據(jù)美國政府問責(zé)局稱，美國國稅局(IRS)在2013年支付了58億美元退稅，但是他們隨后在這些退稅中發(fā)現(xiàn)存在欺詐行為。對于肯塔基稅務(wù)局來說，這條新聞并不奇怪，他們?nèi)缃裾诓扇⌒袆?dòng)，利用預(yù)測分析來查處不斷增加的欺詐行為。

預(yù)測分析可以通過公開獲取的和秘密來源數(shù)據(jù)判斷出未來的行為。通過分析已經(jīng)發(fā)生的事件，機(jī)構(gòu)可以在任何危及機(jī)構(gòu)物理基礎(chǔ)設(shè)施安全、人力資本或知識(shí)產(chǎn)權(quán)的事件發(fā)生前探測到可能會(huì)發(fā)生什么。

肯塔基稅務(wù)局(DOR)已經(jīng)在適當(dāng)?shù)奈恢迷O(shè)置了一個(gè)自動(dòng)的批處理程序，根據(jù)特定的標(biāo)準(zhǔn)搜索欺詐征兆。不過，肯塔基稅務(wù)局并沒有透露這些特定標(biāo)準(zhǔn)的詳細(xì)信息?？纤悇?wù)局稅收政策研究顧問Melody Tudor稱，即便使用的是老系統(tǒng)，肯塔基稅務(wù)局還是阻止了800萬至1000萬美元的欺詐性納稅申報(bào)。盡管如此，他們還需要采取更多的措施，因?yàn)?ldquo;欺詐者如今正變得越來越狡猾。”

Tudor和她的團(tuán)隊(duì)已經(jīng)引入了SAS的政府稅收執(zhí)法欺詐架構(gòu)(Fraud Framework for Government Tax Enforcement)軟件和咨詢?nèi)藛T以探索如何利用預(yù)測分析強(qiáng)化他們的辨別能力。他們向SAS提供了六年的數(shù)據(jù)，要求SAS從他們已經(jīng)處理的檢查清單中找出可疑的地方。雖然Tudor并不能確信他們能夠發(fā)現(xiàn)什么東西，但是她認(rèn)為她們應(yīng)當(dāng)重新檢查一下團(tuán)隊(duì)已經(jīng)完成的工作。

SAS提供了一個(gè)獨(dú)特的洞察力，如能夠發(fā)現(xiàn)來自相同IP地址的相似申報(bào)單，而這可能暗示著其中存在著欺詐行為。SAS還能夠更為高效地分析小額退稅，以確認(rèn)申報(bào)人沒有惡意進(jìn)行多次退稅申報(bào)。

Tudor的團(tuán)隊(duì)在去年對該工具進(jìn)行了測試，并在今年的納稅申報(bào)時(shí)期讓它們與現(xiàn)有系統(tǒng)平行運(yùn)行。SAS的工具在2015年年初的幾個(gè)月里成功地額外阻止了100萬美元的欺詐行為。Tudor稱，她預(yù)計(jì)到今年年底這一數(shù)額將會(huì)翻一倍。

預(yù)測分析已經(jīng)被認(rèn)定非常具有價(jià)值。她稱：“我們之前使用的工具雖然也很有幫助，但是它們在大量的退稅中無法快速識(shí)別一些花招和反?，F(xiàn)象。如今我們可以更有效地使用這些海量數(shù)據(jù)，將不正確的退稅拒之門外。”

預(yù)測需要耐心

SANS Institute通過調(diào)查發(fā)現(xiàn)，盡管肯塔基稅務(wù)局給予了預(yù)測分析高度的評價(jià)，但是一些機(jī)構(gòu)還是難以發(fā)現(xiàn)它們的整個(gè)潛力。在2014年的調(diào)查中，僅29%的受訪者在使用這些智能工具和服務(wù)，較2013年的38%出現(xiàn)了下降。

SANS Institute 的認(rèn)證講師Phil Hagen 稱：“目前雖然市場上已經(jīng)有許多解決方案，但是許多機(jī)構(gòu)認(rèn)為這些解決方案都難以被部署。他們正在花時(shí)間評估他們是否有足夠的人力資源來評估和整合這些智能工具和服務(wù)。”

Hagen稱：“如果我們今天不能部署預(yù)測分析解決方案，那么我們明天就不會(huì)得到它們的價(jià)值。它們需要成為常態(tài)化后才能發(fā)現(xiàn)線索和異常。”

即便是最為復(fù)雜的預(yù)測分析軟件也需要人的介入。例如，一旦肯塔基稅務(wù)局的工具(無論是現(xiàn)有的檢查清單還是SAS工具)懷疑有欺詐行為，退稅工作將轉(zhuǎn)入人工檢查評估環(huán)節(jié)。Hagen 警告稱：“預(yù)測分析僅僅擅長于我們灌輸給它們的先驗(yàn)知識(shí)和我們提出的問題。”

預(yù)測分析項(xiàng)目必須要由數(shù)據(jù)科學(xué)家們主導(dǎo)，而不是安全團(tuán)隊(duì)。Hagen 認(rèn)為：“安全團(tuán)隊(duì)只是數(shù)據(jù)的消費(fèi)者而不是創(chuàng)建者。”

總部位于弗吉尼亞州阿林頓的Surescripts的首席信息安全官Paul Calatayud領(lǐng)導(dǎo)著一個(gè)由數(shù)據(jù)科學(xué)家組成的團(tuán)隊(duì)。他認(rèn)為預(yù)測分析是公司防范欺詐、數(shù)據(jù)丟失與盜竊的最佳防御方法之一。Surescripts為一家健康信息網(wǎng)絡(luò)公司，平均每年負(fù)責(zé)路由和處理70億次交易。

由于存儲(chǔ)著約2.3億病人13年的數(shù)據(jù)，Calatayud必須要先于不法分子和黑客一籌解決存在的安全隱患。他稱：“我們所有的合同都依賴于我們確保系統(tǒng)安全性的實(shí)力。如果我們的公司發(fā)生數(shù)據(jù)丟失，那么我們也將不復(fù)存在。”

Surescripts通過Splunk Enterprise來執(zhí)行獨(dú)立的風(fēng)險(xiǎn)計(jì)算，發(fā)現(xiàn)異?，F(xiàn)象。Surescripts的高管們需要同時(shí)擔(dān)心來自內(nèi)部和外部的威脅，包括用戶證書竊賊和/或?yàn)E用以及員工不端行為。例如，Splunk Enterprise警告Surescripts應(yīng)當(dāng)關(guān)注是否有兒科醫(yī)生開出了七十歲老年人藥物，而根據(jù)醫(yī)生個(gè)人檔案他是沒有資格治療老年病人的。

Splunk Enterprise還負(fù)責(zé)監(jiān)控和匯集來自如Active Directory、防火墻、身份與訪問管理軟件、文檔與打印服務(wù)器、云應(yīng)用等原數(shù)據(jù)點(diǎn)的數(shù)據(jù)，以分析用戶行為。

如果員工訪問和傳輸文件的頻率同于正常水平，或是他在LinkedIn等社交平臺(tái)上過于活躍并且反復(fù)更新個(gè)人簡歷文件，那么Splunk Enterprise將認(rèn)為該員工將離開公司并向Calatayud發(fā)出警報(bào)。這些行為可能暗示著這名員工將會(huì)辭職，并可能會(huì)下載專有或是受到保護(hù)的健康數(shù)據(jù)。得到警報(bào)后，Calatayud會(huì)加大監(jiān)控力度，并與人力資源部門和該名員工的主管聯(lián)系，如果需要他們還會(huì)中止這名員工的訪問權(quán)限。

Calatayud稱關(guān)鍵還必須與如法務(wù)部門、人力資源部、隱私/合規(guī)團(tuán)隊(duì)、通信、外部執(zhí)法機(jī)構(gòu)和IT部門等必要的部門實(shí)施危機(jī)管理桌面演練。這樣當(dāng)出現(xiàn)可疑活動(dòng)時(shí)能夠快速響應(yīng)。他稱，如果Surescripts的某位員工的警告值已經(jīng)達(dá)到臨界，那么這名員工必須在四個(gè)小時(shí)內(nèi)離開公司。Calatayud稱，預(yù)測分析正在成為公司安全資產(chǎn)中的一部分。

創(chuàng)建自己的解決方案

防務(wù)合同商洛克希德-馬丁公司分析與任務(wù)解決方案副總裁Jason O'Connor稱，可以被挑選出來用于偵測威脅的數(shù)據(jù)源如今在數(shù)量上對于許多機(jī)構(gòu)來說已經(jīng)超出了他們的處理能力，尤其是在社交媒體使用量不斷增長的情況下。

他稱：“隨著威脅變得越來越近實(shí)時(shí)化，出手需要比這些威脅更快才行(+微信關(guān)注網(wǎng)絡(luò)世界)，這就需要進(jìn)行預(yù)測。在過年十年當(dāng)中幾乎每年都會(huì)發(fā)生重大地緣政治事件，互聯(lián)網(wǎng)上會(huì)有大量的相關(guān)信息。”

七年前，洛克希德-馬丁公司通過自己的數(shù)學(xué)家和科學(xué)家開發(fā)了一個(gè)可以預(yù)測社會(huì)動(dòng)蕩和生物疫情等事件的分析引擎以應(yīng)對這一挑戰(zhàn)。O'Connor 稱：“我們不僅希望在戰(zhàn)術(shù)層上看到將發(fā)生什么，我們還希望能夠在可推斷或是評估結(jié)果的數(shù)據(jù)中找到一些特征和征兆。”

在內(nèi)部獲得成功后，洛克希德-馬丁公司在市場上向其供應(yīng)商和合作伙伴推出了商業(yè)化的分析引擎LM Wisdom。目前他們?nèi)匀辉趦?nèi)部使用LM Wisdom以處理如供應(yīng)鏈分析等重大安全問題。

洛克希德-馬丁公司有數(shù)千家供應(yīng)家?guī)椭圃炱脚_(tái)或是產(chǎn)品，這些供應(yīng)商都會(huì)帶來風(fēng)險(xiǎn)。他們需要對供應(yīng)商進(jìn)行監(jiān)控防止出現(xiàn)假零件和材料，需要監(jiān)控的包括他們的社交媒體動(dòng)態(tài)、網(wǎng)站和互聯(lián)網(wǎng)商店。LM Wisdom的預(yù)測模式可以評估出供應(yīng)商提供假貨的可能性。

O'Connor 稱：“沒有供應(yīng)商會(huì)說‘過來買假零件吧’，但是LM Wisdom會(huì)研究內(nèi)容和推銷材料中的語言特征以及供應(yīng)商所銷售商品的類型。”員工可能使用這些由系統(tǒng)生成的模型核實(shí)那些受到信任的供應(yīng)商，防止出現(xiàn)假貨，降低零件交付、零件完整性和遇到奸商的風(fēng)險(xiǎn)。

早期預(yù)警以保護(hù)人員安全

預(yù)測分析還能夠被用于保護(hù)人力資產(chǎn)，如國際援助機(jī)構(gòu)的志愿者或是跨國石油天然氣公司的員工。在一些特定地區(qū)，工人會(huì)遇到綁架并被勒索數(shù)百萬美元的贖金。智能軟件制造商Expert System USA的首席執(zhí)行官Luca Scagliarini稱，通過監(jiān)控政治團(tuán)體的當(dāng)?shù)厣缃幻襟w動(dòng)態(tài)、新聞發(fā)布等情況，機(jī)構(gòu)可以預(yù)測出外點(diǎn)附近的動(dòng)蕩并要求工人待在保護(hù)區(qū)內(nèi)。

對地區(qū)動(dòng)蕩的洞察力可以用于彌補(bǔ)有形資產(chǎn)的弱點(diǎn)，降低供應(yīng)鏈的風(fēng)險(xiǎn)。通過分析相關(guān)社交媒體流和其它數(shù)據(jù)，石油公司可以對港口罷工進(jìn)行早期預(yù)警，避免滿載貨物的油輪被困在這些碼頭上。

企業(yè)管理協(xié)會(huì)安全與風(fēng)險(xiǎn)研究主管David Monahan稱，在私營領(lǐng)域，由于可以從公有開源服務(wù)和私有付費(fèi)服務(wù)那里獲得更多信息，因此預(yù)測分析可能會(huì)運(yùn)行的更為出色。

“多個(gè)數(shù)據(jù)提供商通常只是整個(gè)策略中的一部分，因?yàn)樗麄冎簧瞄L自己關(guān)注的領(lǐng)域。”提供商通常會(huì)選擇聚焦于一些特定的威脅，如人員、地緣政治、有形或信息資產(chǎn)等方面。他認(rèn)為，除了這些商業(yè)來源外，政府機(jī)構(gòu)還有他們自己的數(shù)據(jù)收集方法。

Monahan 稱：“每個(gè)機(jī)構(gòu)都會(huì)對可能影響他們的事情進(jìn)行風(fēng)險(xiǎn)預(yù)測，并且對他們希望發(fā)生的事情有著風(fēng)險(xiǎn)承受能力。盡管沒有人真的會(huì) ‘錢不是問題’，但那些有著很高的受攻擊風(fēng)險(xiǎn)的公司顯然會(huì)為預(yù)測分析編列更多的預(yù)算。”這也就是說，隨著預(yù)測分析工具的價(jià)格越來越親民，越來越容易使用，它們毫無疑問將具有更大的吸引力。(范范編譯)