據美國政府問責局稱，美國國稅局(IRS)在2013年支付了58億美元退稅，但是他們隨后在這些退稅中發現存在欺詐行為。對于肯塔基稅務局來說，這條新聞并不奇怪，他們如今正在采取行動，利用預測分析來查處不斷增加的欺詐行為。

預測分析可以通過公開獲取的和秘密來源數據判斷出未來的行為。通過分析已經發生的事件，機構可以在任何危及機構物理基礎設施安全、人力資本或知識產權的事件發生前探測到可能會發生什么。

肯塔基稅務局(DOR)已經在適當的位置設置了一個自動的批處理程序，根據特定的標準搜索欺詐征兆。不過，肯塔基稅務局并沒有透露這些特定標準的詳細信息。肯塔基稅務局稅收政策研究顧問Melody Tudor稱，即便使用的是老系統，肯塔基稅務局還是阻止了800萬至1000萬美元的欺詐性納稅申報。盡管如此，他們還需要采取更多的措施，因為“欺詐者如今正變得越來越狡猾。”

Tudor和她的團隊已經引入了SAS的政府稅收執法欺詐架構(Fraud Framework for Government Tax Enforcement)軟件和咨詢人員以探索如何利用預測分析強化他們的辨別能力。他們向SAS提供了六年的數據，要求SAS從他們已經處理的檢查清單中找出可疑的地方。雖然Tudor并不能確信他們能夠發現什么東西，但是她認為她們應當重新檢查一下團隊已經完成的工作。

SAS提供了一個獨特的洞察力，如能夠發現來自相同IP地址的相似申報單，而這可能暗示著其中存在著欺詐行為。SAS還能夠更為高效地分析小額退稅，以確認申報人沒有惡意進行多次退稅申報。

Tudor的團隊在去年對該工具進行了測試，并在今年的納稅申報時期讓它們與現有系統平行運行。SAS的工具在2015年年初的幾個月里成功地額外阻止了100萬美元的欺詐行為。Tudor稱，她預計到今年年底這一數額將會翻一倍。

預測分析已經被認定非常具有價值。她稱：“我們之前使用的工具雖然也很有幫助，但是它們在大量的退稅中無法快速識別一些花招和反常現象。如今我們可以更有效地使用這些海量數據，將不正確的退稅拒之門外。”

預測需要耐心

SANS Institute通過調查發現，盡管肯塔基稅務局給予了預測分析高度的評價，但是一些機構還是難以發現它們的整個潛力。在2014年的調查中，僅29%的受訪者在使用這些智能工具和服務，較2013年的38%出現了下降。

SANS Institute 的認證講師Phil Hagen 稱：“目前雖然市場上已經有許多解決方案，但是許多機構認為這些解決方案都難以被部署。他們正在花時間評估他們是否有足夠的人力資源來評估和整合這些智能工具和服務。”

Hagen稱：“如果我們今天不能部署預測分析解決方案，那么我們明天就不會得到它們的價值。它們需要成為常態化后才能發現線索和異常。”

即便是最為復雜的預測分析軟件也需要人的介入。例如，一旦肯塔基稅務局的工具(無論是現有的檢查清單還是SAS工具)懷疑有欺詐行為，退稅工作將轉入人工檢查評估環節。Hagen 警告稱：“預測分析僅僅擅長于我們灌輸給它們的先驗知識和我們提出的問題。”

預測分析項目必須要由數據科學家們主導，而不是安全團隊。Hagen 認為：“安全團隊只是數據的消費者而不是創建者。”

總部位于弗吉尼亞州阿林頓的Surescripts的首席信息安全官Paul Calatayud領導著一個由數據科學家組成的團隊。他認為預測分析是公司防范欺詐、數據丟失與盜竊的最佳防御方法之一。Surescripts為一家健康信息網絡公司，平均每年負責路由和處理70億次交易。

由于存儲著約2.3億病人13年的數據，Calatayud必須要先于不法分子和黑客一籌解決存在的安全隱患。他稱：“我們所有的合同都依賴于我們確保系統安全性的實力。如果我們的公司發生數據丟失，那么我們也將不復存在。”

Surescripts通過Splunk Enterprise來執行獨立的風險計算，發現異常現象。Surescripts的高管們需要同時擔心來自內部和外部的威脅，包括用戶證書竊賊和/或濫用以及員工不端行為。例如，Splunk Enterprise警告Surescripts應當關注是否有兒科醫生開出了七十歲老年人藥物，而根據醫生個人檔案他是沒有資格治療老年病人的。

Splunk Enterprise還負責監控和匯集來自如Active Directory、防火墻、身份與訪問管理軟件、文檔與打印服務器、云應用等原數據點的數據，以分析用戶行為。

如果員工訪問和傳輸文件的頻率同于正常水平，或是他在LinkedIn等社交平臺上過于活躍并且反復更新個人簡歷文件，那么Splunk Enterprise將認為該員工將離開公司并向Calatayud發出警報。這些行為可能暗示著這名員工將會辭職，并可能會下載專有或是受到保護的健康數據。得到警報后，Calatayud會加大監控力度，并與人力資源部門和該名員工的主管聯系，如果需要他們還會中止這名員工的訪問權限。

Calatayud稱關鍵還必須與如法務部門、人力資源部、隱私/合規團隊、通信、外部執法機構和IT部門等必要的部門實施危機管理桌面演練。這樣當出現可疑活動時能夠快速響應。他稱，如果Surescripts的某位員工的警告值已經達到臨界，那么這名員工必須在四個小時內離開公司。Calatayud稱，預測分析正在成為公司安全資產中的一部分。

創建自己的解決方案

防務合同商洛克希德-馬丁公司分析與任務解決方案副總裁Jason O'Connor稱，可以被挑選出來用于偵測威脅的數據源如今在數量上對于許多機構來說已經超出了他們的處理能力，尤其是在社交媒體使用量不斷增長的情況下。

他稱：“隨著威脅變得越來越近實時化，出手需要比這些威脅更快才行(+微信關注網絡世界)，這就需要進行預測。在過年十年當中幾乎每年都會發生重大地緣政治事件，互聯網上會有大量的相關信息。”

七年前，洛克希德-馬丁公司通過自己的數學家和科學家開發了一個可以預測社會動蕩和生物疫情等事件的分析引擎以應對這一挑戰。O'Connor 稱：“我們不僅希望在戰術層上看到將發生什么，我們還希望能夠在可推斷或是評估結果的數據中找到一些特征和征兆。”

在內部獲得成功后，洛克希德-馬丁公司在市場上向其供應商和合作伙伴推出了商業化的分析引擎LM Wisdom。目前他們仍然在內部使用LM Wisdom以處理如供應鏈分析等重大安全問題。

洛克希德-馬丁公司有數千家供應家幫助制造平臺或是產品，這些供應商都會帶來風險。他們需要對供應商進行監控防止出現假零件和材料，需要監控的包括他們的社交媒體動態、網站和互聯網商店。LM Wisdom的預測模式可以評估出供應商提供假貨的可能性。

O'Connor 稱：“沒有供應商會說‘過來買假零件吧’，但是LM Wisdom會研究內容和推銷材料中的語言特征以及供應商所銷售商品的類型。”員工可能使用這些由系統生成的模型核實那些受到信任的供應商，防止出現假貨，降低零件交付、零件完整性和遇到奸商的風險。

早期預警以保護人員安全

預測分析還能夠被用于保護人力資產，如國際援助機構的志愿者或是跨國石油天然氣公司的員工。在一些特定地區，工人會遇到綁架并被勒索數百萬美元的贖金。智能軟件制造商Expert System USA的首席執行官Luca Scagliarini稱，通過監控政治團體的當地社交媒體動態、新聞發布等情況，機構可以預測出外點附近的動蕩并要求工人待在保護區內。

對地區動蕩的洞察力可以用于彌補有形資產的弱點，降低供應鏈的風險。通過分析相關社交媒體流和其它數據，石油公司可以對港口罷工進行早期預警，避免滿載貨物的油輪被困在這些碼頭上。

企業管理協會安全與風險研究主管David Monahan稱，在私營領域，由于可以從公有開源服務和私有付費服務那里獲得更多信息，因此預測分析可能會運行的更為出色。

“多個數據提供商通常只是整個策略中的一部分，因為他們只擅長自己關注的領域。”提供商通常會選擇聚焦于一些特定的威脅，如人員、地緣政治、有形或信息資產等方面。他認為，除了這些商業來源外，政府機構還有他們自己的數據收集方法。

Monahan 稱：“每個機構都會對可能影響他們的事情進行風險預測，并且對他們希望發生的事情有著風險承受能力。盡管沒有人真的會 ‘錢不是問題’，但那些有著很高的受攻擊風險的公司顯然會為預測分析編列更多的預算。”這也就是說，隨著預測分析工具的價格越來越親民，越來越容易使用，它們毫無疑問將具有更大的吸引力。(范范編譯)