ITP的核心理念可以概况为一句话:通过识别和管控企业内部有威胁的人的行为,来降低数据泄漏和其他风险。
ITP强调的是以人为核心的内部威胁防范,通过识别用户的行为和其产生的各种数据,利用人工智能和大数据等技术手段将其关联,对高风险用户的危险行为及其他用户的类似行为进行管控,从而实现危险行为的阻断并预防类似行为的发生。
识别和管控并非新兴技术,一直都是传统数据防泄漏方案的基本支撑。但ITP综合考虑了网络管控、内容感知,以及更重要的用户行为等因素,同传统DLP技术相比,更加的智能化,有着更低的误报率和更高的检出率,此为ITP技术体系的最大的特点。
原理是在内容感知技术之上(ASWG+DLP),加入了对用户、网络和终端行为与事件的风险分析,并根据具体情况,针对性地对用户和终端行为进行培训,然后将培训结果评级调整,最后再返回给DLP的安全策略。这一过程包括了UEBA、统计学异常分析、贝叶斯统计模型、机器学习等关键技术。