從IoT設備被黑到企業基礎設施被挖礦代碼劫持，再到自動化勒索軟件，新式復雜網絡攻擊(APT)越來越難以被追蹤捕獲。抵御此類隱秘未知威脅的議題已經成了我們各種安全會議討論的重點。然而，在我們揪住未知威脅檢測問題不放的同時，數據滲漏這個顯而易見的老問題卻沒能獲得足夠的重視。于是，數據繼續滲漏，GB級滲漏屢見不鮮。

 回顧歷史

所有數據滲漏攻擊都有一個共同屬性：網絡中已出現異常行為的早期預警信號，但傳統安全方法沒能捕獲這些信號。無論智能水平如何，納入設備多少，邊界工具都錯失了異常行為影響和未授權數據轉移之間的機會窗口，造成數百GB數據被從公司企業中傳出。

2014年的索尼黑客事件中，攻擊者花費一年多時間滲漏出100TB數據的事實令世人瞠目結舌。第二年的巴拿馬文件泄密事件據稱泄露了2.6TB數據，令數名世界著名公眾人物顏面掃地。2016年，民主黨全國委員會(DNC)網絡中泄出80GB數據，引發長達兩年的美國大選疑云。所有這些案例中，大量數據悄無聲息地持續滲漏了幾個月甚至數年之久，直到數據已遺失很久很久之后才發現滲漏事實。

審視該隱秘數據泄露的全過程，我們不得不捫心自問：如此大量的數據到底是怎么悄悄溜出公司網絡的?

網絡環境的復雜性和多變性

發現數據滲漏指標的難點之一存在于今日的網絡結構中。隨著公司的不斷創新，數字復雜性和脆弱度不斷上升，從BYOD到第三方供應鏈，公司企業以優化效率的名義大幅倍增了其網絡風險。

此一大環境下，我們的安全團隊承受著巨大的壓力，疲于識別數據滲漏的細微信號，努力斬斷正在進行中的滲漏過程。更糟心的是，明明如此之多的IT設備都不是安全人員創建、安裝的，甚至他們壓根兒不知道某些設備的存在，卻仍不得不在持續增長的海量設備中盡力尋找到那幾乎隱身的惡意威脅。

如今的網絡就像是鮮活的生命體：會成長，會萎縮，會高速進化。如果我們把網絡想象成每秒改變成百上千次的巨大數據集，我們就會意識到，沒有哪支安全團隊能夠及時分辨已授權活動與數據滲漏指標。

AI檢測與關聯才是出路

雪上加霜的是，安全團隊總是處于防御的位置——面對層出不窮的未知威脅連續作戰。于是，安全團隊該怎樣排除噪音，分辨出合法活動和犯罪數據滲漏行動之間的差別呢?

5年前我們依賴歷史情報來定義未來的攻擊。但從未停歇的數據泄露事件已經表明，這種方法從來沒起過什么作用。識別數據滲漏對安全團隊而言應該是件容易做到的事，但想要做到簡單易行的程度，我們得依賴不對惡意行為特征做任何假定的技術。

公司企業目前紛紛轉向AI技術來進行威脅檢測，該技術可識別出偏離正常網絡活動的細微異常。通過理解日常網絡活動的細微差異，自學習技術會關聯看起來不相關的信息點，構造出網絡當前狀態的全面視圖。然后AI就能發現不易察覺的滲漏指標，給安全團隊節約出寶貴的時間，搶在數據滲漏變成重大危機之前予以緩解。

想要打破重大數據泄露的怪圈，我們必須引入隨公司發展而進化的AI技術，不斷增強其防御，在敏感信息跨越網絡邊界之前發現數據滲漏動作。而在全球網絡安全人才短缺的大環境下，納入能夠幫助我們減輕分析負擔的技術勢在必行。盯著我們敏感數據的攻擊者都在努力跟上防御方法的進化，作為防守方的我們是不是也在進化呢?