压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：天空衛士ITP（內部威脅防護）體系及基于行為分析的ITM（內部威脅管理）解決方案，在全球范圍獨家實現基于內容安全引擎和用戶行為分析引擎的智能融合，用戶行為分析的結果將直接作用于內容安全引擎的策略執行，同時內容安全引擎捕獲的事件、行為數據反哺于用戶行為分析引擎，雙擎合一將能更好地保護企業數據資產安全。

鞏文堅????天空衛士合伙人、董事、副總裁

大數據時代的企業數據資產保護是指我們要通過內容的感知和行為的分析來去防范來自于內部的威脅，這個詞是一個比較新的名詞，是我們率先提出來，但是我們現在從剛剛結束的Gartner分析師大會上看到這個詞越來越多被人接受。

我們提出的是企業數據就是資產，現在大量的數據在外面飄著，你知道我的名字鞏文堅，好像不覺得是有什么問題。但是你知道我的家庭地址了，我的信息帶來的價值一下就指數級的往上翻。如果你再知道我的收入，如果你再知道我的銀行密碼，如果你再知道我其他方面的因素，每個你掌握我的信息，每多一個維度，我這個信息所帶來的價值是一個指數級的往上漲。對我們公司來講核心數據就是我們的代碼，比如我們這家公司今天突然沒了，只要我們代碼還在，明天可以把這家公司重新恢復起來。

企業這些信息，我們說外界來攻你，通常是有兩種類型的攻擊。一種叫做失能式的攻擊，我把你攻掉，讓你不能提供服務了，這種一般你就馬上知道了。另外一種攻擊叫信息的竊取式的攻擊，這種攻擊除非是出于某種原因別人公開了，或者你事后通過態勢感知中心，事后分析出來我可能有信息被人盜了，否則你不知道你的信息是失竊的，這個跟錢不一樣，一百塊錢你拿走了我就沒有了，但是我身份證被你照走以后，我不知道你照走，你可以傳給無數人。美國有一個統計，我們中國的統計現在我沒有拿到，美國這個統計是說77%的數據泄露是由內部人員造成的。還有8%是內外勾結造成的，只有11%是完全由外部攻擊造成的，防范企業的數據泄露，很重要的一個地方就是要防止信息從內部泄出去。我們提出的口號叫做防范內部威脅，這是有它的來由的。

不瞞大家說，我們的工程師，我們在座有很多廠商，我自己之前也在很多廠商服務過，到客戶那里做POC的時候，一般總愿意把情況說的嚴重一點，好讓客戶買單。現在我們這家公司到客戶那里去做完POC以后，把這個測試報告是往淡一點寫，往輕一點寫。為什么呢？太嚴重了，寫了以后怕我們的工程師出不了門。我們有一個做國家關鍵領域項目的工程師每次去都提心吊膽，因為他看到太多不該看到的東西。我們說企業內部面臨非常大的數據泄露的威脅，可能有人說我們的企業是內外網隔離的，一樣有這個問題，我下面都會給大家談到。

我們說今天的企業網絡是叫做腹背受敵，內憂外患，為什么腹背受敵呢？我們過去的網絡，我自己做網絡很多年了，我當時在思科的時候在中國推防火墻，我那時候是做工程師的。老的概念是跟過去打仗一樣，我們做一個城墻，現在沒有城墻了，現在你現在搞一個軍事，搞一個城墻大家笑話死了，你現在建一個企業網絡，希望我所有的東西都在我企業防火墻里面來保護，這是不可能的事情。因為今天我們有大量的云計算，大量的虛擬機，大量的部署在非我的信息中心節點里面，今天這個網絡，我經常跟我們客戶開玩笑，你的虛機搞不好你的攻擊對手在一臺物理實機上，這都是有可能的事情。我們企業很多人擁有太多太高的權限，這些人擁有這些權限，會造成非常大的數據泄露的一個隱私，一個潛在的風險。我們很多企業都不把這個當回事。

我們的企業不是沒有安全手段，我們有很多安全手段，比如行政管理，比如有權限管理，比如有加密，但這些方式都是防君子不防小人，不能真正解決問題。我經常形象的做一個比喻，這個就是我們大院的看門老頭，他認識你了，或者你有證件了，你就進去了，但是你帶著什么證據，你公文包里面裝的是文件還是是炸藥，他是不管你的，他不能感知內容。加密是一個有效的手段，但是加密它防止的是我信息在傳輸過程中的泄露，但是如果我是一個惡意的，就是要把這個信息泄露出去，加密反倒保護了泄密這樣一個行為，因為我傳出去的東西你是不知道的，我傳了一份機密文件，IT那邊根本看不到傳輸什么東西。過去傳統的數據安全保護的方式，最大的弊端是不知道內容，就像看門老頭他知道你這個人是誰，但是你不知道你公文包里面是文件還是炸藥。

我們要解決這個問題就要采取數據防泄露DLP技術，DLP技術是從內容上去進行感知。講的再形象一點，這個就像機場里面的安檢措施，不管你是誰，你進來我統統都要搜身，把你帶的違禁東西列出來，再看你這個人有沒有權限帶這些東西出去。比如你是一個警察，我有相關的證明，可以帶槍上去，完全感知你在帶什么樣的內容，這是我們叫DLP的技術。

DLP有很多層級，比如你在網上搜三胖這個詞搜不到，被屏蔽掉了，你搜新月半，經常能跳過去，我們現在用的最高層面，叫自然語言處理和指紋，所有這些機密文件過來的時候，先要生成一個動態的指紋，所有你任何要出去的東西也會生成一個動態指紋，這兩個動態指紋進行比對。如果發現命中以后，就會觸發我們預先定義好的策略。通過這種方式去保護企業的數據，怎么去做呢？我經常講一句話，我們企業有兩個誤區，第一個誤區叫做數據發生泄露了自己無動于衷。第二個誤區，想一把把所有的漏洞都堵上，這兩個都是不現實的。應該采取的措施是什么呢？我們叫做統一規劃，分步實施。我們想象我們企業是一個漏水大堤，到處往外漏水，這是非?，F實的。我們去企業里面，我們看到信息嘩啦嘩啦往外冒，我不能說哪漏堵哪，我要統一規劃，先看哪些漏點，第二要分步實施，要堵最大的漏洞點。根據我們現在的分析，最大的漏洞點在什么地方呢？在網關，你企業進出口，你的網絡出口那個地方，網關設備80%是從網關出去的。網關漏出去，我們發現網關里面最大的漏洞點是什么呢？郵件，郵件是非常大的一個泄密源。剛才順豐的劉新凱走了，我們現在在順豐里面第一步部署的就是郵件數據防泄露這套體系，先把這個最大的窟窿堵上。再去把網關其他地方堵上，網絡里面不僅有郵件，有QQ，有微信，再把你網關上其他的東西也給你堵上?；旧峡梢园岩粋€企業網絡里面70%以上的漏洞封住了，只要你在公司網絡里面，不管通過什么樣的方式，出去的東西統統被我攔住。

第三步，我們現在都是帶著自己的筆記本電腦，這些筆記本電腦我有時候出差，有可能帶回家了，這個時間點，我要回家里發一份秘密的東西出去，你攔不住我了，或者我不發，我回到家以后，接上我家的打印機打出來行不行？不行，我們要把它裝上終端的DLP設備，終端的DLP設備可以脫離服務器來運行的。只要裝上這個終端防泄露設備以后，帶回家，在咖啡廳里面不但不能發送這些敏感的信息，你還不能去存盤，還不能去打印，你還不能去截屏，把這一部分全給攔住了。

第四步，再把它嵌到一些應用里面，比如在企業內部里面也不能去出現一些不該出現的東西。比如企業內部的即時通訊，或者企業內部的云盤，或者我企業內部的一些關鍵應用等等，第四步，把內部的應用再補上。這個是根據我們中國的國情特殊來做的，我們剛開始推的時候，只推了前三步，第四步是根據我們國內一些客戶特殊的需求把它做出來的。

我說我們現在在做的東西，它完全感知到你的內容是什么，他知道你在傳什么內容，可以根據你內容的不一樣采取相關的措施。比如我們有數據防泄露，有郵件安全網關，我們稱之為統一內容安全一個組成部分。我接下來給大家講幾個典型的應用場景，比如第一個典型應用場景是什么呢？我們的政府機關或者我們一些保密單位，他說我是內外網完全隔離的，不需要做你們這套系統。我跟大家講一下，我們第一個客戶就是我們國家的一個安全機構，他用來就是防內網的，內網大部分泄密發生在什么地方呢？發生在兩個地方，大家以為內網是很安全的，數據交互環節一定會出問題。內網泄密的行為最有可能發生在兩個地方，一個是打印，一個是刻光盤。首先就是部署在打印服務器，在那里看誰在打印相關的東西，有沒有相關的權限。就像你發郵件一樣，有沒有權限發。刻光盤也是一樣，你有沒有權限刻這個內容的光盤。

我們很多保密單位既有內網也有外網，在所謂的外網或者商業網，到底有沒有出現不該出現在商業網里面的內容，需要進行掃描。我們在這里面很多的保密機構尤其是軍工企業他們有自己的內網，設計完全是用自己的，舉個例子，我們設計航空母艦，一定不是某一個所自己把它設計出來的，這一部分是我自己設計的，在內網進行交流。我跟其他所進行溝通的時候，我們有一些工作上的往來，我們是要用商業網，這個商業網是安全的，我們要看這個商業網有沒有存在一些不該出現的商業網里面的內容，不該讓所有所或者其他部門知道的內容。商業網查有沒有在絕密網里面不該出現在商業網里面的內容，要進行檢查。

金融是我們國內應用范圍最廣的一個領域，所有的金融機構包括大行小行、證券、保險、互聯網金融這些全部都在采用數據防泄露，現在國家對他們的監管壓力越來越大。大家可能都知道，你的銀行卡泄露怎么樣，保險信息泄露會怎么樣，很多做P2P商業貸款的，互聯網金融的，互聯網金融大家有一個誤區，互聯網金融大家以為保護的是那些貸款人的利益，其實不是的，貸款人你貸五萬八萬的，你的信息也重要，但沒那么值錢，真正保護的是出錢的，出五百萬出八百萬做股東人的利益。金融是所有這些客戶里面全行業都在上，上的力度非常大。

航空公司，我們相信今天在座每個人都經常接到航空公司你訂票以后，機械故障，航空公司類似的詐騙升級了。我前段時間有一個飛機延誤信息，你飛機延誤了，你要不要到旁邊消費之類的信息，我們國內最大兩大航空公司都在用這套體系，相信今后這種情況就會得到緩解。昨天我又看了航旅縱橫的信息又被人曝出來泄了。

快遞物流不講了，順豐現在全網都在用我們的系統，第一步他們做郵件防泄露，現在在部網關，接下來部署它的網關。

互聯網，像新浪面臨非常大的監管壓力，它的系統不能出現不該出現的一些內容。靠人工來去做，比如他有多少個小秘書這種方式，這種方式是不可能從根本上解決他們的問題。

我們剛才講的是數據泄露這一塊，我們的東西非常好，當你數據泄露的時候，被我抓住了。但是被我抓住是被我抓住了，但是數據泄露這個行為確實發生了，就像小偷被抓住了，我錢沒丟掉，但是小偷這個行為確實發生了。道高一尺，魔高一丈，我們為什么講新安全？因為傳統安全現在已經不起太大作用了，這是幾年以前，2013年五年以前EMC做的一個調查，EMC和RSA做的一個實驗，他們在EMC公司網絡里面做了兩周實驗，有很多問題，但是只是一部分被發現了，你一個安全措施搞出來，你是很長時間才需要升級，但是攻擊你的手段天天在升級，所以我們叫道高一尺，魔高一丈。怎么緩解這個問題？網絡安全有幾代，我比較有幸這幾代都參加了。第一代就是所謂的防火墻，后來大家發現光防火墻不行了，不但要知道你是從哪個端口進來，我還要知道你干什么的，需要做一些流量分析。我本人曾經在F5公司做過，做了幾年，是屬于這一代。我們說的第三代，我們能夠去感知內容和進行實時控制，包括剛才我給大家介紹的都是屬于第三代內容，但是這個扛不住了。我們要進行第四代，通過用戶的行為分析來去提前感知到一些事件，然后把這個安全事件扼殺在萌芽狀態，這是我們現在正在做的。

怎么做到這一點呢？我們有一個口號，這個可能跟過去不太一樣，我們叫做以人為根本的內部威脅防護。為什么講這句話呢？因為做內部數據泄露，它的根源是人，泄露發生的對象是人，不管我是一個外部的黑客來攻你，還是內部的一個泄露人員，有意或者無意的，都是人發生的，只要是有人，一定有行為來做分析。我們看看這個人的行為，你的正常行為和非正常行為會有什么不一樣。我們把這個東西叫ITP，內部威脅防護，聽起來這個名詞比較難以理解。簡單來說就是帶有內容感知的UEBA，帶有內容感知的用戶行為分析。為什么要加這個話呢？現在市面上有很多UEBA的廠商基本上不具備內容感知能力，有些能做內容感知能力又沒有UEBA，我們把內容感知加進去了，既可以感知你的內容，同時知道你的行為。我發現你行為異常的時候，我可以提前把你的內容給你封鎖掉。第二，我們是基于深度學習和統計分析技術的行為分析，捕捉你的異常行為，可以回溯你的現象。第三，這是一個開放式的架構，我們跟所有的廠商都是可以互相協作的。

為什么要做ITP呢？因為傳統的方式解決不了誤報率和檢出率，缺乏對安全事件的回溯能力，以及無法對已知風險進行匹配，這都是傳統的一些弊端，我們希望把它避免的。我們怎么去做呢？我們設立了一個叫TRS的威脅打分的系統，這個威脅打分的系統是由三個打分系統來組成的。一個叫做ARS，一個叫ERS，一個叫MRS。每個分數都會打出來以后，最后到TRS這個大系統里面進行打分。最后我們會拿到一個什么東西呢？會拿到你這個企業里頭最有可能或者高危險度的TOP100人，TOP100臺機器，你就知道你的企業下一步可能會發生什么問題了。

我們是怎么做到的？我們有三個打分系統，一個叫做ARS，什么叫ARS呢？簡而言之，ARS就是把你這個人的行為跟他過去的行為來進行比對。比如我們前一段時間發現李小璐、賈乃亮那個事件，賈乃亮不知道李小璐去做頭發了，李小璐那段時間肯定跟她慣常的行為肯定不一樣的。一個人搶銀行跟你天天上班的行為肯定不一樣。換成一個工程師，這個碼農天天上班的編程序的行為跟他準備去盜竊公司的原代碼的行為一定是不一樣的，把這些行為模式化，然后當你嚴重的違背了你日常模式的時候，你就會得到一個更高的威脅分數，不是你一定有問題，但是會得到更高的威脅分數，跟其他的行為來進行比對。當你總分高到一定程度的時候你就上榜了。

第二個叫MRS，給大家舉一個例子，這張圖要講五分鐘的，我給大家快速看一下這個動畫場景。模擬的是什么場景呢？一個黑客攻掉一個機器，這個機器迅速感染其他機器，迅速下載惡意的代碼準備來去攻你企業內部的其他東西，然后怎么被制止的一個過程。大家來看一下，這個設備已經被感染了，就橫向移動感染了其他三臺機器，三臺機器到外面搞惡意代碼進來，這個行為被記錄下來了，他們開始收集敏感文件，就被我們捕捉到，被DLP攔住了，給這個ITM，發現這兩個人的行為，把他們的安全等級提升了，這個人發加密文件的時候被堵住了，這個人去發送其他文件格式編碼的時候也被堵住了。我們通過這個人的行為進行行為上的分析，當行為上的分析高到一定程度以后，就把跟他有類似行為的人同樣都打上更高的安全等級分數。當他們要以不同形式往外去發送的時候，最后統統被系統給攔截住。通過這種方式去保證企業內部這個數據行為還沒有發生的時候，這兩個人已經提前被抓到了。

第三個打分系統叫ERS，意思是專家打分系統。什么意思呢？有些行為在你企業里面還沒有發生過，但是根據我們在其他企業的經驗，比如舉了一個例子，離職員工竊取公司數據，這是我們從其他公司那里做出來的一個專家系統。在你企業還沒有發現，但是我已經給你提前打疫苗了，正常發送的時候是沒有問題的，當離職員工最后被我判斷出來，你有可能去竊取數據的時候，就提前把這個人的分數拉高了，當他真正要去發送數據的時候就會被攔截到。這個有點像打疫苗的概念，當你這個行為還沒有發現，但是你跟我其他企業里面的ERS特征非常相象的時候，你可以直接把他攔截住。

我們剛才講的這些東西它的核心是叫ITM的東西，這個東西它不但能夠控制我們天空衛士自己的DLP的系統，還有我們一些郵件安全網關系統，還可以跟其他公司組成一個更加強大的系統。比如我們現在正在跟一些我們國內的友商進行合作，我們希望可以跟它的威脅情報系統，或者跟它的上網行為管理，大家可以去聯動。一方面從我們這里判斷出的一些威脅事件，可以控制他們的設備，控制進出。另外他們可以收集到一些相關的數據，可以給我們，可以做三個打分系統，數據來源更加的多，打分可以打的更加精準。我們建立一個叫做企業數據安全聯盟，我們把國內一些在技術上非常有專長的企業，我們都聚在一起，大家有一個共識，我們要互相開放相關的這些技術接口，我們將來可以去做技術的聯動。

簡單總結一下今天我講的東西，我們講的東西是兩個，我們今天講的東西叫內部威脅防護，是由兩個部分組成的。一個部分我們叫UCS，統一內容安全，就像機場安檢似的，只有你所有進出的內容，可以進行實時管控。另外叫內部威脅防護，它根據你的行為來去分析你可能會造成的威脅，然后在真正威脅行為發生之前，他就可以通過這邊的設備提前對這些人的行為進行約束。比如你能出去，現在不能出去了，這兩個系統是互相打通，互相聯動的。

我們下一步有一個更加美好的夢想，我們希望能向仿生學發展，我們人是有免疫系統的，人怎么天天在惡劣環境里面保證我們不生病的，當然就講的更長遠一點了。我們希望未來能打造一個類似于像人體免疫這樣一個系統。天空衛士我們是一個很年輕的公司，我們15年才成立，我們這些人基本上都是在外企打拼了很多年的?，F在決定在安全領域里面可以踏踏實實為國家去做一些事情，我們已經拿到了很多證書，包括現在在軍隊里面拿到了民用企業所能拿到的最高軍隊的證書，現在基本上包括人民解放軍，包括國安，包括我們國內一些金融、互聯網、政府、企業都是我們現在的客戶。我們的目標就是網絡的天空是必須要用中國的網絡技術來防護，這就是我們的理想。今天因為時間的關系，就介紹到這里，我們外面有展臺，如果大家有不太清楚的地方，可以隨時到我們展臺，或者約我們跟大家做一個更深入的技術交流。