RSACohold。大会的创新沙盒(Sandbox)大赛作为“安全界的奥斯卡”,每年都备受瞩目,已成为全球网络安全行业技术创新和投资的风向标。不久前,RSA官方公布了最终入选创新沙盒的十大初创公司:WABBI、Satori、AbnormalSecurity、Apiiro、AxisSecurity、CapePrivacy、Deduce、OpenRaven、STARATA、WIZ。绿盟科技将从背景介绍、产品特点、评论分析等方面为您介绍入围的十大厂商。今天,我们要介绍的厂商是:Satori。一、公司及创业团队介绍SatoriCyber??由创始人EldadChai和YoavCohen于2019年成立,同年获得525万美元种子轮融资。其中,联合创始人兼CEOEldadChai曾任Imperva产品管理高级副总裁、高管团队成员;YoavCohen曾是SatoriCyber??的联合创始人兼CTO,曾任Imperva产品开发高级副总裁。公司致力于通过数据分类、审计、策略等技术和手段满足数据安全和隐私合规要求。SatoriCyber??产品的目标是:?显示访问数据的特定用户;?允许用户定义和执行数据访问策略;?提醒用户注意任何异常活动;?检测并响应数据安全威胁。二、背景介绍欧盟GDPR于2018年5月25日生效,被誉为欧盟历史上“最严”的法规。在GDPR生效之日,谷歌和Facebook收到了针对欧盟的诉讼,分别被罚款39亿欧元和37亿欧元。.随后,2019年生效的加州CCPA对个人数据或信息的保护提出了严格的定义和保护要求。这两个标准已成为安全和隐私行业的既定标准。随后在2020年2月,华盛顿参议院批准了《华盛顿隐私法》(WPA),紧随GDPR、CCPA隐私法规的脚步,推进该州的数据隐私法规。新规引发了业界对数据安全和隐私保护的新思考。使用原始数据平台本身的隐私安全设置只能满足数据安全和隐私保护法律规定的部分要求。企业不希望通过昂贵的数据基础设施改造来满足数据安全和隐私保护合规性,而是希望以低成本更换部分数据基础设施(如存储和查询引擎)或依靠端点代理部署来解决数据安全和隐私问题保护问题。Satori提出了一个数据访问控制平台,依托完整的数据流可视化、强制访问控制和丰富的数据访问上下文,满足GDPR、CCPA、HIPAA等法规对数据安全和隐私保护的要求。3、公司产品及解决方案Satori采用全新方式,使产品可视化完整的数据流转,实施安全访问控制,遵守数据安全和隐私政策,同时让合法访问变得简单、快捷、高效。Satori是一个单一的平台,位于用户或应用层与数据存储层之间,可以解决所有云端遗留数据访问和数据使用问题,并完成数据管理和保护。通过将用户与实时数据挖掘、分类和行为分析相结合,实现数据访问安全、隐私和策略合规。Satori是一种数据代理服务。数据用户或应用程序并不直接连接到实际存储的数据,而是连接到Satori代理服务。Satori是部署在用户或应用层与数据层之间的安全层。它提供了一个数据访问控制平台来监控、分类和控制对敏感数据的访问。企业可以使用Satori实现:?用户或应用程序可以访问任何数据并保证私有数据的安全;?部署访问控制,可以检查谁在访问哪些数据;?应用与数据本身解耦,应用数据的变化不会影响存储的数据;?易于操作,无需配置、代理和安装等。Satori可实时了解谁在使用数据、访问了哪些数据以及如何使用数据。Satori对用户和分组进行监控并对数据进行标注和划分,然后对数据进行分析统计哪些用户在使用哪些数据,并通过表格和图标直观地展示出来。Satori的访问控制通过DAC(DataAccessController)实现灵活细粒度的访问控制管理。DAC由客户管理,以设置对其数据的访问、使用和管理。DAC支持基于角色的访问控制(RBAC)、基于属性的访问控制(ABAC)以及对表、列、行和对象的访问。并根据数据存储自动选择细粒度的访问控制。通过DAC,客户可以实现以下功能:?防止未经授权的用户访问和敏感数据脱敏;?监控用户或应用程序对个人身份信息(PII)或敏感数据的使用;?通过基于用户和基于组的细粒度访问控制策略,可以通过数据类型的配置等实现;Satori可以自动识别敏感数据(如:PII、个人医疗信息(PHI)、支付卡行业信息(PCI)),通过脱敏技术对敏感数据进行脱敏处理。可以安全且合规地分析敏感数据。遵守GDPR、CCPA、HIPAA等法规,提供所需的细粒度数据访问统计和访问审计报告。四、产品特点1、自动选择多样化、细粒度的访问控制策略Stori在云服务与用户或应用之间建立访问控制管理,通过DAC自动选择支持多样化、细粒度的访问策略。在不影响原始数据在云端的结构和部署的情况下,实现数据访问监控,并根据法律要求生成所有数据存储和访问审核统计报告。2.UniversalDataMaskingEngine为保护隐私数据,Satori采用UniversalMaskingEngine(UniversalMaskingEngine)引擎来实现合规管理。机构或组织可以安全地分析和使用屏蔽的敏感数据。Satori设计了掩码配置文件(MaskingProfiles)来定义每种数据类型的掩码转换,对于半结构化数据,Satori使用专门的字段设置来实现数据掩码。?通过屏蔽配置文件屏蔽敏感数据,例如(PII、PHI等)。?通过屏蔽文件配置,不同的数据类型可以选择不同的屏蔽方式。Example:-name:MaskCustomerPIIforAnalystsaction:type:maskprofile:7d1c1d8f-2fed-4897-8163-ef174d885192identity_tags:-identity.datastore.role::analystdata_tags:-customer_datapriority:2Satori的敏感数据转换方式分为两种types:1)通用转换,可以应用于任何数据类型,例如:用预定义的字符串或哈希替换敏感数据,或完全删除敏感数据。2)特定转换,为常用数据类型定义特殊转换。转换方式Satori对应的脱敏方式有普通脱敏、邮件脱敏、信用卡脱敏、出生日期脱敏、公网IP脱敏等数据细粒度脱敏方式,示例如下图:普通脱敏邮件脱敏评论:Satori的产品提供了丰富的脱敏方式,支持灵活配置是其亮点之一。不过,Satori声称脱敏后的敏感数据可以合规使用和分析。例如,脱敏后提供给第三方的隐私数据是否真的满足CCPA和GDPR合规,值得进一步探讨。值得肯定的是,在大数据时代,随着互联网数据的公开和黑灰生产的猖獗,脱敏数据在借助外部数据流通共享的过程中存在隐私泄露的风险套数越来越高。针对这种数据安全风险,国内外已有一些研究。例如,美国创新公司PrivacyAnalytic提出了一套风险评估和检测解决方案来控制和管理隐私风险,从而降低企业处理敏感数据的合规风险;绿盟科技也针对该安全问题进行研究,提出了数据脱敏-脱敏效果评估框架,并将其应用于数据脱敏产品(《十种前沿数据安全技术,聚 焦企业合规痛点》、《大数据下的隐私攻防:数据脱敏后的隐私攻击与风险评估》)的使用场景,并与清华大学、中国电子学会合作技术标准化等机构持续推进本评价方法标准化工作(《信息安全 技术-个人信息去标识化效果分级评估规范》征求意见稿)。3.基于机器学习的自动数据分类Satori内置数据分类。它的数据分类是使用基于机器学习的方法自动对数据进行分类,并通过同态方法在数据列表和通用目录之间建立映射。此外,Satori基于分类数据访问统计,为管理机构或组织提供敏感数据和访问模式的全貌。五、总结纵观国际数据安全环境,越来越多的法律法规对数据安全和隐私保护提出了具体要求和规定。我国也对数据安全提出了要求和指导意见。,强调基础设施和个人信息的保护。2018年5月1日实施的《信息安全技术个人信息安全规范》以及《数据安全法》、《个人信息保护法》等安全法律法规,明确了企业收集、使用和共享来自国家的个人信息的合规要求标准层面,为企业制定隐私政策和个人信息管理规范指明了方向。SatoriCyber??致力于通过数据分类、审计和访问控制,使数据隐私保护符合法律要求,从而快速轻松地部署企业数据。产品的特点是在云端与用户之间建立安全的访问控制服务,实现细粒度的访问控制管理,通过可视化的方式清晰展示数据访问状态。此外,通过脱敏技术实现对敏感数据和隐私数据的保护。产品可以快速部署,同时满足法规要求,同时对系统效率的影响最小。同时,数据安全和隐私保护基于对Satori管理的信任,Satori通过了ISO/IEC27001:2013信息安全管理体系的资质认证。在数据窃取越来越严重的情况下,更需要使用同态加密等技术对数据进行加密,或者考虑使用访问控制实现某种密钥管理,使用密钥对数据进行加密。拥有访问控制权限的用户可以获得Decryptkey,解密数据,更安全地保护敏感数据和隐私数据。在各种数据安全和隐私保护法律相继出台的阶段,Satori可以在现有法律法规条件下实现快速部署,不需要对企业数据基础设施进行重大调整,全面满足法规和法规下的数据安全和快速部署。在不影响系统效率的情况下,Satori具有很好的竞争力。祝Satori在2021年RSA创新沙盒十大竞赛中好运。
