RSAConference2021將于舊金山時間5月17日召開，這將是RSA大會有史以來第一次采用網絡虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網絡安全行業技術創新和投資的風向標。

前不久，RSA官方宣布了最終入選創新沙盒的十強初創公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：Open Raven。

一、公司介紹

Open Raven成立于2019年，該公司致力于協助用戶輕松管理存儲于亞馬遜云上的電子數據，幫助用戶避免云上數據泄露事件發生，并協助用戶實現數據合規性。根據LinkedIn信息顯示，該公司位于洛杉磯。Dave Cole是該公司的聯合創始人兼CEO，他曾在CrowdStrike和Tenable工作過的；公司聯合創始人之一Mark Curphey擔任該公司首席產品官,他是軟件安全公司SourceClear的前CEO和微軟公司前高管。在Cole和Curphey帶領下，Open Raven已于2020年2月在由Upfront Ventures領投的種子輪融資中獲得410萬美元；并于同年在6月在由Kleiner Perkins領投的A輪融資中獲得1500萬美元。

[[402285]]

Open Raven公司產品主打目標：

• 協助用戶全面探查云上所擁有數據；

• 向用戶全面直觀展示每項數據存儲位置；

• 自動化掃描分類用戶數據，標識出敏感和高風險數據；

• 及時發現數據泄露事件，自動報警異常事件；

• 簡化及監督用戶數據流動合規性。

二、 背景介紹

數據通常被稱為“新石油”，因為它是當前推動全球經濟不斷增長的新型原材料。數據的流動與使用如何實現監管，本身就具有不小的挑戰性，而云計算的爆炸式發展給數據治理的挑戰增加了更多的復雜性。這使得各公司容易出現數據治理盲點，從而導致客戶詳細信息、敏感財務信息、健康醫療數據、選舉數據、甚至刑事調查信息的泄露。由于《加州消費者隱私法案》（CCPA）和歐洲《通用數據保護條例》（GDPR）等措施帶來的新規定，對數據的不當處理和數據泄露的處罰也在飆升。根據國際律師事務所DLA Piper的調查顯示，GDPR生效以來，在監管機構的實施下，全球各公司/組織因侵犯用戶數據隱私而被罰款的金額超過了3.301億美元。

從普通人的視角來看，數據泄露的最大風險來自于外部攻擊者。然而實際情況卻是：大部分數據泄露事件都是由于內部數據處理不當造成的，如錯誤配置的數據庫、備份、端點和服務。事實上，就暴露的數據數量而言，2019年因意外原因導致的數據泄露總量超過了60億條，超過了因黑客蓄意入侵導致的數據泄露總量。

當前防止數據防泄漏的手段分為兩種：一種是通過制定合理的管理措施進行數據安全防護，嚴格限制數據的存儲、訪問和使用方式，優點是技術門檻低，缺點是管理措施必須隨相關政策法規的變化及時調整，業務和數據龐雜時容易出現管理盲點；另一種是通過機密計算、安全多方計算、聯邦學習等技術手段實現數據的“可用不可見”，從源頭阻止數據泄露，優點是技術與政策法規無關，可一勞永逸解決數據泄露問題，缺點是技術門檻高、不易實現。

數據安全是近年RSA大會創新沙盒的熱點，如2018年冠軍BigID、2020年冠軍Securiti.ai以及今年的Open Raven，均是通過協助企業提升數據安全管理能力，進而來阻止數據泄露事件發生。所不同的是，BigID關注的是企業對個人隱私數據的管理和合規性檢查；Securiti.ai關注通過People Data Graph實現分散的個人數據與數據所有者的鏈接，并提供分別滿足CCPA、GDPR和LGPD（巴西隱私法規）的合規性方案。

Open Raven除了關注企業個人隱私數據安全，更關注企業云上數據安全。Open Raven認為，既然數據泄露背后的因素之一是企業對數據的不當保護措施，那么最直接有效的預防方法就是采取合適的措施來增強數據本身的安全性。要想實現上述目標，最首要的工作就是知道企業中有什么類型的數據、有多少數據、這些數據存儲在哪里、以及這些數據當前是怎么保護的？Open Raven通過技術手段回答了上述幾個問題，從源頭上阻止數據泄露。

三、 公司核心產品服務

Open Raven平臺使用從API到網絡掃描的各種技術，提供了云和本地數據存儲的自動映射。其中的核心服務是Open Raven的DMAP指紋識別服務，該服務旨在識別哪些資產作為數據存儲在運行使用。DMAP使用基于隨機森林決策樹的機器學習算法來精確識別常用的數據存儲服務，如ElasticSearch、Postgres、MongoDB等，以便更好地識別和管理這些存儲服務。

1 DMAP架構

參考Open Raven發布的白皮書《Building Open Raven’s Data Store Fingerprinting （DMAP）》，DMAP的體系架構如下圖所示。

DMAP是一個以云為中心的分布式體系結構。DMAP-ML運行在Open Raven管理集群(Asgard)中，而DMAP運行在客戶Open Raven 集群(Odin)中。對于希望映射其企業本地網絡(非云部署)的用戶，DMAP-Scanner在得到授權后，在本地運行并將處理結果反饋給DMAP。

2 模型建立

當建立決策樹模型時，指紋被轉換為機器學習特征，然后輸入到訓練模型中。每個指紋都會產生一個或多個機器學習特征，如下圖所示。

對每個被錄入指紋的應用程序，重復上述操作，并最終進行分割測試，以確保識別的準確性。

3 指紋錄入

指紋錄入是Open Raven監督訓練的主要方法。基于云的采集流程如下圖所示。該流程利用Amazon Web Service (AWS)的無服務計算引擎Fargate與容器運行時Docker，允許Open Raven快速啟動應用基礎設施進行指紋采集，并在指紋錄入完畢時縮小集群規模。

AWS Fargate使Open Raven能夠在不需要固定基礎設施的情況下動態啟動數千個服務。再加上絕大多數現有的數據存儲應用程序都可以Docker鏡像交付，因此很容易生成樣本數據。

4 用戶反饋改進

雖然Open Raven的初始數據集和模型基于指紋錄入，但Open Raven的工作流設計允許(并鼓勵)用戶反饋和細化預測結果，“反饋-改進”流程如下圖所示。當應用程序預測結果顯示給用戶時，若預測結果不準確，用戶可以根據自己的實際情況否定預測結果，并如實反饋給DMAP-ML。該反饋結果將實時集成到DMAP-ML中的Open Raven DMAP預測引擎中，從而使得DMAP利用新獲得的知識提高將來的預測準確率。

用戶“反饋-改進”流程既增強了Open Raven識別已知應用程序的能力，特別是識別已知應用程序的尚未發行版本。這使得Open Raven能夠在用戶收到識別結果并提供反饋時，可以實時了解最新的軟件和應用程序。

四、 產品功能

1 數據資產可視化

Open Raven通過全局3D視圖用戶顯示每個AWS賬戶和資產情況，不同資產類型有不同的地圖圖標表示；單擊單個資產的圖標以查看其屬性；Open Raven按其物理位置對資產進行分組。可視化窗口邊緣部分顯示連接到基礎設施的 IP 地址。

Open Raven允許通過以下幾種篩選方式篩選資產：

• 地理位置；

• 資產類型；

• 安全配置。

按安全配置進行篩選時，資產篩選結果可分類為：

• 對互聯網開放/對互聯網關閉；

• 加密/未加密；

• 備份/未備份。

可以可視化AWS Virtual Private Clouds（VPC）之間的網絡連接。單擊云圖標時，可以看到有關：

• 請求者；

• 接受者；

• 連接 ID。

2 自動化敏感數據掃描

數據掃描功能使用機器學習和模式匹配來識別和分類AWS S3存儲桶中的敏感數據。

使用數據掃描功能，可以發現如下敏感數據，例如：

• 敏感個人信息

• 開發人員機密和憑據

• 財務和健康數據。

Open Raven配置了一些默認數據類，用戶也可以自行創建數據類。數據掃描作業按照用戶指定的規則運行，按預定周期掃描目標資產組中的特定數據類別。

數據類是Open Raven在數據掃描期間著重尋找的內容，是敏感數據類型，例如：姓名、郵編地址、社會保險號碼、SSH密鑰、信用卡號。其中默認數據類型中的個人數據類，涵蓋了目前世界上主要歐美及發達國家對個人數據類的分類和識別方式，如下圖所示。 

3 依照安全策略監控資產安全

Open Raven允許用戶按照策略來執行數據安全標準，通過Open Raven進行審核和監控用戶的云數據資產。當發生策略違規時，將向相關用戶發出告警通知，并指導用戶采取行動阻止數據泄露事件。

Open Raven提供以下預構建的策略集，用戶可以通過快速勾選的方式構建自己的數據安全規則，保護用戶的云數據資產：

4 生成合規分析報告
用戶可以根據自己的需要，選擇感興趣的數據安全策略項，并導出該項策略的合規性報告。

五、 總結

當前全球各國及組織均在緊鑼密鼓地制定數據安全相關法案法規，違規懲罰力度也在不斷擴大。在此形勢下，大小互聯網公司均人人自危，爭相檢查各自數據安全保護現狀，以避免因數據泄露事件帶來自身形象損失及罰款資金損失。此時Open Raven公司及時發現并抓住用戶痛點，以自身優勢來協助用戶解決數據資產清查及合規性檢查等事宜，滿足用戶剛性需求，解決用戶痛點問題，使得公司快速發展應是大勢所趨。

可以看出，Open Raven的宗旨是讓用戶全面、透徹的了解自己存儲于云服務器中的數據資產存儲情況（如存儲于哪里？用的何種存儲服務？）和安全現狀（有多少敏感數據？是否密文存儲？是否有備份？何人、何設備可以訪問該數據？），給用戶一個直觀的掃描和呈現，目的是協助用戶從管理角度實現數據資產安全，并實施數據資產定期合規性檢查，但是并不向用戶直接輸出數據安全防御技術和數據安全共享技術（如數據脫敏、差分隱私、安全多方計算等）。

其最核心的技術創新點：1、利用隨機森林決策樹算法來識別用戶數據存儲所采用的應用和服務，即DMAP服務；2、實施監控用戶數據資產流動及訪問情況，及時告警威脅事件，協助用戶阻止數據泄露事件發生。

功能創新點在于：1、利用3D技術圖形化展示用戶云上所屬賬戶、數據資產類型、存儲位置，便于用戶管理；2、匯總當前基本以及常用的數據安全策略，并進行合理分類，供用戶直接調用、學習；3、協助用戶分析數據資產合規性，并給出分析報告和改進意見。

以上是Open Raven的優勢及亮點所在，但個人感覺，劣勢也很明顯：目前只能分析亞馬遜云上的用戶數據資產，無法覆蓋其他云系統。從Open Raven官網來看，已將其他云系統作為攻堅目標，希望其能早日實現多種云上數據資產發現及分析。另外，隱私保護法規越來越嚴的情況下，用戶也關心自己的數據安全保護策略是否可以滿足全部或某一個特定法規的數據安全要求。若不滿足，如何改進？希望Open Raven早日考慮該訴求，系統性地為用戶的數據安全建設提供檢查及建議，這樣或許能招攬來更多用戶及投資者。