RSA 创新沙盒盘点| Satori —合规、快速、高效的隐私保护解决方案

2021-06-10 00:58:47 浏览数 (1)

一、公司与初创团队介绍

Satori Cyber[1]由创始人Eldad Chai和Yoav Cohen于2019年成立,同年获得525万美元的种子轮融资。其中联合创始人兼CEO Eldad Chai曾是Imperva[2]的产品管理高级副总裁和高级执行团队成员;Yoav Cohen是Satori Cyber的联合创始人兼CTO,曾是Imperva的产品开发高级副总裁。公司致力于通过数据分类、审计、策略等技术与手段满足数据安全与隐私合规需求。

Satori Cyber公司产品的目标是:

  • 显示访问数据的具体用户;
  • 允许用户定义和实施数据的访问策略;
  • 对用户的任何异常活动进行警告;
  • 对数据安全威胁进行检测,并响应。

二、背景

欧盟在2018年5月25日正式生效的GDPR,被称为欧盟“史上最严”条例,Google、Facebook,在GDPR生效日分别收到了欧盟39亿欧元、37亿欧元罚款的诉讼。随后2019年生效的加州的CCPA,对个人数据或者信息的保护提出了严格的界定和保护要求,这两个标准已经成为安全和隐私行业的既定标准。接着2020年2月华盛顿参议院批准了《华盛顿隐私法》(WPA),它遵循了GDPR,CCPA隐私法规的脚步,以推进该州的数据隐私规定。

新的法规引发了业界对数据安全和隐私保护新的考虑,利用原有数据平台自身的隐私安全设置只能满足数据安全和隐私保护法律规定的部分要求。企业不希望通过昂贵的重构数据基础设施来满足数据安全和隐私保护的合规性,而是希望通过低成本的替换部分数据基础设施(如存储和查询的引擎)或者依赖端点代理部署的方式来解决数据安全和隐私保护问题。Satori提出了一种数据访问控制平台通过依靠完整数据流可视化,强制访问控制和丰富的数据访问上下文的方法满足GDPR,CCPA,HIPAA等法规的数据安全和隐私保护需求。

三、公司产品与方案

Satori通过一种新的方法使得产品实现了对完整数据流的可视化,强制安全访问控制,并遵从数据安全和隐私策略,同时使合法访问变得容易、快速和高效。Satori是一个单一的平台,位于用户或者应用层和数据存储层之间,可以解决所有云遗留的数据访问和数据使用问题,完成数据的管理和保护。通过将用户与实时数据挖掘、分类、行为分析相结合的方式对数据存储和数据使用时实现数据访问安全性、隐私性和遵从政策。

Satori是一个数据代理服务,数据使用者或者应用不直接连接到实际存储的数据,而是连接到Satori代理服务。Satori是部署在用户或者应用层和数据层之间的安全层,提供了一个数据访问控制平台,对敏感数据进行监控,分类和控制访问的访问控制服务。企业可以借助Satori具体实现:

  • 用户或者应用对任何数据的访问并且确保隐私数据的安全;
  • 部署访问控制并且可以查看谁在访问哪些数据;
  • 将应用和数据本身解耦,应用数据的改变不影响存储数据;
  • 容易操作,不需要配置,代理,安装等。

Satori可以实时查看使用数据的用户,正在访问哪些数据,以及如何使用数据。Satori通过对用户和群组监控并且对数据进行标签标记分卷,然后通过分析数据统计那些用户在使用那些数据,通过表格和图表进行可视化展示出来。

Satori的访问控制通过DAC(Data Access Controller)来实现灵活的,细粒度的访问控制管理。DAC由客户管理设置其数据的访问、使用、管理。DAC支持基于角色访问控制(RBAC),基于属性访问控制(ABAC)以及表、列、行和对象的访问。并且根据数据存储自动化的选择细粒度访问控制。客户通过DAC可以实现如下功能:

  • 阻止未经授权的用户访问,对敏感数据进行脱敏;
  • 监控用户或者应用对个人可识别信息(PII)或者敏感数据的使用;
  • 通过基于用户,群组,数据类型等的配置实现细粒度的访问控制策略;

Satori能够自动识别敏感数据(例如:PII,个人医疗信息(PHI),支付卡行业信息(PCI)),并通过脱敏技术对敏感数据进行脱敏,使得敏感数据可以进行安全合规的数据分析。满足GDPR,CCPA,HIPAA等法规,并提供所需的细粒度数据访问统计图和访问审计报告。

四、产品特点

1自动选择多样化细粒度的访问控制策略

Satori通过在云服务和用户或应用之间建立了一个访问控制管理,通过DAC自动化选择支持多样化细粒度的访问策略。在不影响原有的云中数据的结构和部署情况下,可实现数据访问的监控,并按照法律要求生成所有数据存储和访问审查统计结果的报告。

2通用数据脱敏引擎

针对隐私数据的保护,Satori采用了通用数据脱敏(universalmasking engine)引擎实现合规的管理,机构或者组织可以安全的对脱敏后的敏感数据进行分析和使用。

Satori设计了脱敏配置文件(Masking Profiles)定义了每一种数据类型的脱敏转换,并且对于半结构数据,Satori利用专用的字段设置实现数据脱敏。

  • 通过脱敏配置文件实现敏感数据屏蔽;如(PII、PHI等)。
  • 通过脱敏文件配置,不同的数据类型选择不同的的脱敏方式。

例:- name: Mask Customer PII for Analysts

action:

type: mask

profile:7d1c1d8f-2fed-4897-8163-ef174d885192

identity_tags:

- identity.datastore.role::analyst

data_tags:

- customer_data

priority: 2

Satori的敏感数据转换的方式分为两种:

  • 通用转换,可应用于任何数据类型,例如:用预定义的字符串或者hash替代敏感数据,或者完成删除敏感数据。
  • 特定转换,对常用的数据类型定义了专用的转换。

对应转换方式Satori的脱敏方法有通用脱敏、电子邮件脱敏、信用卡脱敏,出生日期脱敏,公用IP脱敏等数据细粒度脱敏方式,示例如下图:

通用脱敏

电子邮件脱敏

点评:Satori公司的产品提供了丰富的脱敏方法,并支持灵活的配置是其亮点之一。然而,Satori公司声称脱敏后的敏感数据可以合规使用和分析。例如,隐私数据经过脱敏后提供第三方,是否真的满足CCPA和GDPR合规,这值得进一步商榷。值得肯定的是,在大数据时代,随着数据在互联网的公开以及黑灰产的猖獗,脱敏数据在外部数据集的辅助下在数据流通与共享过程中的隐私泄露风险越来越高。针对该数据安全风险,国内外均有一些研究,例如美国创新公司PrivacyAnalytic提出一套风险评估与检测方案以控制和管理隐私风险,从而降低企业处理敏感数据的合规风险;绿盟科技也对该安全问题进行研究,提出数据脱敏-脱敏效果评估框架,并落地到数据脱敏产品的使用场景中(《十种前沿数据安全技术,聚焦企业合规痛点》,《大数据下的隐私攻防:数据脱敏后的隐私攻击与风险评估》),同时与清华大学、中国电子技术标准化研究院等机构持续推动该评估方法的标准化(《信息安全技术-个人信息去标识化效果分级评估规范》征求意见稿)。

3基于机器学习的自动数据分类

Satori内置数据分类,其数据分类是通过利用基于机器学习的方法对数据进行自动分类,并且通过同态方法创建数据列表和通用目录的映射。另外,Satori还根据分类后的数据访问统计结果向管理机构或组织提供敏感数据和访问模式的整体图示。

五、总结

纵观国际数据安全环境越来越多的法律法规对数据安全和隐私保护提出了具体的要求和规定,我国也对数据安全提出了要求和指导,2017年6月1日施行的《中华人民共和国网络安全法》,强调了对基础设施及个人信息的保护。2018年5月1日实施的《信息安全技术个人信息安全规范》,还有正在制定的《数据安全法》和《个人信息保护法》等安全法律法规,从国家标准层面明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。

Satori Cyber公司致力于通过数据分类、审计、访问控制使得数据隐私保护达到法律要求快速便捷地在企业数据部署。产品的特点是在云和用户之间建立了一个安全访问控制服务,实现细粒度的访问控制管理,并且通过可视化清晰的展示了数据的访问情况。另外,通过脱敏技术实现敏感数据和隐私数据的保护。产品在满足法规下能够快速进行部署,并且对系统效率的影响很小。同时,数据安全和隐私保护基于对Satori的管理的信任,Satori通过了ISO/IEC 27001:2013 Informationsecurity management systems的资质认证。在数据窃取日益严峻的情况下更需要通过利用同态加密等技术对数据进行加密,或者考虑利用访问控制实现某种密钥管理,利用密钥对数据进行加密,拥有访问控制权限的用户可以得到解密密钥并且解密数据等方式更安全的保护敏感数据和隐私数据。

在各种数据安全和隐私保护的法律陆续颁发的阶段Satori满足现有法律法规条件下可以实现快速部署并且不需要对企业数据进行大的基础设施调整,综合满足法规下的数据安全和快速部署并且不太影响系统效率的情况下Satori拥有很好的竞争力。祝愿Satori在2021年RSA创新沙盒十强赛中取得好成绩。

内容编辑:创新中心 吕亮 责任编辑:高深

· 参考链接 ·

[1]https://satoricyber.com/

[2]https://www.imperva.com/

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

0 人点赞