RSAConference2021 将于旧金山时间 5 月 17 日召开,这将是 RSA 大会有史以来第一次 采用网络虚拟会议的形式举办。大会的 Innovation Sandbox(沙盒)大赛作为“安全圈的 奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
前不久,RSA 官方宣布了最终入选创新沙盒的十强初创公司:WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、 WIZ。
绿盟君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们 要介绍的是厂商是:Satori 。
一、公司与初创团队介绍
Satori Cyber 由创始人 Eldad Chai 和 Yoav Cohen 于 2019 年成立,同年获得 525 万美元 的种子轮融资。其中联合创始人兼 CEO Eldad Chai 曾是 Imperva 的产品管理高级副总裁 和高级执行团队成员;Yoav Cohen 是 Satori Cyber 的联合创始人兼 CTO,曾是 Imperva 的产品开发高级副总裁。公司致力于通过数据分类、审计、策略等技术与手段满足数据安全 与隐私合规需求。
Satori Cyber 公司产品的目标是:
• 显示访问数据的具体用户;
• 允许用户定义和实施数据的访问策略;
• 对用户的任何异常活动进行警告;
• 对数据安全威胁进行检并响应。
二、 背景介绍
欧盟在 2018 年 5 月 25 日正式生效的 GDPR,被称为欧盟“史上最严”条例,Google、 Facebook,在 GDPR 生效日分别收到了欧盟 39 亿欧元、37 亿欧元罚款的诉讼。随后 2019 年生效的加州的 CCPA,对个人数据或者信息的保护提出了严格的界定和保护要求,这两个 标准已经成为安全和隐私行业的既定标准。接着 2020 年 2 月华盛顿参议院批准了《华盛顿 隐私法》(WPA),它遵循了 GDPR,CCPA 隐私法规的脚步,以推进该州的数据隐私规 定。
新的法规引发了业界对数据安全和隐私保护新的考虑,利用原有数据平台自身的隐私安全设 置只能满足数据安全和隐私保护法律规定的部分要求。企业不希望通过昂贵的重构数据基础 设施来满足数据安全和隐私保护的合规性,而是希望通过低成本的替换部分数据基础设施 (如存储和查询的引擎)或者依赖端点代理部署的方式来解决数据安全和隐私保护问题。
Satori 提出了一种数据访问控制平台通过依靠完整数据流可视化,强制访问控制和丰富的数 据访问上下文的方法满足 GDPR、CCPA、HIPAA 等法规的数据安全和隐私保护需求。
三、公司产品与方案
Satori 通过一种新的方法使得产品实现了对完整数据流的可视化,强制安全访问控制,并遵 从数据安全和隐私策略,同时使合法访问变得容易、快速和高效。Satori 是一个单一的平台, 位于用户或者应用层和数据存储层之间,可以解决所有云遗留的数据访问和数据使用问题, 完成数据的管理和保护。通过将用户与实时数据挖掘、分类、行为分析相结合的方式对数据 存储和数据使用时实现数据访问安全性、隐私性和遵从政策。
Satori 是一个数据代理服务,数据使用者或者应用不直接连接到实际存储的数据,而是连接 到 Satori 代理服务。Satori 是部署在用户或者应用层和数据层之间的安全层,提供了一个 数据访问控制平台,对敏感数据进行监控,分类和控制访问的访问控制服务。企业可以借助 Satori 具体实现:
• 用户或者应用对任何数据的访问并且确保隐私数据的安全;
• 部署访问控制并且可以查看谁在访问哪些数据;
• 将应用和数据本身解耦,应用数据的改变不影响存储数据;
• 容易操作,不需要配置、代理和安装等。
Satori 可以实时查看使用数据的用户,正在访问哪些数据,以及如何使用数据。Satori 通 过对用户和群组监控并且对数据进行标签标记分卷,然后通过分析数据统计那些用户在使用 那些数据,通过表格和图标进行可视化展示出来。
Satori 的访问控制通过 DAC(Data Access Controller)来实现灵活的,细粒度的访问控 制管理。DAC 由客户管理设置其数据的访问、使用、管理。DAC 支持基于角色访问控制 (RBAC),基于属性访问控制(ABAC)以及表、列、行和对象的访问。并且根据数据存 储自动化的选择细粒度访问控制。客户通过 DAC 可以实现如下功能:
• 阻止未经授权的用户访问,对敏感数据进行脱敏;
• 监控用户或者应用对个人可识别信息(PII)或者敏感数据的使用;
• 通过基于用户、群组、数据类型等的配置实现细粒度的访问控制策略;
Satori 能够自动识别敏感数据(例如:PII,个人医疗信息(PHI),支付卡行业信息(PCI)), 并通过脱敏技术对敏感数据进行脱敏。使得敏感数据可以进行安全合规的数据分析。满足 GDPR、CCPA、HIPAA 等法规,并提供所需的细粒度数据访问统计图和访问审计报告。
四、 产品特点
1. 自动选择多样化细粒度的访问控制策略
Stori 通过在云服务和用户或应用之间建立了一个访问控制管理,通过 DAC 自动化选择支 持多样化细粒度的访问策略。在不影响原有的云中数据的结构和部署情况下,可实现数据访 问的监控,并按照法律要求生成所有数据存储和访问审查统计结果的报告。
2. 通用数据脱敏引擎
针对隐私数据的保护,Satori 采用了通用数据脱敏(Universal Masking Engine)引擎实 现合规的管理,机构或者组织可以安全的对脱敏后的敏感数据进行分析和使用。
Satori 设计了脱敏配置文件(Masking Profiles)定义了每一种数据类型的脱敏转换,并且 对于半结构数据,Satori 利用专用的字段设置实现数据脱敏。
• 通过脱敏配置文件实现敏感数据屏蔽,如(PII、PHI 等)。
• 通过脱敏文件配置,不同的数据类型选择不同的的脱敏方式。
例:- name: Mask Customer PII for Analysts action:
type: mask
profile: 7d1c1d8f-2fed-4897-8163-ef174d885192 identity_tags:
- identity.datastore.role::analyst data_tags:
- customer_data priority: 2
Satori 的敏感数据转换的方式分为两种:
1) 通用转换,可应用于任何数据类型,例如:用预定义的字符串或者 hash 替代敏感数据, 或者完成删除敏感数据。
2) 特定转换,对常用的数据类型定义了专用的转换。
对应转换方式 Satori 的脱敏方法有通用脱敏、电子邮件脱敏、信用卡脱敏,出生日期脱敏, 公用 IP 脱敏等数据细粒度脱敏方式,示例如下图:
通用脱敏
电子邮件脱敏
点评:Satori 公司的产品提供了丰富的脱敏方法,并支持灵活的配置是其亮点之一。然而, Satori 公司声称脱敏后的敏感数据可以合规使用和分析。例如,隐私数据经过脱敏后提供第 三方,是否真的满足 CCPA 和 GDPR 合规,这值得进一步商榷。值得肯定的是,在大数据 时代,随着数据在互联网的公开以及黑灰产的猖獗,脱敏数据在外部数据集的辅助下在数据 流通与共享过程中的隐私泄露风险越来越高。针对该数据安全风险,国内外均有一些研究,
例如美国创新公司 Privacy Analytic 提出一套风险评估与检测方案以控制和管理隐私风险, 从而降低企业处理敏感数据的合规风险;绿盟科技也对该安全问题进行研究,提出数据脱敏 -脱敏效果评估框架,并落地到数据脱敏产品的使用场景中(《十种前沿数据安全技术,聚 焦企业合规痛点》,《大数据下的隐私攻防:数据脱敏后的隐私攻击与风险评估》),同时 与清华大学、中国电子技术标准化研究院等机构持续推动该评估方法的标准化(《信息安全 技术-个人信息去标识化效果分级评估规范》征求意见稿)。
3.基于机器学习的自动数据分类
Satori 内置数据分类,其数据分类是通过利用基于机器学习的方法对数据进行自动分类,并 且通过同态方法创建数据列表和通用目录的映射。另外,Satori 还根据分类后的数据访问统 计结果向管理机构或组织提供敏感数据和访问模式的整体图示。
五、 总结 纵观国际数据安全环境越来越多的法律法规对数据安全和隐私保护提出了具体的要求和规 定,我国也对数据安全提出了要求和指导,2017 年 6 月 1 日施行的《中华人民共和国网络 安全法》,强调了对基础设施及个人信息的保护。2018 年 5 月 1 日实施的《信息安全技术 个人信息安全规范》,还有正在制定的《数据安全法》和《个人信息保护法》等安全法律法 规,从国家标准层面明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政 策及个人信息管理规范指明了方向。
Satori Cyber 公司致力于通过数据分类、审计、访问控制使得数据隐私保护达到法律要求 快速便捷地在企业数据部署。产品的特点是在云和用户之间建立了一个安全访问控制服务,
实现细粒度的访问控制管理,并且通过可视化清晰的展示了数据的访问情况。另外,通过脱 敏技术实现敏感数据和隐私数据的保护。产品在满足法规下能够快速进行部署,并且对系统 效率的影响很小。同时,数据安全和隐私保护基于对 Satori 的管理的信任,Satori 通过了 ISO/IEC 27001:2013 Information security management systems 的资质认证。在数据 窃取日益严峻的情况下更需要通过利用同态加密等技术对数据进行加密,或者考虑利用访问 控制实现某种密钥管理,利用密钥对数据进行加密,拥有访问控制权限的用户可以得到解密 密钥并且解密数据等方式更安全的保护敏感数据和隐私数据。
在各种数据安全和隐私保护的法律陆续颁发的阶段 Satori 满足现有法律法规条件下可以实 现快速部署并且不需要对企业数据进行大的基础设施调整,综合满足法规下的数据安全和快 速部署并且不太影响系统效率的情况下 Satori 拥有很好的竞争力。祝愿 Satori 在 2021 年 RSA 创新沙盒十强赛中取得好成绩。