专访瀚思安信联合创始人：大数据环境下的主动智能防御

随着大数据的普及，各种组织和机构的网络安全正以前所未有的程度受到大量不同的威胁和风险。前段时间索尼遭受朝鲜黑客攻击的事情愈演愈烈，导致大量数据的泄露，索尼公司更是关闭了整个公司的网络，让庞大的索尼帝国回到了纸笔时代。因此，也受到了美国总统奥巴马都公开谴责。不过，据Gartner报告称：大数据分析也将在侦查犯罪和安全违法行为方面发挥重大作用。到2016年，全球超过25%的公司将为安全或欺诈检测而部署大数据分析。通过部署只能驱动模型，大数据将成为未来改变企业的主要元素之一。

大数据如何抵御APT攻击

据了解，一家金融企业每天会产生500T的数据。在海量的数据中，如何挖掘企业的安全隐患，做出预警，成为企业的当务之急。瀚思安信联合创始人高瀚昭认为在这种情况下，要做到两点，第一是做可视化的展现，第二是进行Deep learning（深度学习）。

当然,如果停留在发现问题的层面是远远不够的，将安全隐患扼杀在摇篮之中远比亡羊补牢更有效。传统方式需要对数据库进行清洗，把符合要求或者系统可以识别的数据进行存储，其他的数据就会被清洗掉，然而这也让价值的数据也难以保存。

潜藏在企业中的安全问题已经转变为大数据的分析问题。因此通过大数据分析可以让企业更快速地访问自己的数据，从而使企业能够快速整合和关联内外部信息，以更清晰的视角应对各类威胁。

瀚思创始人兼首席执行官高瀚昭说：“瀚思通过‘两步走’的方式来解决大数据时代的安全威胁。第一步是举证，告知用户是谁通过什么方式在什么时候将对系统造成多大的威胁。第二步是通过与防火墙，杀毒软件做动态匹配，遏制即将到来的威胁。”

对监守自盗说NO

在云时代之前，大部分的企业安全还处在杀毒软件和防火墙的时代。他们认为购买杀毒软件或者建起一座高墙就是安全的。事实上防火墙好比是防盗门，虽然企业装了防盗门，抵御了外部的ATP攻击时，殊不知一场特洛伊木马式的破坏已经从内部悄然打响。

数据的价值不言而喻，相比于黑客的外部攻击，企业内部人员在利益驱动下的监守自盗行为已经屡见不鲜。然而随着企业移动化的普及，内部员工访问系统的时间更加碎片化，这意味着数据丢失的风险增大大。举个例子来说，一位员工如果在白天访问是正常的，但是晚上就是不正常的。或者一个群组，几次的访问是正常的，但是过于频繁就是反常行为。按照传统的处理模式，只能一刀砍。所有人都不能访问，这无疑会造成很多不必要的麻烦。

Gartner表示，组织机构应根据自身需求，制定防御威胁和风险的整体网络安全战略。大数据需要收集不同来源、不同格式的信息，因此就需要创建单一系统 以收集、检索、规范、分析和共享所有的信息。机构还应该寻找概要文件账户、用户或其他实体，并跟踪这些概要文件的异常操作。

瀚思联合创始人兼首席运营官董昕说：“瀚思可以识别企业内部哪些是敏感数据，哪些是异常访问，以及访问的数据类型。将工作人员的异常行为报告上级以及企业IT，从而将损失降到最低。”