RSA创新沙盒盘点|Dasera——全生命周期保护云上数据安全
日期:2022年05月27日 阅:120
RSAConference2022将于旧金山时间6月6日召开。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。
绿盟君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的厂商是:Dasera。
Dasera公司于2019年在加利福尼亚州成立,该公司通过紧密联动企业的安全团队、数据团队和合规团队,并持续自动监控上下文和执行数据治理策略,帮助企业实施数据治理方案,从而为企业存储于云上的数据提供全生命周期的防护,实现敏感数据的安全使用。该公司成立当年即获得300万美元融资,并于2021年再次获得600万美金种子轮融资。公司成立以来共获得包括CRN的“十大最热门云安全初创公司”、2022年网络安全卓越奖云上数据安全金奖等在内的15个奖项[1]。
图1[2]中的3人为Dasera创始成员。左一为Ani Chaudhuri,担任公司CEO,拥有丰富的创业经验,创立的科技初创公司eCircle被Reliance收购,Opelin则先后被惠普和Whodini收购。中间的是Noah Johnson,担任公司CTO,是加州大学伯克利分校的博士生,在程序分析、安全策略执行和隐私保护技术方面拥有专业知识[3]。Dasera的技术来自Noah在攻读博士学位期间的研究工作,当时他正与一家财富500强科技企业合作,对方需要一套能够全生命周期内跟踪和监控云上数据使用情况的平台,于是便有了Dasera[4]。
大数据时代,数据是重要的生产要素,各国相继出台数据安全相关法规,如欧盟的GDPR、美国的CCPA、我国的《数据安全法》等。但是数据泄漏事件非但没有减少,泄漏的数据规模还在逐年扩大,如2021年爆出的2.35亿TikTok等社交媒体用户数据泄漏事件、今年爆出的Facebook 5.33亿用户信息泄露事件[5],层出不穷的数据泄漏事件使得企业陷入数据保护合规与社会舆情压力的双重危机,不但企业形象受损,而且遭受经济损失(法律法规罚款、勒索软件赎金、股价下跌等)。
Gartner发布的《2021数据安全技术成熟度曲线》[6]显示,企业正在加速跨多云架构部署敏感数据,这不但将数据暴露在传统网络边界之外,还加大了数据和隐私泄漏风险,引起了勒索软件事件和数据泄露事件的增长。IBM发布《2021年数据泄露成本报告》[7]也显示(考察对象为全球500多个数据泄露规模在2000到10.1万条记录泄露之间的企业),通过云服务进行远程办公是数据泄漏事件的一个重要因素,此类数据泄露给被考察企业造成了平均496万美元的损失,比非远程办公造成的数据泄漏事件增加了107万美元。
云计算不仅彻底改变了数据的存储量,还带来了一系列新的安全和合规性挑战[8],传统的安全解决方案如访问控制和数据防泄露(Data Leakage Prevention,DLP)已不再能很好地对云上数据进行防护,因为企业往往很难回答关于数据的以下几个问题:
1、我们云数据存储在哪里?
2、每个数据仓库存储的配置都安全吗?
3、敏感数据存储在哪里?
4、访问控制策略是否一致并遵循最小权限原则?
5、敏感数据实际上是如何被使用的?
6、每个数据的副本在哪里?
如果这些问题都搞不清楚,又何谈数据防护呢?
Dasera宣称是第一个也是唯一一个将团队协作和自动化相结合的数据安全平台,以确保客户的云上数据在其整个生命周期内得到有效防护。Dasera认为,在当今以云为中心的环境中,企业的数据团队(Data Team)、安全团队(Security Team)和合规团队(Compliance Team)中,任何一个单一团队都没有足够的上下文来保护云上数据。云上数据保护需要三个团队之间的紧密协作,如图2(图2到图6均引用自[8])所示。
Dasera改善了数据团队、安全团队和合规团队三者之间的协作方式,客户使用Dasera平台前与使用后效果如表1[8]所示。
Dasera平台从客户的基础设施、数据和访问用户获取上下文,并持续监控客户的数据和数据管理策略,帮助客户的安全、合规和数据团队更好地协作。Dasera平台核心功能包括如下方面:
01敏感数据自动发现与分类
Dasera持续扫描客户云上数据,识别出存储的结构化和半结构化数据,以及对这些数据的移动、复制、删除等操作。Dasera还可以对所有数据字段进行采样和分类,以识别出包含敏感数据的字段和数据块。
Dasera内置了许多敏感数据分类器,如快递地址、社会安全号码等。此外,用户还可以自定义正则表达式,以便Dasera能够检测用户特定环境下的敏感数据。Dasera还可以按照法律法规进行敏感数据识别和标记,如按照GDPR的规定对敏感数据进行识别和分类分级,然后通知数据所有者对分类和标记结果进行审查,如图3所示。
02权限监控
Dasera在客户云上数据仓库中抓取权限,跟踪并记录数据访问者对客户云上数据仓库中的敏感数据拥有哪些权限。
结合敏感数据发现和分类,可以通过设置,使得Dasera能够自动发现数据访问者的权限配置错误。例如,云上数据设置为公开可访问;或者一个客户无意中访问了另一个客户的数据仓库。Dasera还可以用来监控云上数据仓库的特权蔓延。
03通过SQL查询分析监控数据使用
数据访问者对云上数据库中存储的数据的所有交互大多都是通过一个SQL查询进行的。Dasera利用这一事实,通过被动地分析每个查询来了解数据的实际使用情况,具有极高的保真度和精度,并且不会干扰正常用户对云上数据仓库的访问。
如图4所示,Dasera的查询分析引擎可以自动化地发现哪些数据交互是有风险的、哪些员工执行Dasera的交互,以及有多少数据受到影响,可以帮助企业员工更加安全地查询和使用敏感数据。
当数据使用监控与权限监控结合使用时,Dasera就能被用来自动检测过度授权。如当某位员工拥有访问敏感数据集的权限,但在较长时间内没有访问敏感数据集时,通过设置,Dasera可以自动撤销该员工对敏感数据集的访问权限。
04数据血缘追踪
在所有的云上数据存储中,数据都在不断地移动、复制、转换。有鉴于此,若仅通过对数据清单进行定期快照来决定数据的使用策略,具有一定的安全风险。
因此Dasera开发了数据血缘追踪功能。对于Dasera前期标记的敏感数据,复制、移动等操作后的数据字段的敏感数据分类和标记不变,并拥有相同的数据使用策略。另外,客户还可以指定字段,跟踪与该字段拥有数据血缘关系的所有数据字段,然后分析这些字段的访问权限是否有不合理的地方。Dasera还支持编写以数据血缘为中心的数据访问策略。
05无代码数据访问策略编辑
客户的合规团队成员拥有对敏感数据使用策略的制订和编辑权,但并不是每一位成员都知道如何正确编写代码,因此Dasera平台内置了一个无代码策略编辑器,如图5所示。客户的合规团队成员可以使用Dasera平台的无代码策略编辑器编辑敏感数据使用策略,为安全运维团队节省宝贵的时间和精力。
无代码策略编辑器同时考虑了敏感数据使用的整个上下文。例如,查询条件本身是否包含敏感数据?查询结果是否产生敏感数据?以及数据使用者的部门、团队等因素。此外,Dasera可以与客户的员工组织架构目录集成,数据访问策略可以编辑为针对特定的员工、团队或部门。
06自定义告警处理工作流程和补救措施
客户的安全和合规团队希望在实时或最短时间内知道何时发生了数据安全事件,Dasera平台通过配置策略,可以及时对检测到的数据安全事件进行告警。客户可以在Dasera平台创建自定义数据安全事件处理工作流程,以将安全警报、潜在的隐私泄漏和合规问题通过电子邮件、Slack、PagerDuty、SNS等通知相应的团队成员。
对于一些违规行为,客户希望立即采取一些处理措施进行补救。通过Dasera,客户可以在自定义的处理工作流程中指定自动补救,比如暂停员工的数据库访问权限、隔离高度敏感的数据集等。
07广泛的兼容性
如图6所示,Dasera平台拥有广泛的兼容性,包括:
1、适用于主要公有云:包括AWS、谷歌云和Azure
2、多种部署模型:可以部署为SaaS或VPC中的虚拟机
3、支持多种数据存储:包括Redshift、Snowflake、BigQuery、Postgres、MySQL、Athena等
4、与数据使用接口无关:适用于所有BI工具、SQL命令行和SQL编辑
5、与应用程序日志兼容:如果数据库查询日志不可用,Dasera平台可以通过解析访问了数据库的应用程序日志来审查数据库的访问记录
6、与SSO集成:包括 Google Workspace 和任何SAML IdP
7、自动通知:包括Slack、Pager Duty、SNS、Google Pub/Sub和电子邮件
8、SIEM/SOAR集成:所有Dasera警告都可以发送到SIEM/SOAR进行分析并采取进一步措施
数据安全是近年RSA大会创新沙盒的热点, BigID和Securiti.ai分别拿到了2018年和2020年的冠军,说明数据安全市场确实吸引投资者。Allied Market Research估计,2021年全球数据安全市场价值约为190亿美元,预计到2027年将达到542.3亿美元[9],而云上数据安全则是数据安全市场一个新的热门方向。
如图7[10]所示,根据Gartner的技术曲线,数据安全的许多新兴技术都与云相关,如数据安全即服务(DSaaS)、多云 KMaaS(密钥管理)、云本地 DLP(数据防泄漏)、多云 DAM(数据库审计)等。Dasera的核心功能可以看到不少这些技术的影子。
2021年的RSAC创新沙盒大赛中,Open Raven也是以解决客户云上数据安全问题而闯入了决赛[11]。但是Dasera与Open Raven相比,可以支持更多的云环境,增加了权限监控、数据血缘追踪、通过SQL查询分析监控数据使用等功能。另外,Dasera对云上数据安全治理的观点与新兴技术数据安全平台(DSP)的理念不谋而合,即数据安全的实施需要跨数据安全团队、合规人员和安全专家采用协调一致的方法[12]。可以认为,Dasera集多种新兴技术于一身,并且拥有先进的数据安全治理理念。
参考文献
[1]https://www.dasera.com/blog/cloud-data-security-2022-cybersecurity-excellence-awards
[2]https://www.dasera.com/about-us
[3]https://www.crunchbase.com/organization/dasera
[4]https://siliconangle.com/2021/08/16/dasera-gains-awards-and-funding-as-it-offers-a-cloud-focused-end-to-end-approach-for-data-security-cubeconversations/
[5]http://news.sohu.com/a/537792640_121351677
[6]《Cost of a Data Breach Report 2021》:https://www.ibm.com/security/data-breach
[7]https://www.gartner.com/en/documents/4006178
[8]https://www.dasera.com/resource-library?topic=whitepapers
[9]https://netsecurity.51cto.com/article/684980.html
[10]https://baijiahao.baidu.com/s?id=1726062168401432788&wfr=spider&for=pc
[11]https://www.openraven.com
[12]https://www.csdn.net/tags/MtTaEg4sNzg3MzQ1LWJsb2cO0O0O.html