RSA創新沙盒盤點 | Satori ——合規、快速、高效的隱私保護解決方案

RSAConference2021將於舊金山時間5月17日召開，這將是RSA大會有史以來第一次採用網路虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將透過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：Satori 。

一、公司與初創團隊介紹

Satori Cyber由創始人Eldad Chai和Yoav Cohen於2019年成立，同年獲得525萬美元的種子輪融資。其中聯合創始人兼CEO Eldad Chai曾是Imperva的產品管理高階副總裁和高階執行團隊成員；Yoav Cohen是Satori Cyber的聯合創始人兼CTO，曾是Imperva的產品開發高階副總裁。公司致力於透過資料分類、審計、策略等技術與手段滿足資料安全與隱私合規需求。

Satori Cyber公司產品的目標是：  

顯示訪問資料的具體使用者；

允許使用者定義和實施資料的訪問策略；

對使用者的任何異常活動進行警告；

對資料安全威脅進行檢並響應。 

二、 背景介紹

歐盟在2018年5月25日正式生效的GDPR，被稱為歐盟“史上最嚴”條例，Google、Facebook，在GDPR生效日分別收到了歐盟39億歐元、37億歐元罰款的訴訟。隨後2019年生效的加州的CCPA，對個人資料或者資訊的保護提出了嚴格的界定和保護要求，這兩個標準已經成為安全和隱私行業的既定標準。接著2020年2月華盛頓參議院批准了《華盛頓隱私法》（WPA），它遵循了GDPR，CCPA隱私法規的腳步，以推進該州的資料隱私規定。

新的法規引發了業界對資料安全和隱私保護新的考慮，利用原有資料平臺自身的隱私安全設定只能滿足資料安全和隱私保護法律規定的部分要求。企業不希望透過昂貴的重構資料基礎設施來滿足資料安全和隱私保護的合規性，而是希望透過低成本的替換部分資料基礎設施（如儲存和查詢的引擎）或者依賴端點代理部署的方式來解決資料安全和隱私保護問題。Satori提出了一種資料訪問控制平臺透過依靠完整資料流視覺化，強制訪問控制和豐富的資料訪問上下文的方法滿足GDPR、CCPA、HIPAA等法規的資料安全和隱私保護需求。

三、公司產品與方案

Satori透過一種新的方法使得產品實現了對完整資料流的視覺化，強制安全訪問控制，並遵從資料安全和隱私策略，同時使合法訪問變得容易、快速和高效。Satori是一個單一的平臺，位於使用者或者應用層和資料儲存層之間，可以解決所有云遺留的資料訪問和資料使用問題，完成資料的管理和保護。透過將使用者與實時資料探勘、分類、行為分析相結合的方式對資料儲存和資料使用時實現資料訪問安全性、隱私性和遵從政策。

Satori是一個資料代理服務，資料使用者或者應用不直接連線到實際儲存的資料，而是連線到Satori代理服務。Satori是部署在使用者或者應用層和資料層之間的安全層，提供了一個資料訪問控制平臺，對敏感資料進行監控，分類和控制訪問的訪問控制服務。企業可以藉助Satori具體實現：

l  使用者或者應用對任何資料的訪問並且確保隱私資料的安全；

l  部署訪問控制並且可以檢視誰在訪問哪些資料；

l  將應用和資料本身解耦，應用資料的改變不影響儲存資料；

l  容易操作，不需要配置、代理和安裝等。

Satori可以實時檢視使用資料的使用者，正在訪問哪些資料，以及如何使用資料。Satori透過對使用者和群組監控並且對資料進行標籤標記分卷，然後透過分析資料統計那些使用者在使用那些資料，透過表格和圖示進行視覺化展示出來。

Satori的訪問控制透過DAC（Data Access Controller）來實現靈活的，細粒度的訪問控制管理。DAC由客戶管理設定其資料的訪問、使用、管理。DAC支援基於角色訪問控制（RBAC），基於屬性訪問控制（ABAC）以及表、列、行和物件的訪問。並且根據資料儲存自動化的選擇細粒度訪問控制。客戶透過DAC可以實現如下功能：

l  阻止未經授權的使用者訪問，對敏感資料進行脫敏；

l  監控使用者或者應用對個人可識別資訊（PII）或者敏感資料的使用；

l  透過基於使用者、群組、資料型別等的配置實現細粒度的訪問控制策略；

Satori能夠自動識別敏感資料（例如：PII，個人醫療資訊（PHI），支付卡行業資訊（PCI）），並透過脫敏技術對敏感資料進行脫敏。使得敏感資料可以進行安全合規的資料分析。滿足GDPR、CCPA、HIPAA等法規，並提供所需的細粒度資料訪問統計圖和訪問審計報告。

四、 產品特點

1. 自動選擇多樣化細粒度的訪問控制策略

Stori透過在雲服務和使用者或應用之間建立了一個訪問控制管理，透過DAC自動化選擇支援多樣化細粒度的訪問策略。在不影響原有的雲中資料的結構和部署情況下，可實現資料訪問的監控，並按照法律要求生成所有資料儲存和訪問審查統計結果的報告。

2. 通用資料脫敏引擎

針對隱私資料的保護，Satori採用了通用資料脫敏（Universal Masking Engine）引擎實現合規的管理，機構或者組織可以安全的對脫敏後的敏感資料進行分析和使用。

Satori設計了脫敏配置檔案（Masking Profiles）定義了每一種資料型別的脫敏轉換，並且對於半結構資料，Satori利用專用的欄位設定實現資料脫敏。

l  透過脫敏配置檔案實現敏感資料遮蔽，如（PII、PHI等）。

l  透過脫敏檔案配置，不同的資料型別選擇不同的的脫敏方式。

例：- name: Mask Customer PII for Analysts

  action:

    type: mask

    profile: 7d1c1d8f-2fed-4897-8163-ef174d885192

  identity_tags:

    - identity.datastore.role::analyst

  data_tags:

    - customer_data

  priority: 2

Satori的敏感資料轉換的方式分為兩種：

1) 通用轉換，可應用於任何資料型別，例如：用預定義的字串或者hash替代敏感資料，或者完成刪除敏感資料。

2) 特定轉換，對常用的資料型別定義了專用的轉換。

對應轉換方式Satori的脫敏方法有通用脫敏、電子郵件脫敏、信用卡脫敏，出生日期脫敏，公用IP脫敏等資料細粒度脫敏方式，示例如下圖：

通用脫敏

電子郵件脫敏

點評：Satori公司的產品提供了豐富的脫敏方法，並支援靈活的配置是其亮點之一。然而，Satori公司聲稱脫敏後的敏感資料可以合規使用和分析。例如，隱私資料經過脫敏後提供第三方，是否真的滿足CCPA和GDPR合規，這值得進一步商榷。值得肯定的是，在大資料時代，隨著資料在網際網路的公開以及黑灰產的猖獗，脫敏資料在外部資料集的輔助下在資料流通與共享過程中的隱私洩露風險越來越高。針對該資料安全風險，國內外均有一些研究，例如美國創新公司Privacy Analytic提出一套風險評估與檢測方案以控制和管理隱私風險，從而降低企業處理敏感資料的合規風險；綠盟科技也對該安全問題進行研究，提出資料脫敏-脫敏效果評估框架，並落地到資料脫敏產品的使用場景中（《十種前沿資料安全技術，聚焦企業合規痛點》，《大資料下的隱私攻防：資料脫敏後的隱私攻擊與風險評估》），同時與清華大學、中國電子技術標準化研究院等機構持續推動該評估方法的標準化（《資訊保安技術-個人資訊去標識化效果分級評估規範》徵求意見稿）。

3. 基於機器學習的自動資料分類

Satori內建資料分類，其資料分類是透過利用基於機器學習的方法對資料進行自動分類，並且透過同態方法建立資料列表和通用目錄的對映。另外，Satori還根據分類後的資料訪問統計結果向管理機構或組織提供敏感資料和訪問模式的整體圖示。

五、 總結

縱觀國際資料安全環境越來越多的法律法規對資料安全和隱私保護提出了具體的要求和規定，我國也對資料安全提出了要求和指導，2017年6月1日施行的《中華人民共和國網路安全法》，強調了對基礎設施及個人資訊的保護。2018年5月1日實施的《資訊保安技術個人資訊保安規範》，還有正在制定的《資料安全法》和《個人資訊保護法》等安全法律法規，從國家標準層面明確了企業收集、使用、分享個人資訊的合規要求，為企業制定隱私政策及個人資訊管理規範指明瞭方向。

Satori Cyber公司致力於透過資料分類、審計、訪問控制使得資料隱私保護達到法律要求快速便捷地在企業資料部署。產品的特點是在雲和使用者之間建立了一個安全訪問控制服務，實現細粒度的訪問控制管理，並且透過視覺化清晰的展示了資料的訪問情況。另外，透過脫敏技術實現敏感資料和隱私資料的保護。產品在滿足法規下能夠快速進行部署，並且對系統效率的影響很小。同時，資料安全和隱私保護基於對Satori的管理的信任，Satori透過了ISO/IEC 27001:2013 Information security management systems的資質認證。在資料竊取日益嚴峻的情況下更需要透過利用同態加密等技術對資料進行加密，或者考慮利用訪問控制實現某種金鑰管理，利用金鑰對資料進行加密，擁有訪問控制許可權的使用者可以得到解密金鑰並且解密資料等方式更安全的保護敏感資料和隱私資料。

在各種資料安全和隱私保護的法律陸續頒發的階段Satori滿足現有法律法規條件下可以實現快速部署並且不需要對企業資料進行大的基礎設施調整，綜合滿足法規下的資料安全和快速部署並且不太影響系統效率的情況下Satori擁有很好的競爭力。祝願Satori在2021年RSA創新沙盒十強賽中取得好成績。