RSAConference2021 將于舊金山時(shí)間 5 月 17 日召開，這將是 RSA 大會有史以來第一次 采用網(wǎng)絡(luò)虛擬會議的形式舉辦。大會的 Innovation Sandbox(沙盒)大賽作為“安全圈的 奧斯卡”，每年都備受矚目，成為全球網(wǎng)絡(luò)安全行業(yè)技術(shù)創(chuàng)新和投資的風(fēng)向標(biāo)。

前不久，RSA 官方宣布了最終入選創(chuàng)新沙盒的十強(qiáng)初創(chuàng)公司:WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、 WIZ。

綠盟君將通過背景介紹、產(chǎn)品特點(diǎn)、點(diǎn)評分析等，帶大家了解入圍的十強(qiáng)廠商。今天，我們 要介紹的是廠商是:Satori 。

一、公司與初創(chuàng)團(tuán)隊(duì)介紹
Satori Cyber 由創(chuàng)始人 Eldad Chai 和 Yoav Cohen 于 2019 年成立，同年獲得 525 萬美元 的種子輪融資。其中聯(lián)合創(chuàng)始人兼 CEO Eldad Chai 曾是 Imperva 的產(chǎn)品管理高級副總裁 和高級執(zhí)行團(tuán)隊(duì)成員;Yoav Cohen 是 Satori Cyber 的聯(lián)合創(chuàng)始人兼 CTO，曾是 Imperva 的產(chǎn)品開發(fā)高級副總裁。公司致力于通過數(shù)據(jù)分類、審計(jì)、策略等技術(shù)與手段滿足數(shù)據(jù)安全 與隱私合規(guī)需求。

Satori Cyber 公司產(chǎn)品的目標(biāo)是:

• 顯示訪問數(shù)據(jù)的具體用戶;

• 允許用戶定義和實(shí)施數(shù)據(jù)的訪問策略;

• 對用戶的任何異?；顒舆M(jìn)行警告;

• 對數(shù)據(jù)安全威脅進(jìn)行檢并響應(yīng)。 

[[402293]]

二、 背景介紹
歐盟在 2018 年 5 月 25 日正式生效的 GDPR，被稱為歐盟“史上最嚴(yán)”條例，Google、 Facebook，在 GDPR 生效日分別收到了歐盟 39 億歐元、37 億歐元罰款的訴訟。隨后 2019 年生效的加州的 CCPA，對個(gè)人數(shù)據(jù)或者信息的保護(hù)提出了嚴(yán)格的界定和保護(hù)要求，這兩個(gè) 標(biāo)準(zhǔn)已經(jīng)成為安全和隱私行業(yè)的既定標(biāo)準(zhǔn)。接著 2020 年 2 月華盛頓參議院批準(zhǔn)了《華盛頓 隱私法》(WPA)，它遵循了 GDPR，CCPA 隱私法規(guī)的腳步，以推進(jìn)該州的數(shù)據(jù)隱私規(guī) 定。

新的法規(guī)引發(fā)了業(yè)界對數(shù)據(jù)安全和隱私保護(hù)新的考慮，利用原有數(shù)據(jù)平臺自身的隱私安全設(shè) 置只能滿足數(shù)據(jù)安全和隱私保護(hù)法律規(guī)定的部分要求。企業(yè)不希望通過昂貴的重構(gòu)數(shù)據(jù)基礎(chǔ) 設(shè)施來滿足數(shù)據(jù)安全和隱私保護(hù)的合規(guī)性，而是希望通過低成本的替換部分?jǐn)?shù)據(jù)基礎(chǔ)設(shè)施 (如存儲和查詢的引擎)或者依賴端點(diǎn)代理部署的方式來解決數(shù)據(jù)安全和隱私保護(hù)問題。

Satori 提出了一種數(shù)據(jù)訪問控制平臺通過依靠完整數(shù)據(jù)流可視化，強(qiáng)制訪問控制和豐富的數(shù) 據(jù)訪問上下文的方法滿足 GDPR、CCPA、HIPAA 等法規(guī)的數(shù)據(jù)安全和隱私保護(hù)需求。

三、公司產(chǎn)品與方案
Satori 通過一種新的方法使得產(chǎn)品實(shí)現(xiàn)了對完整數(shù)據(jù)流的可視化，強(qiáng)制安全訪問控制，并遵 從數(shù)據(jù)安全和隱私策略，同時(shí)使合法訪問變得容易、快速和高效。Satori 是一個(gè)單一的平臺， 位于用戶或者應(yīng)用層和數(shù)據(jù)存儲層之間，可以解決所有云遺留的數(shù)據(jù)訪問和數(shù)據(jù)使用問題， 完成數(shù)據(jù)的管理和保護(hù)。通過將用戶與實(shí)時(shí)數(shù)據(jù)挖掘、分類、行為分析相結(jié)合的方式對數(shù)據(jù) 存儲和數(shù)據(jù)使用時(shí)實(shí)現(xiàn)數(shù)據(jù)訪問安全性、隱私性和遵從政策。

Satori 是一個(gè)數(shù)據(jù)代理服務(wù)，數(shù)據(jù)使用者或者應(yīng)用不直接連接到實(shí)際存儲的數(shù)據(jù)，而是連接 到 Satori 代理服務(wù)。Satori 是部署在用戶或者應(yīng)用層和數(shù)據(jù)層之間的安全層，提供了一個(gè) 數(shù)據(jù)訪問控制平臺，對敏感數(shù)據(jù)進(jìn)行監(jiān)控，分類和控制訪問的訪問控制服務(wù)。企業(yè)可以借助 Satori 具體實(shí)現(xiàn):

• 用戶或者應(yīng)用對任何數(shù)據(jù)的訪問并且確保隱私數(shù)據(jù)的安全;

• 部署訪問控制并且可以查看誰在訪問哪些數(shù)據(jù);

• 將應(yīng)用和數(shù)據(jù)本身解耦，應(yīng)用數(shù)據(jù)的改變不影響存儲數(shù)據(jù); 

• 容易操作，不需要配置、代理和安裝等。

Satori 可以實(shí)時(shí)查看使用數(shù)據(jù)的用戶，正在訪問哪些數(shù)據(jù)，以及如何使用數(shù)據(jù)。Satori 通 過對用戶和群組監(jiān)控并且對數(shù)據(jù)進(jìn)行標(biāo)簽標(biāo)記分卷，然后通過分析數(shù)據(jù)統(tǒng)計(jì)那些用戶在使用 那些數(shù)據(jù)，通過表格和圖標(biāo)進(jìn)行可視化展示出來。 

Satori 的訪問控制通過 DAC(Data Access Controller)來實(shí)現(xiàn)靈活的，細(xì)粒度的訪問控 制管理。DAC 由客戶管理設(shè)置其數(shù)據(jù)的訪問、使用、管理。DAC 支持基于角色訪問控制 (RBAC)，基于屬性訪問控制(ABAC)以及表、列、行和對象的訪問。并且根據(jù)數(shù)據(jù)存 儲自動化的選擇細(xì)粒度訪問控制?？蛻敉ㄟ^ DAC 可以實(shí)現(xiàn)如下功能:

• 阻止未經(jīng)授權(quán)的用戶訪問，對敏感數(shù)據(jù)進(jìn)行脫敏;
• 監(jiān)控用戶或者應(yīng)用對個(gè)人可識別信息(PII)或者敏感數(shù)據(jù)的使用;
• 通過基于用戶、群組、數(shù)據(jù)類型等的配置實(shí)現(xiàn)細(xì)粒度的訪問控制策略;

Satori 能夠自動識別敏感數(shù)據(jù)(例如:PII，個(gè)人醫(yī)療信息(PHI)，支付卡行業(yè)信息(PCI))， 并通過脫敏技術(shù)對敏感數(shù)據(jù)進(jìn)行脫敏。使得敏感數(shù)據(jù)可以進(jìn)行安全合規(guī)的數(shù)據(jù)分析。滿足 GDPR、CCPA、HIPAA 等法規(guī)，并提供所需的細(xì)粒度數(shù)據(jù)訪問統(tǒng)計(jì)圖和訪問審計(jì)報(bào)告。

四、 產(chǎn)品特點(diǎn)
1. 自動選擇多樣化細(xì)粒度的訪問控制策略
Stori 通過在云服務(wù)和用戶或應(yīng)用之間建立了一個(gè)訪問控制管理，通過 DAC 自動化選擇支 持多樣化細(xì)粒度的訪問策略。在不影響原有的云中數(shù)據(jù)的結(jié)構(gòu)和部署情況下，可實(shí)現(xiàn)數(shù)據(jù)訪 問的監(jiān)控，并按照法律要求生成所有數(shù)據(jù)存儲和訪問審查統(tǒng)計(jì)結(jié)果的報(bào)告。

2. 通用數(shù)據(jù)脫敏引擎

針對隱私數(shù)據(jù)的保護(hù)，Satori 采用了通用數(shù)據(jù)脫敏(Universal Masking Engine)引擎實(shí) 現(xiàn)合規(guī)的管理，機(jī)構(gòu)或者組織可以安全的對脫敏后的敏感數(shù)據(jù)進(jìn)行分析和使用。

Satori 設(shè)計(jì)了脫敏配置文件(Masking Profiles)定義了每一種數(shù)據(jù)類型的脫敏轉(zhuǎn)換，并且 對于半結(jié)構(gòu)數(shù)據(jù)，Satori 利用專用的字段設(shè)置實(shí)現(xiàn)數(shù)據(jù)脫敏。
• 通過脫敏配置文件實(shí)現(xiàn)敏感數(shù)據(jù)屏蔽，如(PII、PHI 等)。
• 通過脫敏文件配置，不同的數(shù)據(jù)類型選擇不同的的脫敏方式。

例:- name: Mask Customer PII for Analysts action:

type: mask

profile: 7d1c1d8f-2fed-4897-8163-ef174d885192 identity_tags:

- identity.datastore.role::analyst data_tags:

- customer_data priority: 2

Satori 的敏感數(shù)據(jù)轉(zhuǎn)換的方式分為兩種:
1) 通用轉(zhuǎn)換，可應(yīng)用于任何數(shù)據(jù)類型，例如:用預(yù)定義的字符串或者 hash 替代敏感數(shù)據(jù)， 或者完成刪除敏感數(shù)據(jù)。

2) 特定轉(zhuǎn)換，對常用的數(shù)據(jù)類型定義了專用的轉(zhuǎn)換。

對應(yīng)轉(zhuǎn)換方式 Satori 的脫敏方法有通用脫敏、電子郵件脫敏、信用卡脫敏，出生日期脫敏， 公用 IP 脫敏等數(shù)據(jù)細(xì)粒度脫敏方式，示例如下圖:

通用脫敏

電子郵件脫敏

點(diǎn)評:Satori 公司的產(chǎn)品提供了豐富的脫敏方法，并支持靈活的配置是其亮點(diǎn)之一。然而， Satori 公司聲稱脫敏后的敏感數(shù)據(jù)可以合規(guī)使用和分析。例如，隱私數(shù)據(jù)經(jīng)過脫敏后提供第 三方，是否真的滿足 CCPA 和 GDPR 合規(guī)，這值得進(jìn)一步商榷。值得肯定的是，在大數(shù)據(jù) 時(shí)代，隨著數(shù)據(jù)在互聯(lián)網(wǎng)的公開以及黑灰產(chǎn)的猖獗，脫敏數(shù)據(jù)在外部數(shù)據(jù)集的輔助下在數(shù)據(jù) 流通與共享過程中的隱私泄露風(fēng)險(xiǎn)越來越高。針對該數(shù)據(jù)安全風(fēng)險(xiǎn)，國內(nèi)外均有一些研究，

例如美國創(chuàng)新公司 Privacy Analytic 提出一套風(fēng)險(xiǎn)評估與檢測方案以控制和管理隱私風(fēng)險(xiǎn)， 從而降低企業(yè)處理敏感數(shù)據(jù)的合規(guī)風(fēng)險(xiǎn);綠盟科技也對該安全問題進(jìn)行研究，提出數(shù)據(jù)脫敏 -脫敏效果評估框架，并落地到數(shù)據(jù)脫敏產(chǎn)品的使用場景中(《十種前沿?cái)?shù)據(jù)安全技術(shù)，聚 焦企業(yè)合規(guī)痛點(diǎn)》，《大數(shù)據(jù)下的隱私攻防:數(shù)據(jù)脫敏后的隱私攻擊與風(fēng)險(xiǎn)評估》)，同時(shí) 與清華大學(xué)、中國電子技術(shù)標(biāo)準(zhǔn)化研究院等機(jī)構(gòu)持續(xù)推動該評估方法的標(biāo)準(zhǔn)化(《信息安全 技術(shù)-個(gè)人信息去標(biāo)識化效果分級評估規(guī)范》征求意見稿)。

3.基于機(jī)器學(xué)習(xí)的自動數(shù)據(jù)分類

Satori 內(nèi)置數(shù)據(jù)分類，其數(shù)據(jù)分類是通過利用基于機(jī)器學(xué)習(xí)的方法對數(shù)據(jù)進(jìn)行自動分類，并 且通過同態(tài)方法創(chuàng)建數(shù)據(jù)列表和通用目錄的映射。另外，Satori 還根據(jù)分類后的數(shù)據(jù)訪問統(tǒng) 計(jì)結(jié)果向管理機(jī)構(gòu)或組織提供敏感數(shù)據(jù)和訪問模式的整體圖示。

五、 總結(jié) 縱觀國際數(shù)據(jù)安全環(huán)境越來越多的法律法規(guī)對數(shù)據(jù)安全和隱私保護(hù)提出了具體的要求和規(guī) 定，我國也對數(shù)據(jù)安全提出了要求和指導(dǎo)，2017 年 6 月 1 日施行的《中華人民共和國網(wǎng)絡(luò) 安全法》，強(qiáng)調(diào)了對基礎(chǔ)設(shè)施及個(gè)人信息的保護(hù)。2018 年 5 月 1 日實(shí)施的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》，還有正在制定的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等安全法律法 規(guī)，從國家標(biāo)準(zhǔn)層面明確了企業(yè)收集、使用、分享個(gè)人信息的合規(guī)要求，為企業(yè)制定隱私政 策及個(gè)人信息管理規(guī)范指明了方向。

Satori Cyber 公司致力于通過數(shù)據(jù)分類、審計(jì)、訪問控制使得數(shù)據(jù)隱私保護(hù)達(dá)到法律要求 快速便捷地在企業(yè)數(shù)據(jù)部署。產(chǎn)品的特點(diǎn)是在云和用戶之間建立了一個(gè)安全訪問控制服務(wù)，

實(shí)現(xiàn)細(xì)粒度的訪問控制管理，并且通過可視化清晰的展示了數(shù)據(jù)的訪問情況。另外，通過脫 敏技術(shù)實(shí)現(xiàn)敏感數(shù)據(jù)和隱私數(shù)據(jù)的保護(hù)。產(chǎn)品在滿足法規(guī)下能夠快速進(jìn)行部署，并且對系統(tǒng) 效率的影響很小。同時(shí)，數(shù)據(jù)安全和隱私保護(hù)基于對 Satori 的管理的信任，Satori 通過了 ISO/IEC 27001:2013 Information security management systems 的資質(zhì)認(rèn)證。在數(shù)據(jù) 竊取日益嚴(yán)峻的情況下更需要通過利用同態(tài)加密等技術(shù)對數(shù)據(jù)進(jìn)行加密，或者考慮利用訪問 控制實(shí)現(xiàn)某種密鑰管理，利用密鑰對數(shù)據(jù)進(jìn)行加密，擁有訪問控制權(quán)限的用戶可以得到解密 密鑰并且解密數(shù)據(jù)等方式更安全的保護(hù)敏感數(shù)據(jù)和隱私數(shù)據(jù)。

在各種數(shù)據(jù)安全和隱私保護(hù)的法律陸續(xù)頒發(fā)的階段 Satori 滿足現(xiàn)有法律法規(guī)條件下可以實(shí) 現(xiàn)快速部署并且不需要對企業(yè)數(shù)據(jù)進(jìn)行大的基礎(chǔ)設(shè)施調(diào)整，綜合滿足法規(guī)下的數(shù)據(jù)安全和快 速部署并且不太影響系統(tǒng)效率的情況下 Satori 擁有很好的競爭力。祝愿 Satori 在 2021 年 RSA 創(chuàng)新沙盒十強(qiáng)賽中取得好成績。