RSA創新沙盒盤點 |Open Raven——實時監護使用者雲上資料安全

RSAConference2021將於舊金山時間5月17日召開，這將是RSA大會有史以來第一次採用網路虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將透過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：Open Raven。

一、公司介紹

Open Raven成立於2019年，該公司致力於協助使用者輕鬆管理儲存於亞馬遜雲上的電子資料，幫助使用者避免雲上資料洩露事件發生，並協助使用者實現資料合規性。根據LinkedIn資訊顯示，該公司位於洛杉磯。Dave Cole是該公司的聯合創始人兼CEO，他曾在CrowdStrike和Tenable工作過的；公司聯合創始人之一Mark Curphey擔任該公司首席產品官,他是軟體安全公司SourceClear的前CEO和微軟公司前高管。在Cole和Curphey帶領下，Open Raven已於2020年2月在由Upfront Ventures領投的種子輪融資中獲得410萬美元；並於同年在6月在由Kleiner Perkins領投的A輪融資中獲得1500萬美元。

Open Raven公司產品主打目標：

l  協助使用者全面探查雲上所擁有資料；

l  向使用者全面直觀展示每項資料儲存位置；

l  自動化掃描分類使用者資料，標識出敏感和高風險資料；

l  及時發現資料洩露事件，自動報警異常事件；

l  簡化及監督使用者資料流動合規性。

二、 背景介紹

資料通常被稱為“新石油”，因為它是當前推動全球經濟不斷增長的新型原材料。資料的流動與使用如何實現監管，本身就具有不小的挑戰性，而云計算的爆炸式發展給資料治理的挑戰增加了更多的複雜性。這使得各公司容易出現資料治理盲點，從而導致客戶詳細資訊、敏感財務資訊、健康醫療資料、選舉資料、甚至刑事調查資訊的洩露。由於《加州消費者隱私法案》（CCPA）和歐洲《通用資料保護條例》（GDPR）等措施帶來的新規定，對資料的不當處理和資料洩露的處罰也在飆升。根據國際律師事務所DLA Piper的調查顯示，GDPR生效以來，在監管機構的實施下，全球各公司/組織因侵犯使用者資料隱私而被罰款的金額超過了3.301億美元。

從普通人的視角來看，資料洩露的最大風險來自於外部攻擊者。然而實際情況卻是：大部分資料洩露事件都是由於內部資料處理不當造成的，如錯誤配置的資料庫、備份、端點和服務。事實上，就暴露的資料數量而言，2019年因意外原因導致的資料洩露總量超過了60億條，超過了因駭客蓄意入侵導致的資料洩露總量。

當前防止資料防洩漏的手段分為兩種：一種是透過制定合理的管理措施進行資料安全防護，嚴格限制資料的儲存、訪問和使用方式，優點是技術門檻低，缺點是管理措施必須隨相關政策法規的變化及時調整，業務和資料龐雜時容易出現管理盲點；另一種是透過機密計算、安全多方計算、聯邦學習等技術手段實現資料的“可用不可見”，從源頭阻止資料洩露，優點是技術與政策法規無關，可一勞永逸解決資料洩露問題，缺點是技術門檻高、不易實現。

資料安全是近年RSA大會創新沙盒的熱點，如2018年冠軍BigID、2020年冠軍Securiti.ai以及今年的Open Raven，均是透過協助企業提升資料安全管理能力，進而來阻止資料洩露事件發生。所不同的是，BigID關注的是企業對個人隱私資料的管理和合規性檢查；Securiti.ai關注透過People Data Graph實現分散的個人資料與資料所有者的連結，並提供分別滿足CCPA、GDPR和LGPD（巴西隱私法規）的合規性方案。

Open Raven除了關注企業個人隱私資料安全，更關注企業雲上資料安全。Open Raven認為，既然資料洩露背後的因素之一是企業對資料的不當保護措施，那麼最直接有效的預防方法就是採取合適的措施來增強資料本身的安全性。要想實現上述目標，最首要的工作就是知道企業中有什麼型別的資料、有多少資料、這些資料儲存在哪裡、以及這些資料當前是怎麼保護的？Open Raven透過技術手段回答了上述幾個問題，從源頭上阻止資料洩露。

三、 公司核心產品服務

Open Raven平臺使用從API到網路掃描的各種技術，提供了雲和本地資料儲存的自動對映。其中的核心服務是Open Raven的DMAP指紋識別服務，該服務旨在識別哪些資產作為資料儲存在執行使用。DMAP使用基於隨機森林決策樹的機器學習演算法來精確識別常用的資料儲存服務，如ElasticSearch、Postgres、MongoDB等，以便更好地識別和管理這些儲存服務。

1 DMAP架構

參考Open Raven釋出的白皮書《Building Open Raven’s Data Store Fingerprinting （DMAP）》，DMAP的體系架構如下圖所示。

DMAP是一個以云為中心的分散式體系結構。DMAP-ML執行在Open Raven管理叢集(Asgard)中，而DMAP執行在客戶Open Raven 叢集(Odin)中。對於希望對映其企業本地網路(非雲部署)的使用者，DMAP-Scanner在得到授權後，在本地執行並將處理結果反饋給DMAP。

2 模型建立

當建立決策樹模型時，指紋被轉換為機器學習特徵，然後輸入到訓練模型中。每個指紋都會產生一個或多個機器學習特徵，如下圖所示。

對每個被錄入指紋的應用程式，重複上述操作，並最終進行分割測試，以確保識別的準確性。

3 指紋錄入

指紋錄入是Open Raven監督訓練的主要方法。基於雲的採集流程如下圖所示。該流程利用Amazon Web Service (AWS)的無服務計算引擎Fargate與容器執行時Docker，允許Open Raven快速啟動應用基礎設施進行指紋採集，並在指紋錄入完畢時縮小叢集規模。

AWS Fargate使Open Raven能夠在不需要固定基礎設施的情況下動態啟動數千個服務。再加上絕大多數現有的資料儲存應用程式都可以Docker映象交付，因此很容易生成樣本資料。

4 使用者反饋改進

雖然Open Raven的初始資料集和模型基於指紋錄入，但Open Raven的工作流設計允許(並鼓勵)使用者反饋和細化預測結果，“反饋-改進”流程如下圖所示。當應用程式預測結果顯示給使用者時，若預測結果不準確，使用者可以根據自己的實際情況否定預測結果，並如實反饋給DMAP-ML。該反饋結果將實時整合到DMAP-ML中的Open Raven DMAP預測引擎中，從而使得DMAP利用新獲得的知識提高將來的預測準確率。

使用者“反饋-改進”流程既增強了Open Raven識別已知應用程式的能力，特別是識別已知應用程式的尚未發行版本。這使得Open Raven能夠在使用者收到識別結果並提供反饋時，可以實時瞭解最新的軟體和應用程式。

四、 產品功能

1 資料資產視覺化

Open Raven透過全域性3D檢視使用者顯示每個AWS賬戶和資產情況，不同資產型別有不同的地圖圖示表示；單擊單個資產的圖示以檢視其屬性；Open Raven按其物理位置對資產進行分組。視覺化視窗邊緣部分顯示連線到基礎設施的 IP 地址。

Open Raven允許透過以下幾種篩選方式篩選資產：

l  地理位置；

l  資產型別；

l  安全配置。

按安全配置進行篩選時，資產篩選結果可分類為：

l  對網際網路開放/對網際網路關閉；

l  加密/未加密；

l  備份/未備份。

可以視覺化AWS Virtual Private Clouds（VPC）之間的網路連線。單擊雲圖示時，可以看到有關：

l  請求者；

l  接受者；

l  連線 ID。

2 自動化敏感資料掃描

資料掃描功能使用機器學習和模式匹配來識別和分類AWS S3儲存桶中的敏感資料。

使用資料掃描功能，可以發現如下敏感資料，例如：

l  敏感個人資訊

l  開發人員機密和憑據

l  財務和健康資料。

Open Raven配置了一些預設資料類，使用者也可以自行建立資料類。資料掃描作業按照使用者指定的規則執行，按預定週期掃描目標資產組中的特定資料類別。

資料類是Open Raven在資料掃描期間著重尋找的內容，是敏感資料型別，例如：姓名、郵編地址、社會保險號碼、SSH金鑰、信用卡號。其中預設資料型別中的個人資料類，涵蓋了目前世界上主要歐美及已開發國家對個人資料類的分類和識別方式，如下圖所示。

3 依照安全策略監控資產安全

Open Raven允許使用者按照策略來執行資料安全標準，透過Open Raven進行稽核和監控使用者的雲資料資產。當發生策略違規時，將向相關使用者發出告警通知，並指導使用者採取行動阻止資料洩露事件。

Open Raven提供以下預構建的策略集，使用者可以透過快速勾選的方式構建自己的資料安全規則，保護使用者的雲資料資產：

4 生成合規分析報告

使用者可以根據自己的需要，選擇感興趣的資料安全策略項，並匯出該項策略的合規性報告。

五、 總結

當前全球各國及組織均在緊鑼密鼓地制定資料安全相關法案法規，違規懲罰力度也在不斷擴大。在此形勢下，大小網際網路公司均人人自危，爭相檢查各自資料安全保護現狀，以避免因資料洩露事件帶來自身形象損失及罰款資金損失。此時Open Raven公司及時發現並抓住使用者痛點，以自身優勢來協助使用者解決資料資產清查及合規性檢查等事宜，滿足使用者剛性需求，解決使用者痛點問題，使得公司快速發展應是大勢所趨。

可以看出，Open Raven的宗旨是讓使用者全面、透徹的瞭解自己儲存於雲伺服器中的資料資產儲存情況（如儲存於哪裡？用的何種儲存服務？）和安全現狀（有多少敏感資料？是否密文儲存？是否有備份？何人、何裝置可以訪問該資料？），給使用者一個直觀的掃描和呈現，目的是協助使用者從管理角度實現資料資產安全，並實施資料資產定期合規性檢查，但是並不向使用者直接輸出資料安全防禦技術和資料安全共享技術（如資料脫敏、差分隱私、安全多方計算等）。

其最核心的技術創新點：1、利用隨機森林決策樹演算法來識別使用者資料儲存所採用的應用和服務，即DMAP服務；2、實施監控使用者資料資產流動及訪問情況，及時告警威脅事件，協助使用者阻止資料洩露事件發生。

功能創新點在於：1、利用3D技術圖形化展示使用者雲上所屬賬戶、資料資產型別、儲存位置，便於使用者管理；2、彙總當前基本以及常用的資料安全策略，並進行合理分類，供使用者直接呼叫、學習；3、協助使用者分析資料資產合規性，並給出分析報告和改進意見。

以上是Open Raven的優勢及亮點所在，但個人感覺，劣勢也很明顯：目前只能分析亞馬遜雲上的使用者資料資產，無法覆蓋其他雲系統。從Open Raven官網來看，已將其他雲系統作為攻堅目標，希望其能早日實現多種雲上資料資產發現及分析。另外，隱私保護法規越來越嚴的情況下，使用者也關心自己的資料安全保護策略是否可以滿足全部或某一個特定法規的資料安全要求。若不滿足，如何改進？希望Open Raven早日考慮該訴求，系統性地為使用者的資料安全建設提供檢查及建議，這樣或許能招攬來更多使用者及投資者。

 參考文獻

l  https://www.openraven.com

l  https://www.openraven.com/about-us

l  https://docs.openraven.com/docs

l  https://www.businesswire.com/news/home/20200211005823/en/Open-Raven-Launches-Modern-Data-Security-Platform

l  https://www.sohu.com/a/446669283_99920976

l  https://www.forbes.com/sites/martingiles/2020/02/11/big-data-security-open-raven

l  https://assets.website-files.com/5fd8cd3eb652b67d978d27ca/6047f231831e64373a268d72_Building_Open_Ravens_Data_Store_fingerprinting.pdf