1/4的数据泄露来自内部，八分量持续免疫系统助力防御内部威胁

－今年4月，世界通信技术行业巨头威瑞森公司（Verizon）发布《2017年数据泄露调查报告》。报告称，近1/4的数据泄露是由于企业内部人员造成的，内部威胁逐渐成为数据泄露的主要原因之一。

内部威胁不同于外部威胁，攻击者主要来自安全边界内部，一般具有高危性、隐蔽性、攻击主体、手段多元化的特征。内部威胁对许多知名企业造成了难以置信的破坏: 韩国信用局因为其计算机承包商滥用访问权限造成2700万条信用卡信息被盗; 美国石油天然气公司EnerVest则因为解雇的员工报复, 所有网络服务器都被恢复成出厂设置，导致企业30天的全面通信与业务操作中断以及数十万美元恢复费用等。

此外，由于外包业务的不断发展，企业边界日趋模糊，外包服务商逐渐成为企业另一种形式的“内部人员”。在为企业提供专业服务的同时，外包服务商也成为了新的安全威胁。尤其是在IT领域，负责开发和维护企业应用系统的外包合作人员通常都掌握合法账户，可以顺利通过认证，进入到组织内部的核心网络区域。一旦外包人员成为内鬼，很容易导致企业数据泄露。

2013年6月轰动全球的斯诺登“棱镜门(PRISM)”事件就是一起典型的外包服务商泄密事件。作为参与安全工作的一名承包商雇员, 斯诺登利用职务便利从美国国家安全局拷贝了数十万份机密文件, 向媒体揭露了美国国家安全局与联邦调查局于2007年启动的美国有史以来最大规模秘密监控项目。“棱镜“项目的泄密，不仅给奥巴马政府摆上一连串棘手难题，也给国际社会带来巨大冲击。

    内部泄露事件屡屡爆出，与市场缺乏相关的解决方案有关。在安全牛发布的2017年上半年度《中国网络安全企业50强》名单中，多数企业提供的产品是面对边界防御、终端防护、病毒查杀等，这一类边界防护产品也是目前多数企业的选择。但遗憾的是，边界防护并不能有效解决内部威胁。从防护的实现原理来看，边界安全防护措施多是采用面向过去的解决思路，病毒库、相关防御配置规则都是建立在对已经发现的相关侵害特征上。而内部攻击者多是直接绕过边界防护，在边界内部发起攻击，窃取核心数据不废吹灰之力。

    如何应对来自内部人员的威胁？全球知名行业机构Gartner认为，实时监测用户行为是一种可以持续保护企业安全的方案，能够帮助企业行之有效的处理来自内部的安全问题。

    基于UEBA（用户实体行为分析）思想，八分量团队结合国际领先的可信计算技术与人工智能技术，能在大量目标系统历史数据的支撑下，对不同跨度的目标进行行为分析并建立起对应的画像数据，据此实现对检测目标的异常行为侦测和响应。一旦操作有违常规，行为将被限制，不依靠“认证即信任”的安全模型，而是“防患于未然”的新思路。因此，即使是拿到最高管理权限的内鬼，因操作习惯有违常规，也将被及时锁定，无计可施。