RSA創新沙盒盤點｜Dasera——全生命週期保護雲上資料安全

RSAConference2022將於舊金山時間6月6日召開。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：Dasera。

一、公司介紹
Dasera公司於2019年在加利福尼亞州成立，該公司通過緊密聯動企業的安全團隊、資料團隊和合規團隊，並持續自動監控上下文和執行資料治理策略，幫助企業實施資料治理方案，從而為企業儲存於雲上的資料提供全生命週期的防護，實現敏感資料的安全使用。該公司成立當年即獲得300萬美元融資，並於2021年再次獲得600萬美金種子輪融資。公司成立以來共獲得包括CRN的“十大最熱門雲安全初創公司”、2022年網路安全卓越獎雲上資料安全金獎等在內的15個獎項[1]。

圖1 Dasera創始人團隊

圖1[2]中的3人為Dasera創始成員。左一為Ani Chaudhuri，擔任公司CEO，擁有豐富的創業經驗，創立的科技初創公司eCircle被Reliance收購，Opelin則先後被惠普和Whodini收購。中間的是Noah Johnson，擔任公司CTO，是加州大學伯克利分校的博士生，在程式分析、安全策略執行和隱私保護技術方面擁有專業知識[3]。Dasera的技術來自Noah在攻讀博士學位期間的研究工作，當時他正與一家財富500強科技企業合作，對方需要一套能夠全生命週期內跟蹤和監控雲上資料使用情況的平臺，於是便有了Dasera[4]。
​
二、背景介紹
大資料時代，資料是重要的生產要素，各國相繼出臺資料安全相關法規，如歐盟的GDPR、美國的CCPA、我國的《資料安全法》等。但是資料洩漏事件非但沒有減少，洩漏的資料規模還在逐年擴大，如2021年爆出的2.35億TikTok等社交媒體使用者資料洩漏事件、今年爆出的Facebook 5.33億使用者資訊洩露事件[5]，層出不窮的資料洩漏事件使得企業陷入資料保護合規與社會輿情壓力的雙重危機，不但企業形象受損，而且遭受經濟損失（法律法規罰款、勒索軟體贖金、股價下跌等）。

Gartner釋出的《2021資料安全技術成熟度曲線》[6]顯示，企業正在加速跨多雲架構部署敏感資料，這不但將資料暴露在傳統網路邊界之外，還加大了資料和隱私洩漏風險，引起了勒索軟體事件和資料洩露事件的增長。IBM釋出《2021年資料洩露成本報告》[7]也顯示（考察物件為全球500多個資料洩露規模在2000到10.1萬條記錄洩露之間的企業），通過雲服務進行遠端辦公是資料洩漏事件的一個重要因素，此類資料洩露給被考察企業造成了平均496萬美元的損失，比非遠端辦公造成的資料洩漏事件增加了107萬美元。

雲端計算不僅徹底改變了資料的儲存量，還帶來了一系列新的安全和合規性挑戰[8]，傳統的安全解決方案如訪問控制和資料防洩露（Data Leakage Prevention，DLP）已不再能很好地對雲上資料進行防護，因為企業往往很難回答關於資料的以下幾個問題:

1、我們雲資料儲存在哪裡?
2、每個資料倉儲儲存的配置都安全嗎?
3、敏感資料儲存在哪裡?
4、訪問控制策略是否一致並遵循最小許可權原則?
5、敏感資料實際上是如何被使用的?
6、每個資料的副本在哪裡?

如果這些問題都搞不清楚，又何談資料防護呢？

三、產品核心功能
Dasera宣稱是第一個也是唯一一個將團隊協作和自動化相結合的資料安全平臺，以確保客戶的雲上資料在其整個生命週期內得到有效防護。Dasera認為，在當今以云為中心的環境中，企業的資料團隊（Data Team）、安全團隊（Security Team）和合規團隊（Compliance Team）中，任何一個單一團隊都沒有足夠的上下文來保護雲上資料。雲上資料保護需要三個團隊之間的緊密協作，如圖2（圖2到圖6均引用自[8]）所示。

圖2多團隊在Dasera平臺保護雲上資料

Dasera改善了資料團隊、安全團隊和合規團隊三者之間的協作方式，客戶使用Dasera平臺前與使用後效果如表1[8]所示。

表1 客戶使用Dasera平臺前後效果對比

Dasera平臺從客戶的基礎設施、資料和訪問使用者獲取上下文，並持續監控客戶的資料和資料管理策略，幫助客戶的安全、合規和資料團隊更好地協作。Dasera平臺核心功能包括如下方面：

01
敏感資料自動發現與分類
Dasera持續掃描客戶雲上資料，識別出儲存的結構化和半結構化資料，以及對這些資料的移動、複製、刪除等操作。Dasera還可以對所有資料欄位進行取樣和分類，以識別出包含敏感資料的欄位和資料塊。

Dasera內建了許多敏感資料分類器，如快遞地址、社會安全號碼等。此外，使用者還可以自定義正規表示式，以便Dasera能夠檢測使用者特定環境下的敏感資料。Dasera還可以按照法律法規進行敏感資料識別和標記，如按照GDPR的規定對敏感資料進行識別和分類分級，然後通知資料所有者對分類和標記結果進行審查，如圖3所示。

圖3 Dasera敏感資料自動發現與分類管理

02
​許可權監控
Dasera在客戶雲上資料倉儲中抓取許可權，跟蹤並記錄資料訪問者對客戶雲上資料倉儲中的敏感資料擁有哪些許可權。

結合敏感資料發現和分類，可以通過設定，使得Dasera能夠自動發現資料訪問者的許可權配置錯誤。例如，雲上資料設定為公開可訪問；或者一個客戶無意中訪問了另一個客戶的資料倉儲。Dasera還可以用來監控雲上資料倉儲的特權蔓延。

03
1.2 通過SQL查詢分析監控資料使用
資料訪問者對雲上資料庫中儲存的資料的所有互動大多都是通過一個SQL查詢進行的。Dasera利用這一事實，通過被動地分析每個查詢來了解資料的實際使用情況，具有極高的保真度和精度，並且不會干擾正常使用者對雲上資料倉儲的訪問。

如圖4所示，Dasera的查詢分析引擎可以自動化地發現哪些資料互動是有風險的、哪些員工執行Dasera的互動，以及有多少資料受到影響，可以幫助企業員工更加安全地查詢和使用敏感資料。

圖4 Dasera資料查詢分析引擎

當資料使用監控與許可權監控結合使用時，Dasera就能被用來自動檢測過度授權。如當某位員工擁有訪問敏感資料集的許可權，但在較長時間內沒有訪問敏感資料集時，通過設定，Dasera可以自動撤銷該員工對敏感資料集的訪問許可權。

04
資料血緣追蹤
在所有的雲上資料儲存中，資料都在不斷地移動、複製、轉換。有鑑於此，若僅通過對資料清單進行定期快照來決定資料的使用策略，具有一定的安全風險。

因此Dasera開發了資料血緣追蹤功能。對於Dasera前期標記的敏感資料，複製、移動等操作後的資料欄位的敏感資料分類和標記不變，並擁有相同的資料使用策略。另外，客戶還可以指定欄位，跟蹤與該欄位擁有資料血緣關係的所有資料欄位，然後分析這些欄位的訪問許可權是否有不合理的地方。Dasera還支援編寫以資料血緣為中心的資料訪問策略。

05
1.2 無程式碼資料訪問策略編輯
客戶的合規團隊成員擁有對敏感資料使用策略的制訂和編輯權，但並不是每一位成員都知道如何正確編寫程式碼，因此Dasera平臺內建了一個無程式碼策略編輯器，如圖5所示。客戶的合規團隊成員可以使用Dasera平臺的無程式碼策略編輯器編輯敏感資料使用策略，為安全運維團隊節省寶貴的時間和精力。

圖5 Dasera無程式碼策略編輯器

無程式碼策略編輯器同時考慮了敏感資料使用的整個上下文。例如，查詢條件本身是否包含敏感資料?查詢結果是否產生敏感資料?以及資料使用者的部門、團隊等因素。此外，Dasera可以與客戶的員工組織架構目錄整合，資料訪問策略可以編輯為針對特定的員工、團隊或部門。

06
自定義告警處理工作流程和補救措施
客戶的安全和合規團隊希望在實時或最短時間內知道何時發生了資料安全事件，Dasera平臺通過配置策略，可以及時對檢測到的資料安全事件進行告警。客戶可以在Dasera平臺建立自定義資料安全事件處理工作流程，以將安全警報、潛在的隱私洩漏和合規問題通過電子郵件、Slack、PagerDuty、SNS等通知相應的團隊成員。

對於一些違規行為，客戶希望立即採取一些處理措施進行補救。通過Dasera，客戶可以在自定義的處理工作流程中指定自動補救，比如暫停員工的資料庫訪問許可權、隔離高度敏感的資料集等。

07
廣泛的相容性
如圖6所示，Dasera平臺擁有廣泛的相容性，包括：

圖6 Dasera平臺相容性

​
1、適用於主要公有云：包括AWS、谷歌雲和Azure
2、多種部署模型：可以部署為SaaS或VPC中的虛擬機器
3、支援多種資料儲存：包括Redshift、Snowflake、BigQuery、Postgres、MySQL、Athena等
4、與資料使用介面無關：適用於所有BI工具、SQL命令列和SQL編輯
5、與應用程式日誌相容：如果資料庫查詢日誌不可用，Dasera平臺可以通過解析訪問了資料庫的應用程式日誌來審查資料庫的訪問記錄
6、與SSO整合：包括 Google Workspace 和任何SAML IdP
7、自動通知：包括Slack、Pager Duty、SNS、Google Pub/Sub和電子郵件
8、SIEM/SOAR整合：所有Dasera警告都可以傳送到SIEM/SOAR進行分析並採取進一步措施

四、總結
資料安全是近年RSA大會創新沙盒的熱點， BigID和Securiti.ai分別拿到了2018年和2020年的冠軍，說明資料安全市場確實吸引投資者。Allied Market Research估計，2021年全球資料安全市場價值約為190億美元，預計到2027年將達到542.3億美元[9]，而云上資料安全則是資料安全市場一個新的熱門方向。

如圖7[10]所示，根據Gartner的技術曲線，資料安全的許多新興技術都與雲相關，如資料安全即服務(DSaaS)、多雲 KMaaS（金鑰管理）、雲本地 DLP（資料防洩漏）、多雲 DAM（資料庫審計）等。Dasera的核心功能可以看到不少這些技術的影子。

圖7 Gartner資料安全技術成熟度曲線

2021年的RSAC創新沙盒大賽中，Open Raven也是以解決客戶雲上資料安全問題而闖入了決賽[11]。但是Dasera與Open Raven相比，可以支援更多的雲環境，增加了許可權監控、資料血緣追蹤、通過SQL查詢分析監控資料使用等功能。另外，Dasera對雲上資料安全治理的觀點與新興技術資料安全平臺（DSP）的理念不謀而合，即資料安全的實施需要跨資料安全團隊、合規人員和安全專家採用協調一致的方法[12]。可以認為，Dasera集多種新興技術於一身，並且擁有先進的資料安全治理理念。

參考文獻
[1]https://www.dasera.com/blog/cloud-data-security-2022-cybersecurity-excellence-awards
[2]https://www.dasera.com/about-us
[3]https://www.crunchbase.com/organization/dasera
[4]https://siliconangle.com/2021/08/16/dasera-gains-awards-and-funding-as-it-offers-a-cloud-focused-end-to-end-approach-for-data-security-cubeconversations/
[5]http://news.sohu.com/a/537792640_121351677
[6]《Cost of a Data Breach Report 2021》：https://www.ibm.com/security/data-breach
[7]https://www.gartner.com/en/documents/4006178
[8]https://www.dasera.com/resource-library?topic=whitepapers
[9]https://netsecurity.51cto.com/article/684980.html
[10]https://baijiahao.baidu.com/s?id=1726062168401432788&wfr=spider&for=pc
[11]https://www.openraven.com
[12]https://www.csdn.net/tags/MtTaEg4sNzg3MzQ1LWJsb2cO0O0O.html