当数据成为数字经济时代的核心生产要素，就不再仅仅是狭义的“数据”了。围绕数据的市场竞争已经把它上升到了公司生死存亡的位置――这是社会发展变化的标志，但同时也在企业内部制造了一个全新的“漏洞”。 　　

　　

　　技术力量不足造成的漏洞总是可以修补的，真正难以被察觉的永远是无法提前预知的“人性”。根据版本发布的《2021年数据泄露调查报告》，超过85%的数据泄露事件来自内部人员。 　　

　　

　　 　　

　　

　　比如当时轰动一时的“YTO快递内鬼”案，境内外合作者买卖公民个人信息1300多万条，涉及多个省市，甚至跨境至东南亚；还是导致公司市值暴跌10亿的魏梦“删库跑路”案，都是由魏梦R & amp当时的d中心。任何人看到这些案例都会感叹，或者说“外贼易挡，内贼难防”。 　　

　　

　　 　　

　　

　　这是太残酷的教训，不能等到木已成舟。对于企业来说，如何才能先冒险，把那些不定时炸弹一一控制住，避免不可估量的后果？也许风险管理平台能有所帮助。 　　

　　

　　一个系统，万般手段 　　

　　

　　企业发展到一定规模，总会面临商业模式复杂，集团员工众多，角色复杂，业务链上有大量员工可以接触和访问集团内的敏感数据的问题。作为公司的价值资产，这些核心机密数据需要得到强有力的保护。 　　

　　

　　 　　

　　

　　但是人的精力总是有限的，所以不得不用工具来完成大量繁琐的人类力所不及的保护工作。只有单一工具精而不杂，总会有或多或少的漏网之鱼。如果所有的数据平台都能用一套完整的安全数据系统统一管理和监控，就能完美满足企业防止内部员工泄露数据的需求。 　　

　　

　　对于企业来说，构建这样一个安全的数据系统意味着什么？笔者询问了极盾科技产品负责人郑东东，他给出了自己的答案。 　　

　　

　　极盾科技产品负责人郑东东 　　

　　

　　“需求决定供给，我们的客户满足了控制IT风险的需求，所以我们开发了新一代产品。”他告诉笔者，拿到需求后，吉盾希望做一个产品。通过分析企业内部员工的业务操作行为，实时检测员工是否有异常或违法行为，进而发现是否存在敏感数据外流、泄露等安全隐患。结合模块化风险指数算法，构建企业内部控制策略模型，有效降低和控制内部人员造成的数据泄露风险。这一初衷贯穿了研发的全过程。d，但是落地的过程并不是一帆风顺的，期间做了大量的优化和调整。 　　

　　

　　“员工的在职状态、账号和权限、操作行为构成了企业核心风险管控的三要素。最初，我们希望通过访问各种内部流量、Web服务器访问日志等数据，构建内部人员的行为轨迹，从而挖掘其中隐藏的风险。” 　　

　　

　　理想很丰满，现实却很骨感。在与客户的不断接触和实际测试过程中，郑东东发现来自后端的数据，如流量、Web服务器访问日志等。可以反映人们在日常操作过程中访问的数据及其行为习惯。但由于这些数据都来自后端，自然缺少人在运营过程中的业务信息，所以不能很好地适应各方客户的不同业务场景，这些场景是针对适用市场快速迭代变化的。 　　

　　

　　他展示了一份网络服务器访问日志： 　　

　　

　　30/Dec/2020:15:13:27 0800 ' GET/API/download _ file？uid=00103920 HTTP/1.1 ' 200 5127 ' http://10 . 0 . 1 . 15/index . html ' ' Mozilla/5.0(Macintosh；英特尔Mac OS X 10 _ 13 _ 6)apple WebKit/537.36(KHTML，像壁虎一样)Chrome/87 . 0 . 4280 . 88 Safari/537.36 ' ' jsessionid : BC 6 c 865 e 33 aa 46 e 899 f1 de 732 DCA 6 ed 6 ' '-' 　　

　　

　　根据上述日志，只能知道一个未知用户(基于Cookie信息，但无法关联到具体用户)正在下载一个未知文件(根据URL地址猜测)。即使你有这次访问的所有流量数据，也只是增加了访问涉及的数据(根据请求体或者响应体的内容)。无法知道在正常业务需求范围内访问这些数据是否合理。 　　

　　

　　也正是基于此，吉盾自主研发了一套以员工为主体，以业务为标杆，精准记录每一个业务操作行为，配合自主研发的毫秒级实时分析和自适应策略的采集系统。 　　

略、UEBA等技术底座，以“觅踪”之名，实现了初衷的落地。

　　

　　

　　

　　

全天候无死角的“无感”平台是怎么炼成的？

　　

企业能自成一体，自然是有其顺利运行的一套业务逻辑的。但很多安全产品在采集数据之前，往往需要相关人员在所有被采集端上主动安装诸如终端DLP、HIDS、RASP等采集软件，采集软件的稳定性和可靠性直接影响到被采集端；也有WAF、IPS这样的部分安全产品在数据的采集和防护过程中需要串联到相关流程里，产品的使用将直接影响到后续的处理流程。

　　

笔者提出疑问，如果安全防护系统影响了正常的业务开展，是否就完全本末倒置了？郑冬东肯定了这一说法。他说，为了最大程度减少对企业现有流程的影响，觅踪特别采用了“无感采集”的策略。

　　

“大部分安全产品购买后，还需投入专人调整策略，以适应不断变化的业务。此外，不同厂商的产品策略往往不通用，需重新进行学习。觅踪策略的无感自适应，可以明显缩减企业投入专人的成本。”

　　

　　

　　

　　

觅踪的“无感”主要体现在几个方面：

　　

01 采集接入方式的“无感”

　　

觅踪可以通过前端反向代理的特定模块，自动往被代理系统页面中插入采集脚本，实现对被采集系统的无感接入。

　　

02 数据采集的“无感”

　　

觅踪使用基于Web端的脚本方式，异步实时采集用户在Web端的行为，用户在日常操作过程中完全无感。同时，整个采集过程异步于主业务流程，对业务流程操作全程无阻塞无影响。

　　

03 策略自适应的“无感”

　　

觅踪的策略基于过往用户行为基线特征，在运行过程中不断自动学习和调整，安全运营人员全程无感，无需人工介入。

　　

虽是“无感”，防护效果却是一点不差。觅踪的页面级360°无死角防护堵死了几大风险出口，让操作的每一步都有迹可寻，责任到人。

　　

　　

　　

　　

除了用“无感”完成快速无侵入的集成任务外，觅踪还克服了数据集成中对不同格式数据的解析难点。郑冬东表示，觅踪内置了国内外知名安全厂商上百款产品的数据格式的自动识别和解析规则：

　　

当常规和内置均无法满足时，对具有一定技术背景的安全人员提供例如正则表达式、GROK表达式、自定义脚本等进行解析；

　　

如果负责安全的人员在技术背景上有所欠缺，也有基于数据特征匹配的解析方式，点点鼠标即可完成复杂数据的快速自定义解析。

　　

　　

　　

　　

觅踪自研的采集端不仅完全没有数据解析的问题，还内置了海量适用于一般常规、底层安全场景的策略模型。这意味着什么？意味着安全人员将从这些常规的、底层的安全场景中解放，专注于企业特有的更高层次的业务场景的分析。

　　

但多变的业务是不可能完全内置实现的。这时便可通过可视化实时配置、生效的规则，帮助安全人员根据企业具体的业务场景，快速定制这些场景的特定规则，上线并验证其效果。

　　

　　

　　

　　

谈及自动化的安全，郑冬东表示，有一个很大的前提是能够标准化――因为在企业的各个安全活动过程中，安全运营工作是较难以标准化的。目前觅踪采用了基于场景化的自动相应处置，可根据需求灵活定制，避免了统一标准化后可能带来的疏漏。

　　

“觅踪是极盾对当下情况的最优解决方案，在未来，如何实现安全运营的标准化和自动化将成为自动化安全的重中之重。”

　　

　　

　　

　　

　　

后疫情时代，他们在前进

　　

笔者从郑冬东口中得知，极盾的核心开发人员均来自同盾科技、美团、阿里巴巴等国内各领域独角兽公司，有近10年的大数据风控、实时流计算、大规模分布式系统等方面极为丰富的经验。这些老兵用自己多年的实践所得，自研了一套适用于安全领域的实时决策引擎和实时指标引擎，实现了毫秒级的风险检测。通过近一年的不断优化和测试，这套引擎已经在几家大客户处稳定运行――但有些客户处，他们甚至都没进过门。

　　

　　

　　

　　

为了适应当下疫情的大流行，减少人员的接触和异地流动，团队在北京某国内地产公司采用远程实施部署上线了觅踪系统，通过自动化部署进行了觅踪的安装和配置。随着数据不断被收集，内置的业务场景和自适应策略在用户无感知的情况下自行开始运作。整个过程中，双方人员并无直接接触，却圆满完成了觅踪的上线和落地。

　　

郑冬东说，面向未来，极盾将更多通过引入AI等新兴技术，实现更加智能的自动化分析，建立一套可自适应不断变化着的业务活动的安全策略模型。当出现风险时，可在第一时间内发现受影响的业务并行告警通知相关安全负责人员，同时根据所发生的事件去评估问题业务所带来的风险价值，自动执行预设的安全剧本。这些技术和方式，都将有助于提升企业自动化安全运营的能力，从而提升企业整体安全水位线，实现企业内部的长治久安。