就在一年前,英国《卫报》根据美国人爱德华·斯诺登泄露的机密文件,开始了震惊世界的独家报道。撇开斯诺登究竟是叛国者、国家公敌,还是让数百万人摆脱非法监视活动侵害的勇敢公民这些煽动性的言论不谈,有一点没有异议,就是他的所作所为对于数据安全的影响甚大。
“后斯诺登时代”(post-Snowden)一词已成为安全专家的常用语,这便是最好的印证。
斯诺登的特别之处在于,作为受雇于美国国家安全局(NSA)的一名IT系统管理员,他有权访问其职责范围内的机密信息。
他的职责与权限意味着,仅凭几个闪盘,他便能对国家安全局构成致命的威胁(绕过各种复杂的安全系统、软件与政策)。
几乎可以断言,如果保密性极高的国家安全局都会遭受这种威胁,那么绝大多数组织机构都可能难逃此劫。商界领袖们该如何避免其组织机构陷入斯诺登危机?一个潜在的解决方案就是大数据与行为分析。
顾名思义,大数据分析最主要的一个优势就是信息量。它可以让一个组织通过多个数据源获取PB级数据信息,并利用其确定趋势和模式。
事实上,将信息量足够大的数据源结合在一起(如人事记录、职位描述、网页浏览习惯、IT系统使用情况等),完全可能在组织内部员工的行为方式上获得前所未有的发现。若将数据存储在“数据湖”中(该数据存储设施通过标准化手段,保证公司数据符合未来发展方向),潜在发现会成倍增加。
提到安全,大数据最有效的一种应用就是行为分析。
首先,需要对一段时间内各种变量进行分析,明确整个组织内部大多数员工的工作行为方式,从而确定什么是员工的“正常”行为。
接下来,需要获取与正常行为模式不符的用户信息,数据研究人员要对这样的信息进行分析。
既然没有哪家大型组织会配置足够的带宽、资金和资源去监控每个员工的行为,那么,这种方法有效地预防了问题员工的威胁。
一家大型金融服务行业的客户提供了这样一个有说服力的案例。该公司了解到,有4名员工涉嫌诈骗。数据研究小组面临挑战,他们需要利用大数据分析来辨别这4人的身份。研究小组首次对公司全体员工的人事信息和业务信息进行分析处理,确定属于“正常”员工的行为特征。接着查找行为显示异常的用户资料,最终,他们准确地辨认出,作案人员不止4人,还有另外两名嫌疑人。整个分析过程耗时两周,但随后查清诈骗过程仅用了24小时。如果用一年时间去发现、调查并阻止诈骗行为,而不是两周,那么可以想象,公司将遭受多大的现金损失,又将面临何种尴尬处境。
考虑以下假设实例:数据显示,在周期为12个月的时间内,大多数公司会计人员核销票据的频率为每日一次,或者每季度一次。然而,有一个人却在每隔一周的周四晚7点后执行该项操作。这不一定就是诈骗行为,但存在可能性。无论是哪种情况,管理者很容易迅速核实。
同样,如果员工在周四晚上定期批量下载文件,会是怎样的情况?他们仅仅是为了每周五在家中工作,还是为了半年后跳槽到竞争对手那里而窃取你的发展规划?利用大数据开展的行为分析可提供各种易于处理且能够持续、高效融入业务流程的洞察手段。
再次回到斯诺登事件,显然,行为分析能够帮助国家安全局发现IT管理员定期访问并下载机密文件的异常行为。从司法鉴定角度,分析结果更可能表明,斯诺登完成任务的方式不同于其他同事。与无数其他实例相比,很有可能是他打开并传输文件的组合方式不正常。也许这样会耗时六周或更长时间,但结果可能是,主动并且监控严密的大数据行为分析策略会将斯诺登抓住,并阻止他泄露这十年来最具轰动性的消息。
如果说爱德华·斯诺登给我们带来了某种启示,那就是我们不能依靠传统安全软件来保证数据的100%安全。我们必须制定新的策略,即使遇上最狡猾的数据窃取者,也不让其得逞。我们必须把斯诺登当作比较标准,考虑任何一名员工可能造成的最大破坏,并以此衡量组织机构的安全性。行为分析既非魔法,也非深不可测。它需要的仅仅是最新且稳定的IT基础设施以及一套谨慎加以运用的算法。
当我们在新闻头条中发现另一名高调的数据窃取者(此人可能会毁掉卡塔尔2022年世界杯的主办权)时,很显然,这些预防措施应该成为每位商业领袖的当务之急。到底有多急?问问国际足联主席布拉特吧。
(作者为凯捷大数据与统计分析策略负责人)