編者按:本文來自微信公衆號“晨山資本”(ID:chenshancapital)
隨着線上化、數字化、智能化的發展,萬物互聯時代的逐步到來,數據體量正在快速增長。而無論是個人隱私數據,還是企業數據,都承載着巨大的價值,數據泄露事件已成爲安全領域最大的威脅之一。安全產品的價值和其保護資產的價值永遠成正比關係。面對數據安全這一藍海市場,未來伴隨着法律法規的健全,我們相信一定會誕生巨大的創新和創業機會。
作者 | 吳文超 晨山資本副總裁
郵箱 | [email protected]
關注底層技術創新、信息安全和人工智能等領域
觀點精選
❶ 越來越多的攻擊者或內部員工已看到數據變現的直接與間接價值,致使數據泄露成爲所有安全事件中最常見的安全威脅。
❷ 數據安全不僅僅要圍繞數據靜態資產的保護,更重要的是針對整個數據流動過程的各個處理環節提供一整套安全解決方案,不但要做好外部防護,更要做好內部數據安全訪問控制。
❸ 數據安全法,尤其是個人隱私保護相關法規的逐步完善,將進一步帶來數據安全產品的創新機會。創業者應當提前做好技術儲備,迎接一個全新的數據安全時代。
數據泄露的源頭
近年來,移動互聯網和萬物互聯的興起,帶來了數據的爆炸式增長。據IDC介紹,全球數據容量從2018年的33ZB到2025年將超過175ZB(相當於若以25Mb/s的速度下載這些數據,你需要下載18億年)。這其中既包含用戶個人隱私數據,也包含具有重大商業價值的企業數據和涉及到國家政府安全的機密數據。
數據作爲新時代的重要生產資料,在帶來圍繞數據處理、加工、分析等整個生產工具上的大變革的同時,其背後蘊藏着的巨大經濟價值也引起了大量不法分子的覬覦。
通過梳理近年來發生的造成實質性安全損失的重大安全事件可以看出,越來越多的攻擊者或內部員工已經看到數據變現的直接與間接價值,這使得數據泄露成爲所有安全事件中最常見的安全威脅。
▲ 數據來源:安全牛、安全客、FreeBuf,晨山資本整理
而2020年疫情帶來線上化辦公和娛樂的加速,也使得個人隱私保護問題變得越來越嚴峻。開年以來,數據安全和隱私泄露事件也層出不窮:
案例1:微盟“刪庫事件”
2月23日,微盟公司被一名員工惡意刪庫,在線服務出現故障,主營業務商家小程序全線崩潰,受此牽連300萬家商戶生意基本停擺。之後微盟聯合服務商恢復數據,歷經七天七夜才找回刪庫數據。不過由於負面影響太大,受此牽連微盟累計市值蒸發超30億港元。而對於給衆多商家造成的影響,微盟表示準備了1.5億元人民幣賠付金對用戶進行賠償。
案例2:銀行數據泄露事件
4月,原建設銀行餘姚城建支行行長沈某某因犯侵犯公民個人信息罪,被判處有期徒刑3年,緩刑3年,並處罰金人民幣6000元。法院認定,2017年3月至4月,沈某某曾將非法獲取的餘姚市東城名苑業主財產信息1111條和其所在行貸款客戶財產信息127條非法提供給他人用於招攬業務。
案例3:Zoom視頻泄露事件
4月,據《華盛頓郵報》報道,Jackson通過“一個簡單的在線搜索”,就找到了15000個完全公開的Zoom會議視頻。“很多視頻都被保存在單獨的、沒有密碼的線上存儲空間裏”,他說,因爲Zoom對視頻的命名非常單一,所以他很容易地找到了大量視頻,而且任何人都能下載觀看。
案例4:池子銀行賬戶信息泄露
5月6日,脫口秀演員池子(本名王越池)發佈微博稱,在其與上海笑果文化傳媒有限公司的經紀合約糾紛案中,中信銀行上海虹口支行未獲本人授權,將其個人賬戶流水提供給笑果文化,屬於侵犯公民個人信息的違法行爲。
依據數據的所有人,數據大致可分爲個人隱私和企業/組織的數據。隨着越來越多智能化的設備與網絡的連接,企業和消費者發現雲服務越來越有吸引力,大家通過雲可以快速、無所不在地訪問他們的數據。消費者終端設備上的存儲容量也逐漸減少轉而藉助於雲端(企業端)存儲。
據IDC報告稱,到2020年,我們存儲在企業雲中的數據將逐步超過消費者設備中的數據。這也可以解釋爲何現在個人隱私的數據泄露事件往往都是從企業端開始。
因此未來個人隱私保護的產品也將重點面向擁有這些數據的企業,個人隱私保護的責任也將逐步轉嫁到擁有這些數據的企業之上。
▲ 數據來源:IDC,數據存儲位置趨勢變化
數據處理過程的潛在風險和應對邏輯
數據是信息時代最重要的生產資料。企業針對不同類型的數據往往有多個處理和加工環節,大體分類包括:數據採集、分析加工、存儲、內部消費和外部共享等五步。企業採集的隱私數據在任何一個環節都面臨着合規遵循的需求,以及內外部原因帶來的數據泄露的安全威脅。
例如,在數據採集過程中沒有得到用戶授權的非法數據採集,採集後沒有按照特定的標準進行脫敏、加密的處理,沒有嚴格按照數據的分類分級標準進行分類和存儲,用戶對自身數據進行請求和操作時企業無法給出相應的數據反饋。
在加工、存儲和使用過程中,內部員工惡意篡改和訪問數據、數據資產管理混亂導致數據被脫庫或者遺失。
因爲應用訪問授權不當讓黑客有機可乘,對合作夥伴授權不當導致核心數據被竊取,因爲利益原因和第三方商業機構共享用戶的個人隱私數據等等。
▲ 晨山資本整理
企業針對隱私數據處理的不同階段面臨的風險,總結下來同樣可以分爲幾類防護手段:
在採集過程中,根據不同的法規約束,主動彈窗詢問用戶的使用授權,明確雙方數據授權使用的協議。
在分析加工過程中,根據不同行業的數據分類分級標準,如金融行業《個人金融信息保護技術規範》,進行數據的分級分類處理,對一些敏感數據進行脫敏和加密處理。經過合理授權,防止重要核心數據被惡意操作和誤操作。
在數據存儲過程中,已經有一系列產品可以針對數據資產本身做不錯的防護,這其中包括文件DLP(Data leakage prevention,數據泄密防護)和數據庫安全類的產品,如數據庫防火牆、審計、脫敏加密、容災備份等。由於應用的多樣化和數據庫本身從最早的Oracle、MySQL逐步演進到新一代的大數據平臺、NoSQL(非關係型數據庫)和分佈式數據庫所帶來的新的數據存儲安全問題同樣值得關注。
在應用和企業內部人員訪問的過程中,更需要構建一整套授權體系和管理體系,其中一些基於零信任理念的安全產品實踐值得參考。在企業內部數據流轉過程中,當數據本身停留在企業內部的網絡安全防護體系時,本身的安全性還相對可控,一旦企業想進行用戶隱私數據的外部共享,那就可能帶來非常大的安全風險。
針對不同的對象,需要採取不同的保護策略。在面向商業數據分享領域,近年來比較火的技術如可信計算、多方安全計算、同態加密在一定程度上解決了如何在密文態的情況下提取數據價值的問題。面向外部的合作伙伴和API輸出的數據授權,更多地是一套身份管理、脫敏、基於數據分級的授權系統。而面向具有數據所屬權的用戶,則需要根據合規提供一整套隱私數據增刪改查的訪問接口。
除了上述針對單一環節的數據檢測響應和防護策略之外,還需要更多地關注數據在各個環節中流動過程的數據安全風險識別。這其中包含應用系統、數據存儲單元、外部共享等多個層次的數據訪問監控和審計,即保證數據監控無死角是響應決策的前提。這樣一旦任何一個環節出現隱私暴露的問題,我們可以快速定位和溯源,及時解決風險,減少損失。
▲ 晨山資本整理
國內外企業在數據安全產品的關注焦點
針對數據處理不同階段面臨的安全問題,Gartner在幾年前就提出了DCAP(Data-Centric Audit and Protection)的概念。
DCAP產品旨在構建能夠跨非結構化、半結構化和結構化存儲庫集中管理數據安全策略。該策略將包含安全控制措施,例如對敏感數據進行分類的能力以及通過集中管理訪問授權、活動監視和數據保護等。使用諸如加密、令牌化和脫敏之類的數據保護技術,來增強針對應用程序和高特權用戶的職責分離。提供審計和報告的能力,以支持各種合規性要求。
但目前也沒有單一產品能夠滿足DCAP的所有需求,而在國外往往是幾類產品的組合,包括DAP(數據庫審計和保護)、DAG(數據訪問控制,包括分級分類、數據發現、活動監控等)、CASB(雲端訪問代理,針對SaaS產品的訪問授權控制)和DP(數據保護,針對數據庫的加密、脫敏等產品)。
▲ 數據來源:Gartner,DCAP核心能力
以Imperva(成立於2002年,歷史累計融資7100萬美金)爲代表,國外主流的老牌數據安全供應商主要集中在不同數據庫類型(包括數據庫、文件、大數據平臺和雲數據平臺)的數據發現、授權管理、審計和授權保護上,更多還是圍繞資產和數據庫本身,在數據流動過程的訪問控制和監控做得並不多。
▲ 數據來源:Gartner,主流數據安全廠商保護的資產類別
而針對企業收集到的用戶隱私數據保護,往往更需要加強對用戶隱私和用戶數據請求流程的合規處理功能。這其中不同的層次上,國外已誕生了一系列優秀的產品:
數據掃描和盤點
公司在保護隱私數據之前,必須首先對所有數據進行盤點,以瞭解其具體數據內容和存儲位置。所有這些數據都必須在結構化和非結構化的企業所有的數據存儲中進行查找和盤點。這其中最有代表性的企業就是BigID(2016年成立,歷史累計融資1.46億美金)。
數據分類與治理
公司識別出敏感數據後,必須瞭解該數據的來源以及存儲在何處,控制哪些人可以訪問它以及何時訪問,並應用某些規則維護此順序。像Okta(2016年成立,市值約250億美金)構建的統一身份認證和授權管理,就在一定程度上幫助用戶解決了這個痛點。
用戶請求工作流程處理
公司還必須能夠響應數據主體(用戶)訪問請求(DSAR)和其他法規查詢,讓數據所有者能夠有權獲取並且操作自身數據。隨着法規的健全和用戶意識的認知提升,這些請求正在急劇增加。企業將需要新的軟件定義解決方案來有效地管理這些流程。諸如OneTrust(2016年成立,累計融資4.1億美金)之類的創業公司已經在這一領域獲得了很高的估值。
授權同意管理
一旦公司找到了數據,充分確定了其分類和治理策略,並處理了任何相關的法定要求,則必須確保已獲得並保持足夠的授權同意才能實際使用所述數據。授權同意管理可確保企業可以對消費者友好的方式使用該數據。今年的RSAC創新沙盒冠軍Security.AI的核心能力就是在此。
數據脫敏化/隱藏化計算
企業盤點了數據並掌握了出處、存儲、DSAR和同意後,便必須保護其最敏感的信息。我們看到像Privitar(2014年成立,累計融資1.43億美金)這樣的公司利用差異隱私、部分同態加密和其他技術來確保私有數據使用過程中的隱私,而市場上的其他公司則依靠多方計算和大量其他技術來達到相同的結果,最終保證在消費者信任的同時保留數據的價值。
▲ 數據來源:BVP
不同於國外已經逐步更加關注合規和用戶對自我數據請求操作方面的訴求,國內創業公司依然更多集中在數據庫、大數據平臺安全和治理,也正處於“把數據作爲資產來保護”到“企業數據安全的多層次管理訴求”的思路轉變中。在數據共享和隱私保護領域,國內公司也逐步有基於多方安全計算和同態加密等技術的方案在市場落地,這其實和法律法規的制定進度密切相關。
國內數據安全相關法規需要持續完善
可以很明顯地看見,國外數據安全保護的產品中,有一大類是針對用戶個人隱私訪問控制和合規處理的,而這類產品在國內卻寥寥無幾。這和國內外的立法進度差異息息相關。
2018年5月25日,歐盟的《一般數據保護條例》(GDPR)正式實施。2018年6月28日,《加利福尼亞州消費者隱私保護法案》(CCPA)經簽署公佈,並於2020年1月1日起正式實施。這兩大法案的實施,對於相關企業,尤其是一些跨國企業產生了深遠的影響,法案規定了個人隱私保護的具體適用對象、個人和企業對隱私數據的權利義務劃分、違法應當受到的具體懲罰等,隨之而來的一系列用戶隱私保護相關的產品都圍繞這兩個方案來展開。
在個人隱私保護法規方面,國內的《網絡安全法》在大的框架下規定網絡運營者要對收集的用戶信息嚴格保密。針對大家對隱私保護的訴求,中央網信辦、工信部、公安部等部門也都出臺了《APP違法違規收集使用個人信息行爲認定方法》《信息安全技術個人信息安全規範》《數據安全管理辦法》徵求意見稿等規範來完善企業收集和使用個人信息流程上的合規性。
但在具體的隱私保護立法層面,我們沒有類似GDPR和CCPA等具有強執行力的法律,未來在法制建設方向還有很多的工作要做。隨着立法的完善和明確,個人隱私保護和合規方向的創業機會也將越來越多。
和大多數網絡安全方向一樣,數據安全同樣會隨着數據基礎設施和數據安全法規逐步演進,其中將誕生大量的創業和創新機會。晨山資本也將持續關注企業整體數據安全防護和個人隱私保護等方向的發展和投資。
晨山資本成立於2016年,是寬帶資本生態中專注早期創新的投資平臺。晨山資本重點投資於“數據驅動的產業互聯網”主題的創新企業。晨山創始團隊深耕TMT行業投資十餘年,已經投資了包括美團點評(http://03690.HK)、朗新科技(300682)、分衆傳媒(002027)、亞信科技(http://01675.HK)、同盾科技、塗鴉智能、零氪科技、G7匯通天下、富數科技、達觀數據、雪浪數制、韜潤半導體等衆多優秀創業公司。歡迎投遞商業計劃書:[email protected]