fā)酵。

如果美國國家安全局料想到會發(fā)生這樣的事件，他們一定會在第一時間將安全措施進行升級，事實上，就在斯諾登事件發(fā)生之后，NSA火速進行了全機構的安全措施升級，除了在數據丟失預防（DLP）上下了很大功夫之外，最重要的就是對內部的權限管理、異常行為發(fā)現等系統(tǒng)進行了升級，他們要做的是，“絕對不能再出現類似的第二個斯諾登?！?/p>

對于美國和全世界的人民來說，斯諾登毫無疑問是個英雄，但是美國國家安全局來說，“愛德華是機構歷史上最大的叛徒”，雖然他披露了很多非法監(jiān)控和非法審查的計劃，但對于NSA來說，這顯然是一種背叛的行為，“NSA恨不能有個時光機，在斯諾登這么做以前就把他抓起來坐牢”——一位Twitter上的用戶調侃道。

或許，斯諾登的出現對國際社會是件好事，但如果類似的“英雄”出現在你的企業(yè)中呢？想必這也是會讓人非常頭疼的吧？

Security concept with sneaky thief and laptop at night

毫無疑問，確保機密數據和資產的安全，一直是企業(yè)組織所面臨的一大挑戰(zhàn)，據美國波耐蒙研究所（Ponemon Institute）2015年的一項調查顯示，目前損失最為慘重的網絡犯罪案件多數是由企業(yè)內部人員監(jiān)守自盜導致，其次才是拒絕服務攻擊（DoS）和基于Web的攻擊。

這正應了那句俗話：“日防夜防，家賊難防”，組織內部的安全隱患往往具有隱藏深、發(fā)動時機不確定、難以及時辨認、對安全防范規(guī)程較為熟悉以及安全事件進展迅速等特點，這往往對組織機構的安全體系造成極大的破壞，對正常的業(yè)務、核心的數據甚至是組織機構的信譽造成不可挽回的嚴重損失。

但既然是“家賊”，就意味著威脅來源在組織機構中是“合理的存在”，擁有正常的行為權限和操作手段，甚至會將自己的威脅操作，隱藏在正常的工作流程和業(yè)務操作之中（比如說化整為零），變得難以察覺。

這也意味著想要通過過去安全防范體系中對“傳統(tǒng)惡意行為”的定義可能不能起到全部的作用。

另一方面，每家組織機構的業(yè)務流程、工作規(guī)范都不同：例如，在A公司屬于異常行為的操作（比如說深夜刷卡進入數據中心或是突然取消了數據備份作業(yè)），在B公司很可能就不是，反之亦然，這意味著對“惡意行為”的定義是動態(tài)的、不停變化的。

在面對以上兩種情況的時候，傳統(tǒng)的安全防范機制是撰寫大量的規(guī)則，這種方式費時費力不說（要為每一個部門、每一類人員都撰寫一套規(guī)則），還需要時刻更新大量規(guī)則（某些部門最近加班較多或是近期公司業(yè)務規(guī)則發(fā)生變化）；

而且，此外，還需要時刻處理死板規(guī)則產生的大量報警（臨時性出現的業(yè)務需求或產品故障，導致了緊急性的大量事物處理）。

可以說，傳統(tǒng)的方式不僅不能防范很多居心叵測著深藏不露、化整為零的安全威脅，更在及時性、靈活性和工作繁重性上不能夠滿足組織機構安全管理團隊的需求。

拋開斯諾登所作所為的正義性不談，誰的組織機構、企業(yè)公司內，都不希望出現斯諾登式的人物，因為這類人物的出現往往不是在內部進行破壞，就是將收集到的數據信息出賣給企業(yè)的競爭對手或是不利于自己的第三方，如果傳統(tǒng)的內部安全威脅防范方式越來越捉襟見肘，那么有什么樣的新技術可以彌補甚至是取代傳統(tǒng)的技術呢？

用戶行為分析：讓大數據+算法告訴你真相

設想一下，如果我們能夠將每一個用戶的行為——他的業(yè)務流程、工作方式、日常習慣和權限權責等——都集中在一個完整的大數據平臺集合中并加以分析，為用戶建立執(zhí)行的正常活動確立基線，也就是用戶“日常行為的畫像”，就能夠迅速識別偏離正常行為的異常行為，以便安全分析員執(zhí)行調查。

這聽起來像不像：小明每天放學后都要在家打游戲，今天到家后卻很殷勤的又給媽媽端茶倒水，又幫爸爸拿拖鞋，還主動帶著家里的小狗下樓遛彎，恩，這些反常的舉動一定存在著什么蹊蹺！比如說，小明是不是前幾天的期中考試成績不太理想？！

是的，這就是用戶行為分析（UBA）所做的事情。UBA的原理很像小明父母發(fā)現他的異常舉動所必需的大腦思考過程：使用統(tǒng)計分析和機器學習技術，UBA使用統(tǒng)計分析和機器學習技術，實時分析并了解用戶行為和模式，從而檢測和評估企業(yè)中的高危用戶行為。

當然，筆者更相信小明的父母是因為對自己孩子了解至深。UBA也在幫助企業(yè)深入了解自己的內部系統(tǒng)，達到明察秋毫的目的。

UBA可以主動尋找內部威脅和欺詐行為、檢測高級的惡意軟件活動、密切關注用戶的行為行動，從而自動識別高危行為，并向安全分析員表明用戶的風險狀況。這一切不需要分析員花大量的時間來篩選大量的誤報干擾警報，UBA可以有效地關聯安全警報，并確定優(yōu)先級。

但就像我們的大腦有時候也會出現誤判一樣（比如說小明當天的殷勤舉動，不過是想要買一本《哈利·波特》新的續(xù)集），聰明如UBA也會出現“誤報”的情形：畢竟，一名授權用戶試圖在半夜訪問企業(yè)組織的文件服務器是有多種可能的，這其中既有可能是一起登錄信息被惡意利用的事件：攻擊者企圖將數據泄露到服務器外面，以竊取企業(yè)信息或知識產權，也有可能只是該用戶當晚有維護工作，不得不凌晨時分還要繼續(xù)工作。

嚴格來說，UBA的“誤報”分為兩種情況：

第一種，是在設定“基線”的時候出現的問題，導致“正?；顒踊€”并不能準確的衡量用戶的異常情況，這是機器“誤報”；

第二種，是在將UBA所產生各種數值結果呈現給安全分析員、安全管理員時無法準確讓后者理解并作出判斷，導致的人工“誤判”。

針對UBA使用中的上述兩類情況，HanSight瀚思為瀚思用戶行為分析系統(tǒng)（HanSight UBA）進行了兩項針對性的優(yōu)化：

首先，HanSight UBA不再簡單的以個體的活動作為“基線”的設定標準（即橫向的與個體自身的歷史記錄比較），更進一步加入了“以群為單位的多維度基線偏離（即與同部門、同業(yè)務的人的行為進行對比）”，進一步降低了誤報的幾率；

HanSight瀚思以群為單位的多維度基線偏離降低誤報

其次，HanSight UBA已經內置37種檢測場景，并可以通過獨特的“儀表盤”功能，將機器學習和算法產生的各種數值結果翻譯成用戶能夠理解的安全場景，從而讓安全管理員或安全分析人員能夠從最直觀的信息展示中做出預判，減少因對數值結果理解的偏差而造成的誤判。

可以說，UBA的出現，是企業(yè)信息安全防范技術的一個突破，它不再將安全風險防范的目標僅僅聚焦在“如何定義‘黑’（即病毒、木馬、DDoS攻擊、非法入侵等）上”，轉而將安全分析的對象瞄準“白”，也就是通過定義正常的日常操作與業(yè)務活動，設定企業(yè)安全無風險的“基線”，讓所有的“黑”——特別是對企業(yè)威脅最大的內部安全隱患——直接曝光在“光天化日之下”，原形畢露。

HanSight UBA是一項涉及數據整合、數據挖掘、關聯、數據呈現及可視化和服務交付等多種技術的集成式解決方案，它的高效實現基于兩點：

第一，是否能夠收集到足夠的、有效的組織機構結構化信息和非結構化信息，形成服務于UBA的大數據集合；

第二，是否有高效的算法，以此建立高效、準確的UBA分析引擎，這樣才能在將含有業(yè)務上下文的合適數據接入引擎后，獲得較為準確的基線和更為準確的報警。

可以說，UBA是一項由“大數據+算法”告訴你真相的安全風險防范技術，但是UBA的算法可不僅僅是“編程”或是“計算方法”這么簡單。

UBA最終拼的是機器學習

我們知道，UBA的思路就是“假定人群中是好人居多的，于是要從人群中找到大部分人做事的規(guī)律，再把不符合規(guī)律的壞人挑選出來”，這就意味著，你沒法事先知道機器或用戶的好壞，所以只能先假設他們是惡意的，你的網絡和系統(tǒng)是缺乏抵抗力的，所以你時刻對每個人的行為進行監(jiān)測和制作模型，從而找到惡意行為者。

這也就意味著，對用戶來說，合格的UBA解決方案是自動化、智能化的，極少需要人工參與，UBA的全流程——建立大數據集合，進行監(jiān)測，放棄了人工干預的規(guī)則制定，建立安全防范的行為模式模型（基線）——需要的是具有自學習能力的“算法”，即機器學習。

因此，UBA的技術核心就是使用無監(jiān)督式的機器學習算法監(jiān)測用戶的行為模式，建立模型，進行監(jiān)測，并作出判斷和預報。

瀚思用戶行為分析系統(tǒng)-HanSight UBA

作為國內首家真正實現多維度用戶行為分析的UBA產品，HanSight UBA集成了四大類算法集合及數十種算法，其中不僅有常見的聚類算法，更包括了數據拓撲分析、變分自編碼器等無監(jiān)督機器學習業(yè)界前沿的研究成果，再將其與內置的37種檢測場景相結合，構建了一整套監(jiān)督和非監(jiān)督式的機器學習體系。這不僅讓HanSight UBA有助于顯示異常行為和身份識別頻率，發(fā)現嚴重的內部威脅和針對性高級攻擊，更使得異常分析在企業(yè)缺乏標注安全數據的情況下也能達到好的效果。

除此以外，HanSight瀚思在HanSight UBA中引入了機器學習領域日益成熟的GPU技術，利用GPU優(yōu)化的高速算法，在普通服務器上，進一步的提高了UBA異常檢測的速度，“一分鐘內就能完成大部分企業(yè)業(yè)務場景下的行為數據分析”。

隨著機器學習、GPU優(yōu)化、場景檢測等技術不斷地豐富UBA的功能、提高和加速UBA的判斷速度，UBA將在許多方面為企業(yè)提供巨大的價值：它提供了企業(yè)內部安全威脅的快速預判和極佳可見性，以便企業(yè)深入了解潛在的內部威脅，評估用戶的正?；顒优c異?；顒又械男袨樽兓？梢哉f，UBA正在成為新一代以認知計算、人工智能為核心的信息安全防范體系的代表性產品。

但對組織機構的安全管理員、分析員們來說，想要獲得UBA所提供的巨大價值，仍然需要進行大量的工作，從前期的數據收集與接入，到密切關注基線建立期的用戶行為，再到充分理解UBA所展現的威脅情報，以及日常UBA運行中的矯正與優(yōu)化，這都需要安全團隊投入100%的精力和努力。

當然，為此付出再多的努力對安全團隊和組織機構的運營者們來說也是值得的，畢竟，UBA相比傳統(tǒng)的安全威脅防范技術已經是很大的進步，更何況，誰也不希望在自己的組織機構內部，給那些對敏感信息覬覦已久的黑手，哪怕是萬分之一的機會。

作者：HanSight瀚思

王珂玥

存儲在線（DOSTOR）主編