Dasera：全生命周期保護云上數據安全

RSAConference2022將于舊金山時間6月6日召開。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網絡安全行業技術創新和投資的風向標。

前不久，RSA官方宣布了最終入選創新沙盒的十強初創公司：Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：Dasera。

一、公司介紹

Dasera公司于2019年在加利福尼亞州成立，該公司通過緊密聯動企業的安全團隊、數據團隊和合規團隊，并持續自動監控上下文和執行數據治理策略，幫助企業實施數據治理方案，從而為企業存儲于云上的數據提供全生命周期的防護，實現敏感數據的安全使用。該公司成立當年即獲得300萬美元融資，并于2021年再次獲得600萬美金種子輪融資。公司成立以來共獲得包括CRN的“十大最熱門云安全初創公司”、2022年網絡安全卓越獎云上數據安全金獎等在內的15個獎項^[1]。

圖1 Dasera創始人團隊

圖1^[2]中的3人為Dasera創始成員。左一為Ani Chaudhuri，擔任公司CEO，擁有豐富的創業經驗，創立的科技初創公司eCircle被Reliance收購，Opelin則先后被惠普和Whodini收購。中間的是Noah Johnson，擔任公司CTO，是加州大學伯克利分校的博士生，在程序分析、安全策略執行和隱私保護技術方面擁有專業知識^[3]。Dasera的技術來自Noah在攻讀博士學位期間的研究工作，當時他正與一家財富500強科技企業合作，對方需要一套能夠全生命周期內跟蹤和監控云上數據使用情況的平臺，于是便有了Dasera^[4]。

二、背景介紹

大數據時代，數據是重要的生產要素，各國相繼出臺數據安全相關法規，如歐盟的GDPR、美國的CCPA、我國的《數據安全法》等。但是數據泄漏事件非但沒有減少，泄漏的數據規模還在逐年擴大，如2021年爆出的2.35億TikTok等社交媒體用戶數據泄漏事件、今年爆出的Facebook 5.33億用戶信息泄露事件^[5]，層出不窮的數據泄漏事件使得企業陷入數據保護合規與社會輿情壓力的雙重危機，不但企業形象受損，而且遭受經濟損失（法律法規罰款、勒索軟件贖金、股價下跌等）。

Gartner發布的《2021數據安全技術成熟度曲線》^[6]顯示，企業正在加速跨多云架構部署敏感數據，這不但將數據暴露在傳統網絡邊界之外，還加大了數據和隱私泄漏風險，引起了勒索軟件事件和數據泄露事件的增長。IBM發布《2021年數據泄露成本報告》^[7]也顯示（考察對象為全球500多個數據泄露規模在2000到10.1萬條記錄泄露之間的企業），通過云服務進行遠程辦公是數據泄漏事件的一個重要因素，此類數據泄露給被考察企業造成了平均496萬美元的損失，比非遠程辦公造成的數據泄漏事件增加了107萬美元。

云計算不僅徹底改變了數據的存儲量，還帶來了一系列新的安全和合規性挑戰^[8]，傳統的安全解決方案如訪問控制和數據防泄露（Data Leakage Prevention，DLP）已不再能很好地對云上數據進行防護，因為企業往往很難回答關于數據的以下幾個問題:

1、我們云數據存儲在哪里?

2、每個數據倉庫存儲的配置都安全嗎?

3、敏感數據存儲在哪里?

4、訪問控制策略是否一致并遵循最小權限原則?

5、敏感數據實際上是如何被使用的?

6、每個數據的副本在哪里?

如果這些問題都搞不清楚，又何談數據防護呢？

三、產品核心功能

Dasera宣稱是第一個也是唯一一個將團隊協作和自動化相結合的數據安全平臺，以確保客戶的云上數據在其整個生命周期內得到有效防護。Dasera認為，在當今以云為中心的環境中，企業的數據團隊（Data Team）、安全團隊（Security Team）和合規團隊（Compliance Team）中，任何一個單一團隊都沒有足夠的上下文來保護云上數據。云上數據保護需要三個團隊之間的緊密協作，如圖2（圖2到圖6均引用自^[8]）所示。

圖2多團隊在Dasera平臺保護云上數據

Dasera改善了數據團隊、安全團隊和合規團隊三者之間的協作方式，客戶使用Dasera平臺前與使用后效果如表1^[8]所示。

表1 客戶使用Dasera平臺前后效果對比

Dasera平臺從客戶的基礎設施、數據和訪問用戶獲取上下文，并持續監控客戶的數據和數據管理策略，幫助客戶的安全、合規和數據團隊更好地協作。Dasera平臺核心功能包括如下方面：

01敏感數據自動發現與分類

Dasera持續掃描客戶云上數據，識別出存儲的結構化和半結構化數據，以及對這些數據的移動、復制、刪除等操作。Dasera還可以對所有數據字段進行采樣和分類，以識別出包含敏感數據的字段和數據塊。

Dasera內置了許多敏感數據分類器，如快遞地址、社會安全號碼等。此外，用戶還可以自定義正則表達式，以便Dasera能夠檢測用戶特定環境下的敏感數據。Dasera還可以按照法律法規進行敏感數據識別和標記，如按照GDPR的規定對敏感數據進行識別和分類分級，然后通知數據所有者對分類和標記結果進行審查，如圖3所示。

圖3 Dasera敏感數據自動發現與分類管理

02權限監控

Dasera在客戶云上數據倉庫中抓取權限，跟蹤并記錄數據訪問者對客戶云上數據倉庫中的敏感數據擁有哪些權限。

結合敏感數據發現和分類，可以通過設置，使得Dasera能夠自動發現數據訪問者的權限配置錯誤。例如，云上數據設置為公開可訪問；或者一個客戶無意中訪問了另一個客戶的數據倉庫。Dasera還可以用來監控云上數據倉庫的特權蔓延。

03通過SQL查詢分析監控數據使用

數據訪問者對云上數據庫中存儲的數據的所有交互大多都是通過一個SQL查詢進行的。Dasera利用這一事實，通過被動地分析每個查詢來了解數據的實際使用情況，具有極高的保真度和精度，并且不會干擾正常用戶對云上數據倉庫的訪問。

如圖4所示，Dasera的查詢分析引擎可以自動化地發現哪些數據交互是有風險的、哪些員工執行Dasera的交互，以及有多少數據受到影響，可以幫助企業員工更加安全地查詢和使用敏感數據。

圖4 Dasera數據查詢分析引擎

當數據使用監控與權限監控結合使用時，Dasera就能被用來自動檢測過度授權。如當某位員工擁有訪問敏感數據集的權限，但在較長時間內沒有訪問敏感數據集時，通過設置，Dasera可以自動撤銷該員工對敏感數據集的訪問權限。

04數據血緣追蹤

在所有的云上數據存儲中，數據都在不斷地移動、復制、轉換。有鑒于此，若僅通過對數據清單進行定期快照來決定數據的使用策略，具有一定的安全風險。

因此Dasera開發了數據血緣追蹤功能。對于Dasera前期標記的敏感數據，復制、移動等操作后的數據字段的敏感數據分類和標記不變，并擁有相同的數據使用策略。另外，客戶還可以指定字段，跟蹤與該字段擁有數據血緣關系的所有數據字段，然后分析這些字段的訪問權限是否有不合理的地方。Dasera還支持編寫以數據血緣為中心的數據訪問策略。

051.2 無代碼數據訪問策略編輯

客戶的合規團隊成員擁有對敏感數據使用策略的制訂和編輯權，但并不是每一位成員都知道如何正確編寫代碼，因此Dasera平臺內置了一個無代碼策略編輯器，如圖5所示。客戶的合規團隊成員可以使用Dasera平臺的無代碼策略編輯器編輯敏感數據使用策略，為安全運維團隊節省寶貴的時間和精力。

圖5 Dasera無代碼策略編輯器

無代碼策略編輯器同時考慮了敏感數據使用的整個上下文。例如，查詢條件本身是否包含敏感數據?查詢結果是否產生敏感數據?以及數據使用者的部門、團隊等因素。此外，Dasera可以與客戶的員工組織架構目錄集成，數據訪問策略可以編輯為針對特定的員工、團隊或部門。

06自定義告警處理工作流程和補救措施

客戶的安全和合規團隊希望在實時或最短時間內知道何時發生了數據安全事件，Dasera平臺通過配置策略，可以及時對檢測到的數據安全事件進行告警。客戶可以在Dasera平臺創建自定義數據安全事件處理工作流程，以將安全警報、潛在的隱私泄漏和合規問題通過電子郵件、Slack、PagerDuty、SNS等通知相應的團隊成員。

對于一些違規行為，客戶希望立即采取一些處理措施進行補救。通過Dasera，客戶可以在自定義的處理工作流程中指定自動補救，比如暫停員工的數據庫訪問權限、隔離高度敏感的數據集等。

07廣泛的兼容性

如圖6所示，Dasera平臺擁有廣泛的兼容性，包括：

圖6 Dasera平臺兼容性

1、適用于主要公有云：包括AWS、谷歌云和Azure

2、多種部署模型：可以部署為SaaS或VPC中的虛擬機

3、支持多種數據存儲：包括Redshift、Snowflake、BigQuery、Postgres、MySQL、Athena等

4、與數據使用接口無關：適用于所有BI工具、SQL命令行和SQL編輯

5、與應用程序日志兼容：如果數據庫查詢日志不可用，Dasera平臺可以通過解析訪問了數據庫的應用程序日志來審查數據庫的訪問記錄

6、與SSO集成：包括 Google Workspace 和任何SAML IdP

7、自動通知：包括Slack、Pager Duty、SNS、Google Pub/Sub和電子郵件

8、SIEM/SOAR集成：所有Dasera警告都可以發送到SIEM/SOAR進行分析并采取進一步措施

四、總結

數據安全是近年RSA大會創新沙盒的熱點， BigID和Securiti.ai分別拿到了2018年和2020年的冠軍，說明數據安全市場確實吸引投資者。Allied Market Research估計，2021年全球數據安全市場價值約為190億美元，預計到2027年將達到542.3億美元^[9]，而云上數據安全則是數據安全市場一個新的熱門方向。

如圖7^[10]所示，根據Gartner的技術曲線，數據安全的許多新興技術都與云相關，如數據安全即服務(DSaaS)、多云 KMaaS（密鑰管理）、云本地 DLP（數據防泄漏）、多云 DAM（數據庫審計）等。Dasera的核心功能可以看到不少這些技術的影子。

圖7 Gartner數據安全技術成熟度曲線

2021年的RSAC創新沙盒大賽中，Open Raven也是以解決客戶云上數據安全問題而闖入了決賽^[11]。但是Dasera與Open Raven相比，可以支持更多的云環境，增加了權限監控、數據血緣追蹤、通過SQL查詢分析監控數據使用等功能。另外，Dasera對云上數據安全治理的觀點與新興技術數據安全平臺（DSP）的理念不謀而合，即數據安全的實施需要跨數據安全團隊、合規人員和安全專家采用協調一致的方法^[12]。可以認為，Dasera集多種新興技術于一身，并且擁有先進的數據安全治理理念。

參考文獻

[1]https://www.dasera.com/blog/cloud-data-security-2022-cybersecurity-excellence-awards

[2]https://www.dasera.com/about-us

[3]https://www.crunchbase.com/organization/dasera

[4]https://siliconangle.com/2021/08/16/dasera-gains-awards-and-funding-as-it-offers-a-cloud-focused-end-to-end-approach-for-data-security-cubeconversations/

[5]http://news.sohu.com/a/537792640_121351677

[6]《Cost of a Data Breach Report 2021》：https://www.ibm.com/security/data-breach

[7]https://www.gartner.com/en/documents/4006178

[8]https://www.dasera.com/resource-library?topic=whitepapers

[9]https://netsecurity.51cto.com/article/684980.html

[10]https://baijiahao.baidu.com/s?id=1726062168401432788&wfr=spider&for=pc

[11]https://www.openraven.com

[12]https://www.csdn.net/tags/MtTaEg4sNzg3MzQ1LWJsb2cO0O0O.html