摘要：天空卫士ITP（内部威胁防护）体系及基于行为分析的ITM（内部威胁管理）解决方案，在全球范围独家实现基于内容安全引擎和用户行为分析引擎的智能融合，用户行为分析的结果将直接作用于内容安全引擎的策略执行，同时内容安全引擎捕获的事件、行为数据反哺于用户行为分析引擎，双擎合一将能更好地保护企业数据资产安全。

巩文坚    天空卫士合伙人、董事、副总裁

大数据时代的企业数据资产保护是指我们要通过内容的感知和行为的分析来去防范来自于内部的威胁，这个词是一个比较新的名词，是我们率先提出来，但是我们现在从刚刚结束的Gartner分析师大会上看到这个词越来越多被人接受。

我们提出的是企业数据就是资产，现在大量的数据在外面飘着，你知道我的名字巩文坚，好像不觉得是有什么问题。但是你知道我的家庭地址了，我的信息带来的价值一下就指数级的往上翻。如果你再知道我的收入，如果你再知道我的银行密码，如果你再知道我其他方面的因素，每个你掌握我的信息，每多一个维度，我这个信息所带来的价值是一个指数级的往上涨。对我们公司来讲核心数据就是我们的代码，比如我们这家公司今天突然没了，只要我们代码还在，明天可以把这家公司重新恢复起来。

企业这些信息，我们说外界来攻你，通常是有两种类型的攻击。一种叫做失能式的攻击，我把你攻掉，让你不能提供服务了，这种一般你就马上知道了。另外一种攻击叫信息的窃取式的攻击，这种攻击除非是出于某种原因别人公开了，或者你事后通过态势感知中心，事后分析出来我可能有信息被人盗了，否则你不知道你的信息是失窃的，这个跟钱不一样，一百块钱你拿走了我就没有了，但是我身份证被你照走以后，我不知道你照走，你可以传给无数人。美国有一个统计，我们中国的统计现在我没有拿到，美国这个统计是说77%的数据泄露是由内部人员造成的。还有8%是内外勾结造成的，只有11%是完全由外部攻击造成的，防范企业的数据泄露，很重要的一个地方就是要防止信息从内部泄出去。我们提出的口号叫做防范内部威胁，这是有它的来由的。

不瞒大家说，我们的工程师，我们在座有很多厂商，我自己之前也在很多厂商服务过，到客户那里做POC的时候，一般总愿意把情况说的严重一点，好让客户买单。现在我们这家公司到客户那里去做完POC以后，把这个测试报告是往淡一点写，往轻一点写。为什么呢？太严重了，写了以后怕我们的工程师出不了门。我们有一个做国家关键领域项目的工程师每次去都提心吊胆，因为他看到太多不该看到的东西。我们说企业内部面临非常大的数据泄露的威胁，可能有人说我们的企业是内外网隔离的，一样有这个问题，我下面都会给大家谈到。

我们说今天的企业网络是叫做腹背受敌，内忧外患，为什么腹背受敌呢？我们过去的网络，我自己做网络很多年了，我当时在思科的时候在中国推防火墙，我那时候是做工程师的。老的概念是跟过去打仗一样，我们做一个城墙，现在没有城墙了，现在你现在搞一个军事，搞一个城墙大家笑话死了，你现在建一个企业网络，希望我所有的东西都在我企业防火墙里面来保护，这是不可能的事情。因为今天我们有大量的云计算，大量的虚拟机，大量的部署在非我的信息中心节点里面，今天这个网络，我经常跟我们客户开玩笑，你的虚机搞不好你的攻击对手在一台物理实机上，这都是有可能的事情。我们企业很多人拥有太多太高的权限，这些人拥有这些权限，会造成非常大的数据泄露的一个隐私，一个潜在的风险。我们很多企业都不把这个当回事。

我们的企业不是没有安全手段，我们有很多安全手段，比如行政管理，比如有权限管理，比如有加密，但这些方式都是防君子不防小人，不能真正解决问题。我经常形象的做一个比喻，这个就是我们大院的看门老头，他认识你了，或者你有证件了，你就进去了，但是你带着什么证据，你公文包里面装的是文件还是是炸药，他是不管你的，他不能感知内容。加密是一个有效的手段，但是加密它防止的是我信息在传输过程中的泄露，但是如果我是一个恶意的，就是要把这个信息泄露出去，加密反倒保护了泄密这样一个行为，因为我传出去的东西你是不知道的，我传了一份机密文件，IT那边根本看不到传输什么东西。过去传统的数据安全保护的方式，最大的弊端是不知道内容，就像看门老头他知道你这个人是谁，但是你不知道你公文包里面是文件还是炸药。

我们要解决这个问题就要采取数据防泄露DLP技术，DLP技术是从内容上去进行感知。讲的再形象一点，这个就像机场里面的安检措施，不管你是谁，你进来我统统都要搜身，把你带的违禁东西列出来，再看你这个人有没有权限带这些东西出去。比如你是一个警察，我有相关的证明，可以带枪上去，完全感知你在带什么样的内容，这是我们叫DLP的技术。

DLP有很多层级，比如你在网上搜三胖这个词搜不到，被屏蔽掉了，你搜新月半，经常能跳过去，我们现在用的最高层面，叫自然语言处理和指纹，所有这些机密文件过来的时候，先要生成一个动态的指纹，所有你任何要出去的东西也会生成一个动态指纹，这两个动态指纹进行比对。如果发现命中以后，就会触发我们预先定义好的策略。通过这种方式去保护企业的数据，怎么去做呢？我经常讲一句话，我们企业有两个误区，第一个误区叫做数据发生泄露了自己无动于衷。第二个误区，想一把把所有的漏洞都堵上，这两个都是不现实的。应该采取的措施是什么呢？我们叫做统一规划，分步实施。我们想象我们企业是一个漏水大堤，到处往外漏水，这是非常现实的。我们去企业里面，我们看到信息哗啦哗啦往外冒，我不能说哪漏堵哪，我要统一规划，先看哪些漏点，第二要分步实施，要堵最大的漏洞点。根据我们现在的分析，最大的漏洞点在什么地方呢？在网关，你企业进出口，你的网络出口那个地方，网关设备80%是从网关出去的。网关漏出去，我们发现网关里面最大的漏洞点是什么呢？邮件，邮件是非常大的一个泄密源。刚才顺丰的刘新凯走了，我们现在在顺丰里面第一步部署的就是邮件数据防泄露这套体系，先把这个最大的窟窿堵上。再去把网关其他地方堵上，网络里面不仅有邮件，有QQ，有微信，再把你网关上其他的东西也给你堵上。基本上可以把一个企业网络里面70%以上的漏洞封住了，只要你在公司网络里面，不管通过什么样的方式，出去的东西统统被我拦住。

第三步，我们现在都是带着自己的笔记本电脑，这些笔记本电脑我有时候出差，有可能带回家了，这个时间点，我要回家里发一份秘密的东西出去，你拦不住我了，或者我不发，我回到家以后，接上我家的打印机打出来行不行？不行，我们要把它装上终端的DLP设备，终端的DLP设备可以脱离服务器来运行的。只要装上这个终端防泄露设备以后，带回家，在咖啡厅里面不但不能发送这些敏感的信息，你还不能去存盘，还不能去打印，你还不能去截屏，把这一部分全给拦住了。

第四步，再把它嵌到一些应用里面，比如在企业内部里面也不能去出现一些不该出现的东西。比如企业内部的即时通讯，或者企业内部的云盘，或者我企业内部的一些关键应用等等，第四步，把内部的应用再补上。这个是根据我们中国的国情特殊来做的，我们刚开始推的时候，只推了前三步，第四步是根据我们国内一些客户特殊的需求把它做出来的。

我说我们现在在做的东西，它完全感知到你的内容是什么，他知道你在传什么内容，可以根据你内容的不一样采取相关的措施。比如我们有数据防泄露，有邮件安全网关，我们称之为统一内容安全一个组成部分。我接下来给大家讲几个典型的应用场景，比如第一个典型应用场景是什么呢？我们的政府机关或者我们一些保密单位，他说我是内外网完全隔离的，不需要做你们这套系统。我跟大家讲一下，我们第一个客户就是我们国家的一个安全机构，他用来就是防内网的，内网大部分泄密发生在什么地方呢？发生在两个地方，大家以为内网是很安全的，数据交互环节一定会出问题。内网泄密的行为最有可能发生在两个地方，一个是打印，一个是刻光盘。首先就是部署在打印服务器，在那里看谁在打印相关的东西，有没有相关的权限。就像你发邮件一样，有没有权限发。刻光盘也是一样，你有没有权限刻这个内容的光盘。

我们很多保密单位既有内网也有外网，在所谓的外网或者商业网，到底有没有出现不该出现在商业网里面的内容，需要进行扫描。我们在这里面很多的保密机构尤其是军工企业他们有自己的内网，设计完全是用自己的，举个例子，我们设计航空母舰，一定不是某一个所自己把它设计出来的，这一部分是我自己设计的，在内网进行交流。我跟其他所进行沟通的时候，我们有一些工作上的往来，我们是要用商业网，这个商业网是安全的，我们要看这个商业网有没有存在一些不该出现的商业网里面的内容，不该让所有所或者其他部门知道的内容。商业网查有没有在绝密网里面不该出现在商业网里面的内容，要进行检查。

金融是我们国内应用范围最广的一个领域，所有的金融机构包括大行小行、证券、保险、互联网金融这些全部都在采用数据防泄露，现在国家对他们的监管压力越来越大。大家可能都知道，你的银行卡泄露怎么样，保险信息泄露会怎么样，很多做P2P商业贷款的，互联网金融的，互联网金融大家有一个误区，互联网金融大家以为保护的是那些贷款人的利益，其实不是的，贷款人你贷五万八万的，你的信息也重要，但没那么值钱，真正保护的是出钱的，出五百万出八百万做股东人的利益。金融是所有这些客户里面全行业都在上，上的力度非常大。

航空公司，我们相信今天在座每个人都经常接到航空公司你订票以后，机械故障，航空公司类似的诈骗升级了。我前段时间有一个飞机延误信息，你飞机延误了，你要不要到旁边消费之类的信息，我们国内最大两大航空公司都在用这套体系，相信今后这种情况就会得到缓解。昨天我又看了航旅纵横的信息又被人曝出来泄了。

快递物流不讲了，顺丰现在全网都在用我们的系统，第一步他们做邮件防泄露，现在在部网关，接下来部署它的网关。

互联网，像新浪面临非常大的监管压力，它的系统不能出现不该出现的一些内容。靠人工来去做，比如他有多少个小秘书这种方式，这种方式是不可能从根本上解决他们的问题。

我们刚才讲的是数据泄露这一块，我们的东西非常好，当你数据泄露的时候，被我抓住了。但是被我抓住是被我抓住了，但是数据泄露这个行为确实发生了，就像小偷被抓住了，我钱没丢掉，但是小偷这个行为确实发生了。道高一尺，魔高一丈，我们为什么讲新安全？因为传统安全现在已经不起太大作用了，这是几年以前，2013年五年以前EMC做的一个调查，EMC和RSA做的一个实验，他们在EMC公司网络里面做了两周实验，有很多问题，但是只是一部分被发现了，你一个安全措施搞出来，你是很长时间才需要升级，但是攻击你的手段天天在升级，所以我们叫道高一尺，魔高一丈。怎么缓解这个问题？网络安全有几代，我比较有幸这几代都参加了。第一代就是所谓的防火墙，后来大家发现光防火墙不行了，不但要知道你是从哪个端口进来，我还要知道你干什么的，需要做一些流量分析。我本人曾经在F5公司做过，做了几年，是属于这一代。我们说的第三代，我们能够去感知内容和进行实时控制，包括刚才我给大家介绍的都是属于第三代内容，但是这个扛不住了。我们要进行第四代，通过用户的行为分析来去提前感知到一些事件，然后把这个安全事件扼杀在萌芽状态，这是我们现在正在做的。

怎么做到这一点呢？我们有一个口号，这个可能跟过去不太一样，我们叫做以人为根本的内部威胁防护。为什么讲这句话呢？因为做内部数据泄露，它的根源是人，泄露发生的对象是人，不管我是一个外部的黑客来攻你，还是内部的一个泄露人员，有意或者无意的，都是人发生的，只要是有人，一定有行为来做分析。我们看看这个人的行为，你的正常行为和非正常行为会有什么不一样。我们把这个东西叫ITP，内部威胁防护，听起来这个名词比较难以理解。简单来说就是带有内容感知的UEBA，带有内容感知的用户行为分析。为什么要加这个话呢？现在市面上有很多UEBA的厂商基本上不具备内容感知能力，有些能做内容感知能力又没有UEBA，我们把内容感知加进去了，既可以感知你的内容，同时知道你的行为。我发现你行为异常的时候，我可以提前把你的内容给你封锁掉。第二，我们是基于深度学习和统计分析技术的行为分析，捕捉你的异常行为，可以回溯你的现象。第三，这是一个开放式的架构，我们跟所有的厂商都是可以互相协作的。

为什么要做ITP呢？因为传统的方式解决不了误报率和检出率，缺乏对安全事件的回溯能力，以及无法对已知风险进行匹配，这都是传统的一些弊端，我们希望把它避免的。我们怎么去做呢？我们设立了一个叫TRS的威胁打分的系统，这个威胁打分的系统是由三个打分系统来组成的。一个叫做ARS，一个叫ERS，一个叫MRS。每个分数都会打出来以后，最后到TRS这个大系统里面进行打分。最后我们会拿到一个什么东西呢？会拿到你这个企业里头最有可能或者高危险度的TOP100人，TOP100台机器，你就知道你的企业下一步可能会发生什么问题了。

我们是怎么做到的？我们有三个打分系统，一个叫做ARS，什么叫ARS呢？简而言之，ARS就是把你这个人的行为跟他过去的行为来进行比对。比如我们前一段时间发现李小璐、贾乃亮那个事件，贾乃亮不知道李小璐去做头发了，李小璐那段时间肯定跟她惯常的行为肯定不一样的。一个人抢银行跟你天天上班的行为肯定不一样。换成一个工程师，这个码农天天上班的编程序的行为跟他准备去盗窃公司的原代码的行为一定是不一样的，把这些行为模式化，然后当你严重的违背了你日常模式的时候，你就会得到一个更高的威胁分数，不是你一定有问题，但是会得到更高的威胁分数，跟其他的行为来进行比对。当你总分高到一定程度的时候你就上榜了。

第二个叫MRS，给大家举一个例子，这张图要讲五分钟的，我给大家快速看一下这个动画场景。模拟的是什么场景呢？一个黑客攻掉一个机器，这个机器迅速感染其他机器，迅速下载恶意的代码准备来去攻你企业内部的其他东西，然后怎么被制止的一个过程。大家来看一下，这个设备已经被感染了，就横向移动感染了其他三台机器，三台机器到外面搞恶意代码进来，这个行为被记录下来了，他们开始收集敏感文件，就被我们捕捉到，被DLP拦住了，给这个ITM，发现这两个人的行为，把他们的安全等级提升了，这个人发加密文件的时候被堵住了，这个人去发送其他文件格式编码的时候也被堵住了。我们通过这个人的行为进行行为上的分析，当行为上的分析高到一定程度以后，就把跟他有类似行为的人同样都打上更高的安全等级分数。当他们要以不同形式往外去发送的时候，最后统统被系统给拦截住。通过这种方式去保证企业内部这个数据行为还没有发生的时候，这两个人已经提前被抓到了。

第三个打分系统叫ERS，意思是专家打分系统。什么意思呢？有些行为在你企业里面还没有发生过，但是根据我们在其他企业的经验，比如举了一个例子，离职员工窃取公司数据，这是我们从其他公司那里做出来的一个专家系统。在你企业还没有发现，但是我已经给你提前打疫苗了，正常发送的时候是没有问题的，当离职员工最后被我判断出来，你有可能去窃取数据的时候，就提前把这个人的分数拉高了，当他真正要去发送数据的时候就会被拦截到。这个有点像打疫苗的概念，当你这个行为还没有发现，但是你跟我其他企业里面的ERS特征非常相象的时候，你可以直接把他拦截住。

我们刚才讲的这些东西它的核心是叫ITM的东西，这个东西它不但能够控制我们天空卫士自己的DLP的系统，还有我们一些邮件安全网关系统，还可以跟其他公司组成一个更加强大的系统。比如我们现在正在跟一些我们国内的友商进行合作，我们希望可以跟它的威胁情报系统，或者跟它的上网行为管理，大家可以去联动。一方面从我们这里判断出的一些威胁事件，可以控制他们的设备，控制进出。另外他们可以收集到一些相关的数据，可以给我们，可以做三个打分系统，数据来源更加的多，打分可以打的更加精准。我们建立一个叫做企业数据安全联盟，我们把国内一些在技术上非常有专长的企业，我们都聚在一起，大家有一个共识，我们要互相开放相关的这些技术接口，我们将来可以去做技术的联动。

简单总结一下今天我讲的东西，我们讲的东西是两个，我们今天讲的东西叫内部威胁防护，是由两个部分组成的。一个部分我们叫UCS，统一内容安全，就像机场安检似的，只有你所有进出的内容，可以进行实时管控。另外叫内部威胁防护，它根据你的行为来去分析你可能会造成的威胁，然后在真正威胁行为发生之前，他就可以通过这边的设备提前对这些人的行为进行约束。比如你能出去，现在不能出去了，这两个系统是互相打通，互相联动的。

我们下一步有一个更加美好的梦想，我们希望能向仿生学发展，我们人是有免疫系统的，人怎么天天在恶劣环境里面保证我们不生病的，当然就讲的更长远一点了。我们希望未来能打造一个类似于像人体免疫这样一个系统。天空卫士我们是一个很年轻的公司，我们15年才成立，我们这些人基本上都是在外企打拼了很多年的。现在决定在安全领域里面可以踏踏实实为国家去做一些事情，我们已经拿到了很多证书，包括现在在军队里面拿到了民用企业所能拿到的最高军队的证书，现在基本上包括人民解放军，包括国安，包括我们国内一些金融、互联网、政府、企业都是我们现在的客户。我们的目标就是网络的天空是必须要用中国的网络技术来防护，这就是我们的理想。今天因为时间的关系，就介绍到这里，我们外面有展台，如果大家有不太清楚的地方，可以随时到我们展台，或者约我们跟大家做一个更深入的技术交流。