就在一年前，英國(guó)《衛(wèi)報(bào)》根據(jù)美國(guó)人愛(ài)德華·斯諾登泄露的機(jī)密文件，開(kāi)始了震驚世界的獨(dú)家報(bào)道。撇開(kāi)斯諾登究竟是叛國(guó)者、國(guó)家公敵，還是讓數(shù)百萬(wàn)人擺脫非法監(jiān)視活動(dòng)侵害的勇敢公民這些煽動(dòng)性的言論不談，有一點(diǎn)沒(méi)有異議，就是他的所作所為對(duì)于數(shù)據(jù)安全的影響甚大。

“后斯諾登時(shí)代”（post-Snowden）一詞已成為安全專(zhuān)家的常用語(yǔ)，這便是最好的印證。

斯諾登的特別之處在于，作為受雇于美國(guó)國(guó)家安全局（NSA）的一名IT系統(tǒng)管理員，他有權(quán)訪(fǎng)問(wèn)其職責(zé)范圍內(nèi)的機(jī)密信息。

他的職責(zé)與權(quán)限意味著，僅憑幾個(gè)閃盤(pán)，他便能對(duì)國(guó)家安全局構(gòu)成致命的威脅（繞過(guò)各種復(fù)雜的安全系統(tǒng)、軟件與政策）。

幾乎可以斷言，如果保密性極高的國(guó)家安全局都會(huì)遭受這種威脅，那么絕大多數(shù)組織機(jī)構(gòu)都可能難逃此劫。商界領(lǐng)袖們?cè)撊绾伪苊馄浣M織機(jī)構(gòu)陷入斯諾登危機(jī)？一個(gè)潛在的解決方案就是大數(shù)據(jù)與行為分析。

顧名思義，大數(shù)據(jù)分析最主要的一個(gè)優(yōu)勢(shì)就是信息量。它可以讓一個(gè)組織通過(guò)多個(gè)數(shù)據(jù)源獲取PB級(jí)數(shù)據(jù)信息，并利用其確定趨勢(shì)和模式。

事實(shí)上，將信息量足夠大的數(shù)據(jù)源結(jié)合在一起（如人事記錄、職位描述、網(wǎng)頁(yè)瀏覽習(xí)慣、IT系統(tǒng)使用情況等），完全可能在組織內(nèi)部員工的行為方式上獲得前所未有的發(fā)現(xiàn)。若將數(shù)據(jù)存儲(chǔ)在“數(shù)據(jù)湖”中（該數(shù)據(jù)存儲(chǔ)設(shè)施通過(guò)標(biāo)準(zhǔn)化手段，保證公司數(shù)據(jù)符合未來(lái)發(fā)展方向），潛在發(fā)現(xiàn)會(huì)成倍增加。

提到安全，大數(shù)據(jù)最有效的一種應(yīng)用就是行為分析。

首先，需要對(duì)一段時(shí)間內(nèi)各種變量進(jìn)行分析，明確整個(gè)組織內(nèi)部大多數(shù)員工的工作行為方式，從而確定什么是員工的“正常”行為。

接下來(lái)，需要獲取與正常行為模式不符的用戶(hù)信息，數(shù)據(jù)研究人員要對(duì)這樣的信息進(jìn)行分析。

既然沒(méi)有哪家大型組織會(huì)配置足夠的帶寬、資金和資源去監(jiān)控每個(gè)員工的行為，那么，這種方法有效地預(yù)防了問(wèn)題員工的威脅。

一家大型金融服務(wù)行業(yè)的客戶(hù)提供了這樣一個(gè)有說(shuō)服力的案例。該公司了解到，有4名員工涉嫌詐騙。數(shù)據(jù)研究小組面臨挑戰(zhàn)，他們需要利用大數(shù)據(jù)分析來(lái)辨別這4人的身份。研究小組首次對(duì)公司全體員工的人事信息和業(yè)務(wù)信息進(jìn)行分析處理，確定屬于“正常”員工的行為特征。接著查找行為顯示異常的用戶(hù)資料，最終，他們準(zhǔn)確地辨認(rèn)出，作案人員不止4人，還有另外兩名嫌疑人。整個(gè)分析過(guò)程耗時(shí)兩周，但隨后查清詐騙過(guò)程僅用了24小時(shí)。如果用一年時(shí)間去發(fā)現(xiàn)、調(diào)查并阻止詐騙行為，而不是兩周，那么可以想象，公司將遭受多大的現(xiàn)金損失，又將面臨何種尷尬處境。

考慮以下假設(shè)實(shí)例：數(shù)據(jù)顯示，在周期為12個(gè)月的時(shí)間內(nèi)，大多數(shù)公司會(huì)計(jì)人員核銷(xiāo)票據(jù)的頻率為每日一次，或者每季度一次。然而，有一個(gè)人卻在每隔一周的周四晚7點(diǎn)后執(zhí)行該項(xiàng)操作。這不一定就是詐騙行為，但存在可能性。無(wú)論是哪種情況，管理者很容易迅速核實(shí)。

同樣，如果員工在周四晚上定期批量下載文件，會(huì)是怎樣的情況？他們僅僅是為了每周五在家中工作，還是為了半年后跳槽到競(jìng)爭(zhēng)對(duì)手那里而竊取你的發(fā)展規(guī)劃？利用大數(shù)據(jù)開(kāi)展的行為分析可提供各種易于處理且能夠持續(xù)、高效融入業(yè)務(wù)流程的洞察手段。

再次回到斯諾登事件，顯然，行為分析能夠幫助國(guó)家安全局發(fā)現(xiàn)IT管理員定期訪(fǎng)問(wèn)并下載機(jī)密文件的異常行為。從司法鑒定角度，分析結(jié)果更可能表明，斯諾登完成任務(wù)的方式不同于其他同事。與無(wú)數(shù)其他實(shí)例相比，很有可能是他打開(kāi)并傳輸文件的組合方式不正常。也許這樣會(huì)耗時(shí)六周或更長(zhǎng)時(shí)間，但結(jié)果可能是，主動(dòng)并且監(jiān)控嚴(yán)密的大數(shù)據(jù)行為分析策略會(huì)將斯諾登抓住，并阻止他泄露這十年來(lái)最具轟動(dòng)性的消息。

如果說(shuō)愛(ài)德華·斯諾登給我們帶來(lái)了某種啟示，那就是我們不能依靠傳統(tǒng)安全軟件來(lái)保證數(shù)據(jù)的100%安全。我們必須制定新的策略，即使遇上最狡猾的數(shù)據(jù)竊取者，也不讓其得逞。我們必須把斯諾登當(dāng)作比較標(biāo)準(zhǔn)，考慮任何一名員工可能造成的最大破壞，并以此衡量組織機(jī)構(gòu)的安全性。行為分析既非魔法，也非深不可測(cè)。它需要的僅僅是最新且穩(wěn)定的IT基礎(chǔ)設(shè)施以及一套謹(jǐn)慎加以運(yùn)用的算法。

當(dāng)我們?cè)谛侣勵(lì)^條中發(fā)現(xiàn)另一名高調(diào)的數(shù)據(jù)竊取者（此人可能會(huì)毀掉卡塔爾2022年世界杯的主辦權(quán)）時(shí)，很顯然，這些預(yù)防措施應(yīng)該成為每位商業(yè)領(lǐng)袖的當(dāng)務(wù)之急。到底有多急？問(wèn)問(wèn)國(guó)際足聯(lián)主席布拉特吧。

（作者為凱捷大數(shù)據(jù)與統(tǒng)計(jì)分析策略負(fù)責(zé)人）