当今，网络安全边界变得模糊并趋于消失，企业数据资产暴露在大量的漏洞和风险中。为了当今，网络安全边界变得模糊并趋于消失，企业数据资产暴露在大量的漏洞和风险中。为了应对挑战，天空卫士在2017年底发布业界领先的ITP（内部威胁防护）体系及基于行为分析的ITM（内部威胁管理）解决方案，在全球范围较早实现基于内容的安全引擎和用户行为分析引擎的智能融合。方案发布之后，受到了业界广泛关注。

日前，网络安全专业媒体安全牛对ITP（内部威胁防护）技术进行了全面的报道，并特别指出：ITP与当前流行的UEBA（用户与实体行为分析）相比，最大的区别在于ITP技术实现了与内容的联动与融合。因此，ITP可以看做是策略增强型深度内容感知的UEBA。

以下为安全牛《初探新一代数据安全解决方案——ITP技术》全文：

在2010年的“曼宁事件”之后，美国政府为了应对内部人员带来的大规模数据泄漏威胁所造成的严重后果，发布了一个《内部威胁计划》(Insider Threat Program)，并由奥巴马签署了总统行政令13587，开始正式执行。最早的内部威胁保护概念，可能源自于此。

越是严格的法规要求越是需要通过先进的技术手段来落地执行，为了更好地防范内部威胁，一种新的数据安全技术体系——Insider Threat Protection（以下简称ITP）应运而生。

实际上，ITP技术在国外已经有了相关研究，下一代防火墙公司 Palo Alto 曾经在2015年申请过一个名为“自动化内部威胁保护”的专利，并于2017年得到美国专利局的批准。但 Palo Alto 毕竟是一家以下一代防火墙为核心的安全公司，因此如果有专注于数据安全公司来做ITP，可能会更与ITP的理念更加匹配。进一步来说，既然ITP技术需求源自于对企业数据的保护，那么数据防泄漏(DLP)的公司，在对ITP的理解和实现方面可能更具优势。

在今年1月举办的2018中国企业和个人数据安全技术大会上，国内一家以DLP起家，并专注统一内容安全技术(UCS)的信息安全公司天空卫士，正式发布并展示了他们最新的ITP技术及基于行为分析的ITM（内部威胁管理）解决方案。据了解，这是目前全球正式落地并实现了产品化的ITP解决方案，安全牛通过与其联合创始人、CTO陈少涵访谈交流并查阅了相关资料，对这项技术有了初步了解，在此分享出来。

一、ITP的特点与基本原理

ITP的核心理念可以概况为一句话：通过识别和管控企业内部有威胁的人的行为，来降低数据泄漏和其他风险。

ITP强调的是以人为核心的内部威胁防范，通过识别用户的行为和其产生的各种数据，利用人工智能和大数据等技术手段将其关联，对高风险用户的危险行为及其他用户的类似行为进行管控，从而实现危险行为的阻断并预防类似行为的发生。

识别和管控并非新兴技术，一直都是传统数据防泄漏方案的基本支撑。但ITP综合考虑了网络管控、内容感知，以及更重要的用户行为等因素，同传统DLP技术相比，更加的智能化，有着更低的误报率和更高的检出率，此为ITP技术体系的最大的特点。