RSA2018

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

4月17号早上,宅宅起床后的第一件事,就是赶紧拿出手机看今年RSA的重头戏---创新沙盒大赛的冠军到底花落谁家,这个比赛到底有牛气,可以先看看雷锋网 (公众号:雷锋网) 此前的报道( 点这里 )。

RSA2018

没错,就是这家你完全没有听过的公司---BIGID,结果确实有点出乎意料,冠军并不是很多人都看好的“Awake Security”,而是一家来自以色列特拉维夫的隐私数据保护公司 BigID,妥妥的“黑马夺冠”。

这家成立于2016年的小公司,在成立当年曾获得 1610 万美元的融资,目前只有 16 名员工,在安全圈实属默默无闻,而且,它所做的数据隐私保护,其实并不算传统的安全领域,更像一家数据分析公司。

作为从1991年就开始举办的老牌信息安全大会 RSA,为啥会在关注度最高的“创新沙盒大赛”中,把冠军颁给没有名气,而且跟传统安全还没啥关系的新人“BIGID”?

要找出背后的原因,不如我们先从这两天正经历人生低谷的扎克伯克说起。

站在风口的 BigID

虽然大家对主打隐私数据保护的 BigID 夺冠有点意外,但仔细一想,其实也在情理之中。

先来看看 Facebook 因为数据泄露丑闻影响,应声下跌的股价。

RSA2018

3月17日,由于“数据门”消息曝光,Facebook股价在随后10天里下跌了18%,小扎不得不眼睁睁地看着500亿美元在股市蒸发。

不仅如此,Facebook 很有可能还要面临巨额罚款。

再往前推,雅虎、Equifax、uber……这些在数据泄露上栽过跟头的巨头真是一抓一大把。

这意味着,未来如果有隐私泄露的事件发生,企业是要损失很多真金白银的。说到这里,你也许就能明白为啥 BIGID 这样的公司会得到关注了,这匹黑马是站到了风口!

不过,与各大公司的数据泄露事件比起来,马上就要颁布的“GDPR ”(通用数据保护条例)可能才是 BIGID 夺冠的最大推手。

作为欧盟推出的旨在保护公民个人信息的法规,“GDPR ”即将在2018年5月25日生效,它对个人数据的收集和之后的存储使用,提出了更高的透明度与管控要求。

RSA2018

比如,用户将能够访问被公司存储的个人数据,并弄清它们被用于什么地方和什么目的;用户对数据有遗忘的权利,可以要求任何控制自己数据的人删除数据,并且可以阻止第三方去处理数据;允许用户获取他们自己的数据并将数据转移给另一家不同的服务供应商;应用关键安全控制来恰当地检测、管理和缓解数据处理环境中的任何漏洞……

简单来说,就是让用户更加明白自己的数据被用来干嘛了,而且一定要实现“我的数据我做主”,最重要的是一定要有对数据的安全管理措施!

这项法规落地后,将对包括Facebook和谷歌在内的全球最大的科技公司产生深远的影响。对于违反GDPR法规的组织, 将被处以最高年度全球营业额4%或2000万欧元(约合246万美元)的罚款,并且会在两者中取较大的金额进行处罚, 可以说是非常狠了。

那 BigID 可以干嘛呢?在其官网中,雷锋网看到产品介绍的第一项就是,可以更好的应对GDPR法规,满足PI,PII(个人识别信息)等欧美合规要求,帮助企业更好的确保他们所拥有敏感数据的私密性,减少数据泄露,强化数据的合规保护。

大意就是说,你们这些学生(facebook等)在下月就要给老师交作业了(GDPR下月生效),我可以协助你及格、打高分(对你所拥有的数据进行分析整理和保护)。

“我们是数据的谷歌”

在 BigID 的 官网上,CEO Dimitri Sirota这样介绍自己的公司:

想象我们是数据的谷歌,对数据进行检索归类。

那究竟是如何进行检索归类的?雷锋网发现其官网有如下的介绍,观数科技CEO李科对其具体业务进行了阐释。

1.数据最小化:通过重复发现和相关性确保数据最小化。

RSA2018

解读:在庞杂的数据库中,有很多数据是重复而杂乱的,它可以帮你找到需要保护的东西是什么,到底是一堆食物,还是一堆食物里面的水果,或者一堆水果里面的西瓜,最小化可以明确保护对象。

2.许可管理:证明个人数据收集得到了用户的许可。 

解读:GDPR 对于个人隐私数据的收集和使用过程的标准是非常严格的,许可管理其实就是一种对于数据的标签,哪些数据被收集和使用了,用户是否授权,如何传递和保存这种授权,BigID 会让这个过程符合GDPR 的要求,这也是整个法规的核心。

3.泄露提醒:遵守违反通告窗口 。

解读:这个是在前两项的基础上操作的,如果没被授权,而数据被访问或使用了,就会产生泄漏提醒。

4.数据主体权利:满足客户数据可携性支持以及支持遗忘数据的权利 。

解读:确保用户对其数据销毁的权利,即我如果不想被你搜集数据,要有合适的渠道让我取消授权。

5.数据驻留:提供数据驻留风险的分析。

解读:评估跨部门调用以后,这些数据在其他系统中被泄漏的风险。

简言之,BigID 主要是应对GDPR、PI、PII等欧美合规要求,它通过使用数据沙盒技术,根据业务需求提取敏感数据进行脱敏,形成敏数据脱敏库。然后根据事先定义的需求结合原始数据进行关联分析,在数据不离开原始环境的前提下形成一个闭环数据分析沙箱,由此来给出客户建议。

这些数据分析的工作,难道其他的数据分析公司做不了么?

李科认为,也可以做,但是这需要对 GDPR 法规有比较全面的了解,知道法规有什么要求,然后才可以帮助用户落地这个要求。但是目前的情况是,针对法规的各项要求,你是如何帮助受监管的机构有效地管控和保护隐私需求的,落地很难。

换言之,既熟悉法律法规,还对大数据熟悉,最后能够形成一套可落地的技术方案的公司,能走到最后的很少,所以它获得了评委的青睐。

它的夺冠其实也在情理之中

Gartner预测,在欧盟《一般数据保护条例》(以下简称GDPR)实施之日,半数以上受GDPR影响的企业将不能完全满足其法规条例要求。这意味着,BigID 所提供的服务将会是市场非常需要的。

如果放在整个大安全的生态中看, BigID确实在某种程度上弥补了市场的空白。

安华金和的市场部经理闻璐认为, BigID与传统的安全公司不同,长处不在于如何应对攻击,它更多的是在对数据进行整理和分析,重点在于发现各种类别的敏感数据,只有先发现,才能谈保护。

你首先得知道哪些是法规所规定的敏感数据,这些敏感数据又会分级别,哪些是一级敏感数据,哪些是二级敏感数据,你目前可调用的级别是一级还是二级,这是 BigID 要解决的问题。

闻璐举例,在银行的各类数据中, 姓名、电话、地址、身份证号、银行卡号这几个就是敏感度最高的数据,而交易流水等数据,就没那么敏感。

闻璐推测未来这家公司的客户不仅仅是Facebook 等这样拥有数据的公司,未来也有可能服务于监管机构,后者也可能用它们的产品来判定这些公司是不是违规使用数据。

RSA2018

就如同要做一台手术, BigID 所做的工作更多的是手术前给病人拍片子确认问题在哪里,应该制定怎样的手术方案才能解决这个问题,这些方案在最后的手术中,将起到重要的作用。

虽然不是传统的安全公司,但是它提供的服务确实是客户所需要的,放在整个安全生态中来看,它解决的是第一步的问题。相当于打基础, BigID 的夺冠确实也在情理之中。

未来,随着GDPR的出台,将会促使整个安全生态提供更加多样化的服务,有些可能更擅长于发现和整理,有些更擅长于处于攻防对抗,即碰到黑客窃取数据如何应对等,这样才会让整个生态更健康。

其实,纵观近几年的RSA创新沙盒大赛,提供更加多样化安全服务的公司正在越来越受到青睐,它们不再局限于安全攻防本身,而向着更广阔的方向发展。比如2016年的冠军Phantom是自动编排服务的供应商,可以将企业现有的各种截然不同的安全产品整合为一个统一的可扩展平台;2017年夺魁的UnifyID则是一家提供身份认证服务的供应商,利用用户行为识别技术去弥补传统的登陆口令的不足。

安全的边界在不断拓展,而且门类也越来越细致,说不定明年,RSA的创新沙盒又会诞生一匹“黑马冠军”。

RSA2018

随意打赏

2018年春节歌手2018rsa加密rsac
提交建议
微信扫一扫,分享给好友吧。