RSAConference2021將于舊金山時間5月17日召開，這將是RSA大會有史以來第一次采用網(wǎng)絡虛擬會議的形式舉辦。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網(wǎng)絡安全行業(yè)技術創(chuàng)新和投資的風向標。

前不久，RSA官方宣布了最終入選創(chuàng)新沙盒的十強初創(chuàng)公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：Open Raven。

一、公司介紹

Open Raven成立于2019年，該公司致力于協(xié)助用戶輕松管理存儲于亞馬遜云上的電子數(shù)據(jù)，幫助用戶避免云上數(shù)據(jù)泄露事件發(fā)生，并協(xié)助用戶實現(xiàn)數(shù)據(jù)合規(guī)性。根據(jù)LinkedIn信息顯示，該公司位于洛杉磯。Dave Cole是該公司的聯(lián)合創(chuàng)始人兼CEO，他曾在CrowdStrike和Tenable工作過的；公司聯(lián)合創(chuàng)始人之一Mark Curphey擔任該公司首席產品官,他是軟件安全公司SourceClear的前CEO和微軟公司前高管。在Cole和Curphey帶領下，Open Raven已于2020年2月在由Upfront Ventures領投的種子輪融資中獲得410萬美元；并于同年在6月在由Kleiner Perkins領投的A輪融資中獲得1500萬美元。

[[402285]]

Open Raven公司產品主打目標：

• 協(xié)助用戶全面探查云上所擁有數(shù)據(jù)；

• 向用戶全面直觀展示每項數(shù)據(jù)存儲位置；

• 自動化掃描分類用戶數(shù)據(jù)，標識出敏感和高風險數(shù)據(jù)；

• 及時發(fā)現(xiàn)數(shù)據(jù)泄露事件，自動報警異常事件；

• 簡化及監(jiān)督用戶數(shù)據(jù)流動合規(guī)性。

二、 背景介紹

數(shù)據(jù)通常被稱為“新石油”，因為它是當前推動全球經濟不斷增長的新型原材料。數(shù)據(jù)的流動與使用如何實現(xiàn)監(jiān)管，本身就具有不小的挑戰(zhàn)性，而云計算的爆炸式發(fā)展給數(shù)據(jù)治理的挑戰(zhàn)增加了更多的復雜性。這使得各公司容易出現(xiàn)數(shù)據(jù)治理盲點，從而導致客戶詳細信息、敏感財務信息、健康醫(yī)療數(shù)據(jù)、選舉數(shù)據(jù)、甚至刑事調查信息的泄露。由于《加州消費者隱私法案》（CCPA）和歐洲《通用數(shù)據(jù)保護條例》（GDPR）等措施帶來的新規(guī)定，對數(shù)據(jù)的不當處理和數(shù)據(jù)泄露的處罰也在飆升。根據(jù)國際律師事務所DLA Piper的調查顯示，GDPR生效以來，在監(jiān)管機構的實施下，全球各公司/組織因侵犯用戶數(shù)據(jù)隱私而被罰款的金額超過了3.301億美元。

從普通人的視角來看，數(shù)據(jù)泄露的最大風險來自于外部攻擊者。然而實際情況卻是：大部分數(shù)據(jù)泄露事件都是由于內部數(shù)據(jù)處理不當造成的，如錯誤配置的數(shù)據(jù)庫、備份、端點和服務。事實上，就暴露的數(shù)據(jù)數(shù)量而言，2019年因意外原因導致的數(shù)據(jù)泄露總量超過了60億條，超過了因黑客蓄意入侵導致的數(shù)據(jù)泄露總量。

當前防止數(shù)據(jù)防泄漏的手段分為兩種：一種是通過制定合理的管理措施進行數(shù)據(jù)安全防護，嚴格限制數(shù)據(jù)的存儲、訪問和使用方式，優(yōu)點是技術門檻低，缺點是管理措施必須隨相關政策法規(guī)的變化及時調整，業(yè)務和數(shù)據(jù)龐雜時容易出現(xiàn)管理盲點；另一種是通過機密計算、安全多方計算、聯(lián)邦學習等技術手段實現(xiàn)數(shù)據(jù)的“可用不可見”，從源頭阻止數(shù)據(jù)泄露，優(yōu)點是技術與政策法規(guī)無關，可一勞永逸解決數(shù)據(jù)泄露問題，缺點是技術門檻高、不易實現(xiàn)。

數(shù)據(jù)安全是近年RSA大會創(chuàng)新沙盒的熱點，如2018年冠軍BigID、2020年冠軍Securiti.ai以及今年的Open Raven，均是通過協(xié)助企業(yè)提升數(shù)據(jù)安全管理能力，進而來阻止數(shù)據(jù)泄露事件發(fā)生。所不同的是，BigID關注的是企業(yè)對個人隱私數(shù)據(jù)的管理和合規(guī)性檢查；Securiti.ai關注通過People Data Graph實現(xiàn)分散的個人數(shù)據(jù)與數(shù)據(jù)所有者的鏈接，并提供分別滿足CCPA、GDPR和LGPD（巴西隱私法規(guī)）的合規(guī)性方案。

Open Raven除了關注企業(yè)個人隱私數(shù)據(jù)安全，更關注企業(yè)云上數(shù)據(jù)安全。Open Raven認為，既然數(shù)據(jù)泄露背后的因素之一是企業(yè)對數(shù)據(jù)的不當保護措施，那么最直接有效的預防方法就是采取合適的措施來增強數(shù)據(jù)本身的安全性。要想實現(xiàn)上述目標，最首要的工作就是知道企業(yè)中有什么類型的數(shù)據(jù)、有多少數(shù)據(jù)、這些數(shù)據(jù)存儲在哪里、以及這些數(shù)據(jù)當前是怎么保護的？Open Raven通過技術手段回答了上述幾個問題，從源頭上阻止數(shù)據(jù)泄露。

三、 公司核心產品服務

Open Raven平臺使用從API到網(wǎng)絡掃描的各種技術，提供了云和本地數(shù)據(jù)存儲的自動映射。其中的核心服務是Open Raven的DMAP指紋識別服務，該服務旨在識別哪些資產作為數(shù)據(jù)存儲在運行使用。DMAP使用基于隨機森林決策樹的機器學習算法來精確識別常用的數(shù)據(jù)存儲服務，如ElasticSearch、Postgres、MongoDB等，以便更好地識別和管理這些存儲服務。

1 DMAP架構

參考Open Raven發(fā)布的白皮書《Building Open Raven’s Data Store Fingerprinting （DMAP）》，DMAP的體系架構如下圖所示。

DMAP是一個以云為中心的分布式體系結構。DMAP-ML運行在Open Raven管理集群(Asgard)中，而DMAP運行在客戶Open Raven 集群(Odin)中。對于希望映射其企業(yè)本地網(wǎng)絡(非云部署)的用戶，DMAP-Scanner在得到授權后，在本地運行并將處理結果反饋給DMAP。

2 模型建立

當建立決策樹模型時，指紋被轉換為機器學習特征，然后輸入到訓練模型中。每個指紋都會產生一個或多個機器學習特征，如下圖所示。

對每個被錄入指紋的應用程序，重復上述操作，并最終進行分割測試，以確保識別的準確性。

3 指紋錄入

指紋錄入是Open Raven監(jiān)督訓練的主要方法。基于云的采集流程如下圖所示。該流程利用Amazon Web Service (AWS)的無服務計算引擎Fargate與容器運行時Docker，允許Open Raven快速啟動應用基礎設施進行指紋采集，并在指紋錄入完畢時縮小集群規(guī)模。

AWS Fargate使Open Raven能夠在不需要固定基礎設施的情況下動態(tài)啟動數(shù)千個服務。再加上絕大多數(shù)現(xiàn)有的數(shù)據(jù)存儲應用程序都可以Docker鏡像交付，因此很容易生成樣本數(shù)據(jù)。

4 用戶反饋改進

雖然Open Raven的初始數(shù)據(jù)集和模型基于指紋錄入，但Open Raven的工作流設計允許(并鼓勵)用戶反饋和細化預測結果，“反饋-改進”流程如下圖所示。當應用程序預測結果顯示給用戶時，若預測結果不準確，用戶可以根據(jù)自己的實際情況否定預測結果，并如實反饋給DMAP-ML。該反饋結果將實時集成到DMAP-ML中的Open Raven DMAP預測引擎中，從而使得DMAP利用新獲得的知識提高將來的預測準確率。

用戶“反饋-改進”流程既增強了Open Raven識別已知應用程序的能力，特別是識別已知應用程序的尚未發(fā)行版本。這使得Open Raven能夠在用戶收到識別結果并提供反饋時，可以實時了解最新的軟件和應用程序。

四、 產品功能

1 數(shù)據(jù)資產可視化

Open Raven通過全局3D視圖用戶顯示每個AWS賬戶和資產情況，不同資產類型有不同的地圖圖標表示；單擊單個資產的圖標以查看其屬性；Open Raven按其物理位置對資產進行分組?？梢暬翱谶吘壊糠诛@示連接到基礎設施的 IP 地址。

Open Raven允許通過以下幾種篩選方式篩選資產：

• 地理位置；

• 資產類型；

• 安全配置。

按安全配置進行篩選時，資產篩選結果可分類為：

• 對互聯(lián)網(wǎng)開放/對互聯(lián)網(wǎng)關閉；

• 加密/未加密；

• 備份/未備份。

可以可視化AWS Virtual Private Clouds（VPC）之間的網(wǎng)絡連接。單擊云圖標時，可以看到有關：

• 請求者；

• 接受者；

• 連接 ID。

2 自動化敏感數(shù)據(jù)掃描

數(shù)據(jù)掃描功能使用機器學習和模式匹配來識別和分類AWS S3存儲桶中的敏感數(shù)據(jù)。

使用數(shù)據(jù)掃描功能，可以發(fā)現(xiàn)如下敏感數(shù)據(jù)，例如：

• 敏感個人信息

• 開發(fā)人員機密和憑據(jù)

• 財務和健康數(shù)據(jù)。

Open Raven配置了一些默認數(shù)據(jù)類，用戶也可以自行創(chuàng)建數(shù)據(jù)類。數(shù)據(jù)掃描作業(yè)按照用戶指定的規(guī)則運行，按預定周期掃描目標資產組中的特定數(shù)據(jù)類別。

數(shù)據(jù)類是Open Raven在數(shù)據(jù)掃描期間著重尋找的內容，是敏感數(shù)據(jù)類型，例如：姓名、郵編地址、社會保險號碼、SSH密鑰、信用卡號。其中默認數(shù)據(jù)類型中的個人數(shù)據(jù)類，涵蓋了目前世界上主要歐美及發(fā)達國家對個人數(shù)據(jù)類的分類和識別方式，如下圖所示。 

3 依照安全策略監(jiān)控資產安全

Open Raven允許用戶按照策略來執(zhí)行數(shù)據(jù)安全標準，通過Open Raven進行審核和監(jiān)控用戶的云數(shù)據(jù)資產。當發(fā)生策略違規(guī)時，將向相關用戶發(fā)出告警通知，并指導用戶采取行動阻止數(shù)據(jù)泄露事件。

Open Raven提供以下預構建的策略集，用戶可以通過快速勾選的方式構建自己的數(shù)據(jù)安全規(guī)則，保護用戶的云數(shù)據(jù)資產：

4 生成合規(guī)分析報告
用戶可以根據(jù)自己的需要，選擇感興趣的數(shù)據(jù)安全策略項，并導出該項策略的合規(guī)性報告。

五、 總結

當前全球各國及組織均在緊鑼密鼓地制定數(shù)據(jù)安全相關法案法規(guī)，違規(guī)懲罰力度也在不斷擴大。在此形勢下，大小互聯(lián)網(wǎng)公司均人人自危，爭相檢查各自數(shù)據(jù)安全保護現(xiàn)狀，以避免因數(shù)據(jù)泄露事件帶來自身形象損失及罰款資金損失。此時Open Raven公司及時發(fā)現(xiàn)并抓住用戶痛點，以自身優(yōu)勢來協(xié)助用戶解決數(shù)據(jù)資產清查及合規(guī)性檢查等事宜，滿足用戶剛性需求，解決用戶痛點問題，使得公司快速發(fā)展應是大勢所趨。

可以看出，Open Raven的宗旨是讓用戶全面、透徹的了解自己存儲于云服務器中的數(shù)據(jù)資產存儲情況（如存儲于哪里？用的何種存儲服務？）和安全現(xiàn)狀（有多少敏感數(shù)據(jù)？是否密文存儲？是否有備份？何人、何設備可以訪問該數(shù)據(jù)？），給用戶一個直觀的掃描和呈現(xiàn)，目的是協(xié)助用戶從管理角度實現(xiàn)數(shù)據(jù)資產安全，并實施數(shù)據(jù)資產定期合規(guī)性檢查，但是并不向用戶直接輸出數(shù)據(jù)安全防御技術和數(shù)據(jù)安全共享技術（如數(shù)據(jù)脫敏、差分隱私、安全多方計算等）。

其最核心的技術創(chuàng)新點：1、利用隨機森林決策樹算法來識別用戶數(shù)據(jù)存儲所采用的應用和服務，即DMAP服務；2、實施監(jiān)控用戶數(shù)據(jù)資產流動及訪問情況，及時告警威脅事件，協(xié)助用戶阻止數(shù)據(jù)泄露事件發(fā)生。

功能創(chuàng)新點在于：1、利用3D技術圖形化展示用戶云上所屬賬戶、數(shù)據(jù)資產類型、存儲位置，便于用戶管理；2、匯總當前基本以及常用的數(shù)據(jù)安全策略，并進行合理分類，供用戶直接調用、學習；3、協(xié)助用戶分析數(shù)據(jù)資產合規(guī)性，并給出分析報告和改進意見。

以上是Open Raven的優(yōu)勢及亮點所在，但個人感覺，劣勢也很明顯：目前只能分析亞馬遜云上的用戶數(shù)據(jù)資產，無法覆蓋其他云系統(tǒng)。從Open Raven官網(wǎng)來看，已將其他云系統(tǒng)作為攻堅目標，希望其能早日實現(xiàn)多種云上數(shù)據(jù)資產發(fā)現(xiàn)及分析。另外，隱私保護法規(guī)越來越嚴的情況下，用戶也關心自己的數(shù)據(jù)安全保護策略是否可以滿足全部或某一個特定法規(guī)的數(shù)據(jù)安全要求。若不滿足，如何改進？希望Open Raven早日考慮該訴求，系統(tǒng)性地為用戶的數(shù)據(jù)安全建設提供檢查及建議，這樣或許能招攬來更多用戶及投資者。