RSAConference2021 將于舊金山時間 5 月 17 日召開，這將是 RSA 大會有史以來第一次 采用網絡虛擬會議的形式舉辦。大會的 Innovation Sandbox(沙盒)大賽作為“安全圈的 奧斯卡”，每年都備受矚目，成為全球網絡安全行業技術創新和投資的風向標。

前不久，RSA 官方宣布了最終入選創新沙盒的十強初創公司:WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、 WIZ。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們 要介紹的是廠商是:Satori 。

一、公司與初創團隊介紹
Satori Cyber 由創始人 Eldad Chai 和 Yoav Cohen 于 2019 年成立，同年獲得 525 萬美元 的種子輪融資。其中聯合創始人兼 CEO Eldad Chai 曾是 Imperva 的產品管理高級副總裁 和高級執行團隊成員;Yoav Cohen 是 Satori Cyber 的聯合創始人兼 CTO，曾是 Imperva 的產品開發高級副總裁。公司致力于通過數據分類、審計、策略等技術與手段滿足數據安全 與隱私合規需求。

Satori Cyber 公司產品的目標是:

• 顯示訪問數據的具體用戶;

• 允許用戶定義和實施數據的訪問策略;

• 對用戶的任何異常活動進行警告;

• 對數據安全威脅進行檢并響應。 

[[402293]]

二、 背景介紹
歐盟在 2018 年 5 月 25 日正式生效的 GDPR，被稱為歐盟“史上最嚴”條例，Google、 Facebook，在 GDPR 生效日分別收到了歐盟 39 億歐元、37 億歐元罰款的訴訟。隨后 2019 年生效的加州的 CCPA，對個人數據或者信息的保護提出了嚴格的界定和保護要求，這兩個 標準已經成為安全和隱私行業的既定標準。接著 2020 年 2 月華盛頓參議院批準了《華盛頓 隱私法》(WPA)，它遵循了 GDPR，CCPA 隱私法規的腳步，以推進該州的數據隱私規 定。

新的法規引發了業界對數據安全和隱私保護新的考慮，利用原有數據平臺自身的隱私安全設 置只能滿足數據安全和隱私保護法律規定的部分要求。企業不希望通過昂貴的重構數據基礎 設施來滿足數據安全和隱私保護的合規性，而是希望通過低成本的替換部分數據基礎設施 (如存儲和查詢的引擎)或者依賴端點代理部署的方式來解決數據安全和隱私保護問題。

Satori 提出了一種數據訪問控制平臺通過依靠完整數據流可視化，強制訪問控制和豐富的數 據訪問上下文的方法滿足 GDPR、CCPA、HIPAA 等法規的數據安全和隱私保護需求。

三、公司產品與方案
Satori 通過一種新的方法使得產品實現了對完整數據流的可視化，強制安全訪問控制，并遵 從數據安全和隱私策略，同時使合法訪問變得容易、快速和高效。Satori 是一個單一的平臺， 位于用戶或者應用層和數據存儲層之間，可以解決所有云遺留的數據訪問和數據使用問題， 完成數據的管理和保護。通過將用戶與實時數據挖掘、分類、行為分析相結合的方式對數據 存儲和數據使用時實現數據訪問安全性、隱私性和遵從政策。

Satori 是一個數據代理服務，數據使用者或者應用不直接連接到實際存儲的數據，而是連接 到 Satori 代理服務。Satori 是部署在用戶或者應用層和數據層之間的安全層，提供了一個 數據訪問控制平臺，對敏感數據進行監控，分類和控制訪問的訪問控制服務。企業可以借助 Satori 具體實現:

• 用戶或者應用對任何數據的訪問并且確保隱私數據的安全;

• 部署訪問控制并且可以查看誰在訪問哪些數據;

• 將應用和數據本身解耦，應用數據的改變不影響存儲數據; 

• 容易操作，不需要配置、代理和安裝等。

Satori 可以實時查看使用數據的用戶，正在訪問哪些數據，以及如何使用數據。Satori 通 過對用戶和群組監控并且對數據進行標簽標記分卷，然后通過分析數據統計那些用戶在使用 那些數據，通過表格和圖標進行可視化展示出來。 

Satori 的訪問控制通過 DAC(Data Access Controller)來實現靈活的，細粒度的訪問控 制管理。DAC 由客戶管理設置其數據的訪問、使用、管理。DAC 支持基于角色訪問控制 (RBAC)，基于屬性訪問控制(ABAC)以及表、列、行和對象的訪問。并且根據數據存 儲自動化的選擇細粒度訪問控制。客戶通過 DAC 可以實現如下功能:

• 阻止未經授權的用戶訪問，對敏感數據進行脫敏;
• 監控用戶或者應用對個人可識別信息(PII)或者敏感數據的使用;
• 通過基于用戶、群組、數據類型等的配置實現細粒度的訪問控制策略;

Satori 能夠自動識別敏感數據(例如:PII，個人醫療信息(PHI)，支付卡行業信息(PCI))， 并通過脫敏技術對敏感數據進行脫敏。使得敏感數據可以進行安全合規的數據分析。滿足 GDPR、CCPA、HIPAA 等法規，并提供所需的細粒度數據訪問統計圖和訪問審計報告。

四、 產品特點
1. 自動選擇多樣化細粒度的訪問控制策略
Stori 通過在云服務和用戶或應用之間建立了一個訪問控制管理，通過 DAC 自動化選擇支 持多樣化細粒度的訪問策略。在不影響原有的云中數據的結構和部署情況下，可實現數據訪 問的監控，并按照法律要求生成所有數據存儲和訪問審查統計結果的報告。

2. 通用數據脫敏引擎

針對隱私數據的保護，Satori 采用了通用數據脫敏(Universal Masking Engine)引擎實 現合規的管理，機構或者組織可以安全的對脫敏后的敏感數據進行分析和使用。

Satori 設計了脫敏配置文件(Masking Profiles)定義了每一種數據類型的脫敏轉換，并且 對于半結構數據，Satori 利用專用的字段設置實現數據脫敏。
• 通過脫敏配置文件實現敏感數據屏蔽，如(PII、PHI 等)。
• 通過脫敏文件配置，不同的數據類型選擇不同的的脫敏方式。

例:- name: Mask Customer PII for Analysts action:

type: mask

profile: 7d1c1d8f-2fed-4897-8163-ef174d885192 identity_tags:

- identity.datastore.role::analyst data_tags:

- customer_data priority: 2

Satori 的敏感數據轉換的方式分為兩種:
1) 通用轉換，可應用于任何數據類型，例如:用預定義的字符串或者 hash 替代敏感數據， 或者完成刪除敏感數據。

2) 特定轉換，對常用的數據類型定義了專用的轉換。

對應轉換方式 Satori 的脫敏方法有通用脫敏、電子郵件脫敏、信用卡脫敏，出生日期脫敏， 公用 IP 脫敏等數據細粒度脫敏方式，示例如下圖:

通用脫敏

電子郵件脫敏

點評:Satori 公司的產品提供了豐富的脫敏方法，并支持靈活的配置是其亮點之一。然而， Satori 公司聲稱脫敏后的敏感數據可以合規使用和分析。例如，隱私數據經過脫敏后提供第 三方，是否真的滿足 CCPA 和 GDPR 合規，這值得進一步商榷。值得肯定的是，在大數據 時代，隨著數據在互聯網的公開以及黑灰產的猖獗，脫敏數據在外部數據集的輔助下在數據 流通與共享過程中的隱私泄露風險越來越高。針對該數據安全風險，國內外均有一些研究，

例如美國創新公司 Privacy Analytic 提出一套風險評估與檢測方案以控制和管理隱私風險， 從而降低企業處理敏感數據的合規風險;綠盟科技也對該安全問題進行研究，提出數據脫敏 -脫敏效果評估框架，并落地到數據脫敏產品的使用場景中(《十種前沿數據安全技術，聚 焦企業合規痛點》，《大數據下的隱私攻防:數據脫敏后的隱私攻擊與風險評估》)，同時 與清華大學、中國電子技術標準化研究院等機構持續推動該評估方法的標準化(《信息安全 技術-個人信息去標識化效果分級評估規范》征求意見稿)。

3.基于機器學習的自動數據分類

Satori 內置數據分類，其數據分類是通過利用基于機器學習的方法對數據進行自動分類，并 且通過同態方法創建數據列表和通用目錄的映射。另外，Satori 還根據分類后的數據訪問統 計結果向管理機構或組織提供敏感數據和訪問模式的整體圖示。

五、 總結 縱觀國際數據安全環境越來越多的法律法規對數據安全和隱私保護提出了具體的要求和規 定，我國也對數據安全提出了要求和指導，2017 年 6 月 1 日施行的《中華人民共和國網絡 安全法》，強調了對基礎設施及個人信息的保護。2018 年 5 月 1 日實施的《信息安全技術 個人信息安全規范》，還有正在制定的《數據安全法》和《個人信息保護法》等安全法律法 規，從國家標準層面明確了企業收集、使用、分享個人信息的合規要求，為企業制定隱私政 策及個人信息管理規范指明了方向。

Satori Cyber 公司致力于通過數據分類、審計、訪問控制使得數據隱私保護達到法律要求 快速便捷地在企業數據部署。產品的特點是在云和用戶之間建立了一個安全訪問控制服務，

實現細粒度的訪問控制管理，并且通過可視化清晰的展示了數據的訪問情況。另外，通過脫 敏技術實現敏感數據和隱私數據的保護。產品在滿足法規下能夠快速進行部署，并且對系統 效率的影響很小。同時，數據安全和隱私保護基于對 Satori 的管理的信任，Satori 通過了 ISO/IEC 27001:2013 Information security management systems 的資質認證。在數據 竊取日益嚴峻的情況下更需要通過利用同態加密等技術對數據進行加密，或者考慮利用訪問 控制實現某種密鑰管理，利用密鑰對數據進行加密，擁有訪問控制權限的用戶可以得到解密 密鑰并且解密數據等方式更安全的保護敏感數據和隱私數據。

在各種數據安全和隱私保護的法律陸續頒發的階段 Satori 滿足現有法律法規條件下可以實 現快速部署并且不需要對企業數據進行大的基礎設施調整，綜合滿足法規下的數據安全和快 速部署并且不太影響系統效率的情況下 Satori 擁有很好的競爭力。祝愿 Satori 在 2021 年 RSA 創新沙盒十強賽中取得好成績。