圖片來(lái)源@視覺(jué)中國(guó)

文 | 晨山資本，作者 | 吳文超

以下為本文觀點(diǎn)：

越來(lái)越多的攻擊者或內(nèi)部員工已看到數(shù)據(jù)變現(xiàn)的直接與間接價(jià)值，致使數(shù)據(jù)泄露成為所有安全事件中最常見(jiàn)的安全威脅；

數(shù)據(jù)安全不僅僅要圍繞數(shù)據(jù)靜態(tài)資產(chǎn)的保護(hù)，更重要的是針對(duì)整個(gè)數(shù)據(jù)流動(dòng)過(guò)程的各個(gè)處理環(huán)節(jié)提供一整套安全解決方案，不但要做好外部防護(hù)，更要做好內(nèi)部數(shù)據(jù)安全訪問(wèn)控制；

數(shù)據(jù)安全法，尤其是個(gè)人隱私保護(hù)相關(guān)法規(guī)的逐步完善，將進(jìn)一步帶來(lái)數(shù)據(jù)安全產(chǎn)品的創(chuàng)新機(jī)會(huì)。創(chuàng)業(yè)者應(yīng)當(dāng)提前做好技術(shù)儲(chǔ)備，迎接一個(gè)全新的數(shù)據(jù)安全時(shí)代。

數(shù)據(jù)泄露的源頭

近年來(lái)，移動(dòng)互聯(lián)網(wǎng)和萬(wàn)物互聯(lián)的興起，帶來(lái)了數(shù)據(jù)的爆炸式增長(zhǎng)。

據(jù)IDC介紹，全球數(shù)據(jù)容量從2018年的33ZB到2025年將超過(guò)175ZB（相當(dāng)于若以25Mb/s的速度下載這些數(shù)據(jù)，你需要下載18億年）。這其中既包含用戶個(gè)人隱私數(shù)據(jù)，也包含具有重大商業(yè)價(jià)值的企業(yè)數(shù)據(jù)和涉及到國(guó)家政府安全的機(jī)密數(shù)據(jù)。

數(shù)據(jù)作為新時(shí)代的重要生產(chǎn)資料，在帶來(lái)圍繞數(shù)據(jù)處理、加工、分析等整個(gè)生產(chǎn)工具上的大變革的同時(shí)，其背后蘊(yùn)藏著的巨大經(jīng)濟(jì)價(jià)值也引起了大量不法分子的覬覦。

通過(guò)梳理近年來(lái)發(fā)生的造成實(shí)質(zhì)性安全損失的重大安全事件可以看出，越來(lái)越多的攻擊者或內(nèi)部員工已經(jīng)看到數(shù)據(jù)變現(xiàn)的直接與間接價(jià)值，這使得數(shù)據(jù)泄露成為所有安全事件中最常見(jiàn)的安全威脅。

▲ 數(shù)據(jù)來(lái)源：安全牛、安全客、FreeBuf，晨山資本整理

而2020年疫情帶來(lái)線上化辦公和娛樂(lè)的加速，也使得個(gè)人隱私保護(hù)問(wèn)題變得越來(lái)越嚴(yán)峻。開(kāi)年以來(lái)，數(shù)據(jù)安全和隱私泄露事件也層出不窮：

案例1：微盟“刪庫(kù)事件”

2月23日，微盟公司被一名員工惡意刪庫(kù)，在線服務(wù)出現(xiàn)故障，主營(yíng)業(yè)務(wù)商家小程序全線崩潰，受此牽連300萬(wàn)家商戶生意基本停擺。之后微盟聯(lián)合服務(wù)商恢復(fù)數(shù)據(jù)，歷經(jīng)七天七夜才找回刪庫(kù)數(shù)據(jù)。

不過(guò)由于負(fù)面影響太大，受此牽連微盟累計(jì)市值蒸發(fā)超30億港元。而對(duì)于給眾多商家造成的影響，微盟表示準(zhǔn)備了1.5億元人民幣賠付金對(duì)用戶進(jìn)行賠償。

案例2：銀行數(shù)據(jù)泄露事件

4月，原建設(shè)銀行余姚城建支行行長(zhǎng)沈某某因犯侵犯公民個(gè)人信息罪，被判處有期徒刑3年，緩刑3年，并處罰金人民幣6000元。法院認(rèn)定，2017年3月至4月，沈某某曾將非法獲取的余姚市東城名苑業(yè)主財(cái)產(chǎn)信息1111條和其所在行貸款客戶財(cái)產(chǎn)信息127條非法提供給他人用于招攬業(yè)務(wù)。

案例3：Zoom視頻泄露事件

4月，據(jù)《華盛頓郵報(bào)》報(bào)道，Jackson通過(guò)“一個(gè)簡(jiǎn)單的在線搜索”，就找到了15000個(gè)完全公開(kāi)的Zoom會(huì)議視頻。“很多視頻都被保存在單獨(dú)的、沒(méi)有密碼的線上存儲(chǔ)空間里”，他說(shuō)，因?yàn)閆oom對(duì)視頻的命名非常單一，所以他很容易地找到了大量視頻，而且任何人都能下載觀看。

案例4：池子銀行賬戶信息泄露

5月6日，脫口秀演員池子（本名王越池）發(fā)布微博稱，在其與上海笑果文化傳媒有限公司的經(jīng)紀(jì)合約糾紛案中，中信銀行上海虹口支行未獲本人授權(quán)，將其個(gè)人賬戶流水提供給笑果文化，屬于侵犯公民個(gè)人信息的違法行為。

依據(jù)數(shù)據(jù)的所有人，數(shù)據(jù)大致可分為個(gè)人隱私和企業(yè)/組織的數(shù)據(jù)。隨著越來(lái)越多智能化的設(shè)備與網(wǎng)絡(luò)的連接，企業(yè)和消費(fèi)者發(fā)現(xiàn)云服務(wù)越來(lái)越有吸引力，大家通過(guò)云可以快速、無(wú)所不在地訪問(wèn)他們的數(shù)據(jù)。消費(fèi)者終端設(shè)備上的存儲(chǔ)容量也逐漸減少轉(zhuǎn)而借助于云端（企業(yè)端）存儲(chǔ)。 

據(jù)IDC報(bào)告稱，到2020年，我們存儲(chǔ)在企業(yè)云中的數(shù)據(jù)將逐步超過(guò)消費(fèi)者設(shè)備中的數(shù)據(jù)。這也可以解釋為何現(xiàn)在個(gè)人隱私的數(shù)據(jù)泄露事件往往都是從企業(yè)端開(kāi)始。

因此未來(lái)個(gè)人隱私保護(hù)的產(chǎn)品也將重點(diǎn)面向擁有這些數(shù)據(jù)的企業(yè)，個(gè)人隱私保護(hù)的責(zé)任也將逐步轉(zhuǎn)嫁到擁有這些數(shù)據(jù)的企業(yè)之上。

▲ 數(shù)據(jù)來(lái)源：IDC，數(shù)據(jù)存儲(chǔ)位置趨勢(shì)變化

數(shù)據(jù)處理過(guò)程的潛在風(fēng)險(xiǎn)和應(yīng)對(duì)邏輯

數(shù)據(jù)是信息時(shí)代最重要的生產(chǎn)資料。企業(yè)針對(duì)不同類型的數(shù)據(jù)往往有多個(gè)處理和加工環(huán)節(jié)，大體分類包括：數(shù)據(jù)采集、分析加工、存儲(chǔ)、內(nèi)部消費(fèi)和外部共享等五步。企業(yè)采集的隱私數(shù)據(jù)在任何一個(gè)環(huán)節(jié)都面臨著合規(guī)遵循的需求，以及內(nèi)外部原因帶來(lái)的數(shù)據(jù)泄露的安全威脅。

例如，在數(shù)據(jù)采集過(guò)程中沒(méi)有得到用戶授權(quán)的非法數(shù)據(jù)采集，采集后沒(méi)有按照特定的標(biāo)準(zhǔn)進(jìn)行脫敏、加密的處理，沒(méi)有嚴(yán)格按照數(shù)據(jù)的分類分級(jí)標(biāo)準(zhǔn)進(jìn)行分類和存儲(chǔ)，用戶對(duì)自身數(shù)據(jù)進(jìn)行請(qǐng)求和操作時(shí)企業(yè)無(wú)法給出相應(yīng)的數(shù)據(jù)反饋。

在加工、存儲(chǔ)和使用過(guò)程中，內(nèi)部員工惡意篡改和訪問(wèn)數(shù)據(jù)、數(shù)據(jù)資產(chǎn)管理混亂導(dǎo)致數(shù)據(jù)被脫庫(kù)或者遺失。

因?yàn)閼?yīng)用訪問(wèn)授權(quán)不當(dāng)讓黑客有機(jī)可乘，對(duì)合作伙伴授權(quán)不當(dāng)導(dǎo)致核心數(shù)據(jù)被竊取，因?yàn)槔嬖蚝偷谌缴虡I(yè)機(jī)構(gòu)共享用戶的個(gè)人隱私數(shù)據(jù)等等。

▲ 晨山資本整理

企業(yè)針對(duì)隱私數(shù)據(jù)處理的不同階段面臨的風(fēng)險(xiǎn)，總結(jié)下來(lái)同樣可以分為幾類防護(hù)手段：

• 在采集過(guò)程中，根據(jù)不同的法規(guī)約束，主動(dòng)彈窗詢問(wèn)用戶的使用授權(quán)，明確雙方數(shù)據(jù)授權(quán)使用的協(xié)議。

• 在分析加工過(guò)程中，根據(jù)不同行業(yè)的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)，如金融行業(yè)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，進(jìn)行數(shù)據(jù)的分級(jí)分類處理，對(duì)一些敏感數(shù)據(jù)進(jìn)行脫敏和加密處理。經(jīng)過(guò)合理授權(quán)，防止重要核心數(shù)據(jù)被惡意操作和誤操作。

• 在數(shù)據(jù)存儲(chǔ)過(guò)程中，已經(jīng)有一系列產(chǎn)品可以針對(duì)數(shù)據(jù)資產(chǎn)本身做不錯(cuò)的防護(hù)，這其中包括文件DLP（Data leakage prevention，數(shù)據(jù)泄密防護(hù)）和數(shù)據(jù)庫(kù)安全類的產(chǎn)品，如數(shù)據(jù)庫(kù)防火墻、審計(jì)、脫敏加密、容災(zāi)備份等。由于應(yīng)用的多樣化和數(shù)據(jù)庫(kù)本身從最早的Oracle、MySQL逐步演進(jìn)到新一代的大數(shù)據(jù)平臺(tái)、NoSQL（非關(guān)系型數(shù)據(jù)庫(kù)）和分布式數(shù)據(jù)庫(kù)所帶來(lái)的新的數(shù)據(jù)存儲(chǔ)安全問(wèn)題同樣值得關(guān)注。

• 在應(yīng)用和企業(yè)內(nèi)部人員訪問(wèn)的過(guò)程中，更需要構(gòu)建一整套授權(quán)體系和管理體系，其中一些基于零信任理念的安全產(chǎn)品實(shí)踐值得參考。在企業(yè)內(nèi)部數(shù)據(jù)流轉(zhuǎn)過(guò)程中，當(dāng)數(shù)據(jù)本身停留在企業(yè)內(nèi)部的網(wǎng)絡(luò)安全防護(hù)體系時(shí)，本身的安全性還相對(duì)可控，一旦企業(yè)想進(jìn)行用戶隱私數(shù)據(jù)的外部共享，那就可能帶來(lái)非常大的安全風(fēng)險(xiǎn)。

• 針對(duì)不同的對(duì)象，需要采取不同的保護(hù)策略。在面向商業(yè)數(shù)據(jù)分享領(lǐng)域，近年來(lái)比較火的技術(shù)如可信計(jì)算、多方安全計(jì)算、同態(tài)加密在一定程度上解決了如何在密文態(tài)的情況下提取數(shù)據(jù)價(jià)值的問(wèn)題。面向外部的合作伙伴和API輸出的數(shù)據(jù)授權(quán)，更多地是一套身份管理、脫敏、基于數(shù)據(jù)分級(jí)的授權(quán)系統(tǒng)。而面向具有數(shù)據(jù)所屬權(quán)的用戶，則需要根據(jù)合規(guī)提供一整套隱私數(shù)據(jù)增刪改查的訪問(wèn)接口。

• 除了上述針對(duì)單一環(huán)節(jié)的數(shù)據(jù)檢測(cè)響應(yīng)和防護(hù)策略之外，還需要更多地關(guān)注數(shù)據(jù)在各個(gè)環(huán)節(jié)中流動(dòng)過(guò)程的數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別。這其中包含應(yīng)用系統(tǒng)、數(shù)據(jù)存儲(chǔ)單元、外部共享等多個(gè)層次的數(shù)據(jù)訪問(wèn)監(jiān)控和審計(jì)，即保證數(shù)據(jù)監(jiān)控?zé)o死角是響應(yīng)決策的前提。這樣一旦任何一個(gè)環(huán)節(jié)出現(xiàn)隱私暴露的問(wèn)題，我們可以快速定位和溯源，及時(shí)解決風(fēng)險(xiǎn)，減少損失。

▲ 晨山資本整理

國(guó)內(nèi)外企業(yè)在數(shù)據(jù)安全產(chǎn)品的關(guān)注焦點(diǎn)

針對(duì)數(shù)據(jù)處理不同階段面臨的安全問(wèn)題，Gartner在幾年前就提出了DCAP(Data-Centric Audit and Protection)的概念。

DCAP產(chǎn)品旨在構(gòu)建能夠跨非結(jié)構(gòu)化、半結(jié)構(gòu)化和結(jié)構(gòu)化存儲(chǔ)庫(kù)集中管理數(shù)據(jù)安全策略。該策略將包含安全控制措施，例如對(duì)敏感數(shù)據(jù)進(jìn)行分類的能力以及通過(guò)集中管理訪問(wèn)授權(quán)、活動(dòng)監(jiān)視和數(shù)據(jù)保護(hù)等。使用諸如加密、令牌化和脫敏之類的數(shù)據(jù)保護(hù)技術(shù)，來(lái)增強(qiáng)針對(duì)應(yīng)用程序和高特權(quán)用戶的職責(zé)分離。提供審計(jì)和報(bào)告的能力，以支持各種合規(guī)性要求。

但目前也沒(méi)有單一產(chǎn)品能夠滿足DCAP的所有需求，而在國(guó)外往往是幾類產(chǎn)品的組合，包括DAP（數(shù)據(jù)庫(kù)審計(jì)和保護(hù)）、DAG（數(shù)據(jù)訪問(wèn)控制，包括分級(jí)分類、數(shù)據(jù)發(fā)現(xiàn)、活動(dòng)監(jiān)控等）、CASB（云端訪問(wèn)代理，針對(duì)SaaS產(chǎn)品的訪問(wèn)授權(quán)控制）和DP（數(shù)據(jù)保護(hù)，針對(duì)數(shù)據(jù)庫(kù)的加密、脫敏等產(chǎn)品）。

▲ 數(shù)據(jù)來(lái)源：Gartner，DCAP核心能力

以Imperva（成立于2002年，歷史累計(jì)融資7100萬(wàn)美金）為代表，國(guó)外主流的老牌數(shù)據(jù)安全供應(yīng)商主要集中在不同數(shù)據(jù)庫(kù)類型（包括數(shù)據(jù)庫(kù)、文件、大數(shù)據(jù)平臺(tái)和云數(shù)據(jù)平臺(tái)）的數(shù)據(jù)發(fā)現(xiàn)、授權(quán)管理、審計(jì)和授權(quán)保護(hù)上，更多還是圍繞資產(chǎn)和數(shù)據(jù)庫(kù)本身，在數(shù)據(jù)流動(dòng)過(guò)程的訪問(wèn)控制和監(jiān)控做得并不多。

▲ 數(shù)據(jù)來(lái)源：Gartner，主流數(shù)據(jù)安全廠商保護(hù)的資產(chǎn)類別

而針對(duì)企業(yè)收集到的用戶隱私數(shù)據(jù)保護(hù)，往往更需要加強(qiáng)對(duì)用戶隱私和用戶數(shù)據(jù)請(qǐng)求流程的合規(guī)處理功能。這其中不同的層次上，國(guó)外已誕生了一系列優(yōu)秀的產(chǎn)品：

數(shù)據(jù)掃描和盤(pán)點(diǎn)

公司在保護(hù)隱私數(shù)據(jù)之前，必須首先對(duì)所有數(shù)據(jù)進(jìn)行盤(pán)點(diǎn)，以了解其具體數(shù)據(jù)內(nèi)容和存儲(chǔ)位置。所有這些數(shù)據(jù)都必須在結(jié)構(gòu)化和非結(jié)構(gòu)化的企業(yè)所有的數(shù)據(jù)存儲(chǔ)中進(jìn)行查找和盤(pán)點(diǎn)。這其中最有代表性的企業(yè)就是BigID（2016年成立，歷史累計(jì)融資1.46億美金）。

數(shù)據(jù)分類與治理

公司識(shí)別出敏感數(shù)據(jù)后，必須了解該數(shù)據(jù)的來(lái)源以及存儲(chǔ)在何處，控制哪些人可以訪問(wèn)它以及何時(shí)訪問(wèn)，并應(yīng)用某些規(guī)則維護(hù)此順序。像Okta（2016年成立，市值約250億美金）構(gòu)建的統(tǒng)一身份認(rèn)證和授權(quán)管理，就在一定程度上幫助用戶解決了這個(gè)痛點(diǎn)。

用戶請(qǐng)求工作流程處理

公司還必須能夠響應(yīng)數(shù)據(jù)主體（用戶）訪問(wèn)請(qǐng)求（DSAR）和其他法規(guī)查詢，讓數(shù)據(jù)所有者能夠有權(quán)獲取并且操作自身數(shù)據(jù)。隨著法規(guī)的健全和用戶意識(shí)的認(rèn)知提升，這些請(qǐng)求正在急劇增加。企業(yè)將需要新的軟件定義解決方案來(lái)有效地管理這些流程。諸如OneTrust（2016年成立，累計(jì)融資4.1億美金）之類的創(chuàng)業(yè)公司已經(jīng)在這一領(lǐng)域獲得了很高的估值。

授權(quán)同意管理

一旦公司找到了數(shù)據(jù)，充分確定了其分類和治理策略，并處理了任何相關(guān)的法定要求，則必須確保已獲得并保持足夠的授權(quán)同意才能實(shí)際使用所述數(shù)據(jù)。授權(quán)同意管理可確保企業(yè)可以對(duì)消費(fèi)者友好的方式使用該數(shù)據(jù)。今年的RSAC創(chuàng)新沙盒冠軍Security.AI的核心能力就是在此。

數(shù)據(jù)脫敏化/隱藏化計(jì)算

企業(yè)盤(pán)點(diǎn)了數(shù)據(jù)并掌握了出處、存儲(chǔ)、DSAR和同意后，便必須保護(hù)其最敏感的信息。我們看到像Privitar（2014年成立，累計(jì)融資1.43億美金）這樣的公司利用差異隱私、部分同態(tài)加密和其他技術(shù)來(lái)確保私有數(shù)據(jù)使用過(guò)程中的隱私，而市場(chǎng)上的其他公司則依靠多方計(jì)算和大量其他技術(shù)來(lái)達(dá)到相同的結(jié)果，最終保證在消費(fèi)者信任的同時(shí)保留數(shù)據(jù)的價(jià)值。

▲ 數(shù)據(jù)來(lái)源：BVP

不同于國(guó)外已經(jīng)逐步更加關(guān)注合規(guī)和用戶對(duì)自我數(shù)據(jù)請(qǐng)求操作方面的訴求，國(guó)內(nèi)創(chuàng)業(yè)公司依然更多集中在數(shù)據(jù)庫(kù)、大數(shù)據(jù)平臺(tái)安全和治理，也正處于“把數(shù)據(jù)作為資產(chǎn)來(lái)保護(hù)”到“企業(yè)數(shù)據(jù)安全的多層次管理訴求”的思路轉(zhuǎn)變中。

在數(shù)據(jù)共享和隱私保護(hù)領(lǐng)域，國(guó)內(nèi)公司也逐步有基于多方安全計(jì)算和同態(tài)加密等技術(shù)的方案在市場(chǎng)落地，這其實(shí)和法律法規(guī)的制定進(jìn)度密切相關(guān)。

國(guó)內(nèi)數(shù)據(jù)安全相關(guān)法規(guī)需要持續(xù)完善

可以很明顯地看見(jiàn)，國(guó)外數(shù)據(jù)安全保護(hù)的產(chǎn)品中，有一大類是針對(duì)用戶個(gè)人隱私訪問(wèn)控制和合規(guī)處理的，而這類產(chǎn)品在國(guó)內(nèi)卻寥寥無(wú)幾。這和國(guó)內(nèi)外的立法進(jìn)度差異息息相關(guān)。

2018年5月25日，歐盟的《一般數(shù)據(jù)保護(hù)條例》(GDPR)正式實(shí)施。2018年6月28日，《加利福尼亞州消費(fèi)者隱私保護(hù)法案》(CCPA)經(jīng)簽署公布，并于2020年1月1日起正式實(shí)施。

這兩大法案的實(shí)施，對(duì)于相關(guān)企業(yè)，尤其是一些跨國(guó)企業(yè)產(chǎn)生了深遠(yuǎn)的影響，法案規(guī)定了個(gè)人隱私保護(hù)的具體適用對(duì)象、個(gè)人和企業(yè)對(duì)隱私數(shù)據(jù)的權(quán)利義務(wù)劃分、違法應(yīng)當(dāng)受到的具體懲罰等，隨之而來(lái)的一系列用戶隱私保護(hù)相關(guān)的產(chǎn)品都圍繞這兩個(gè)方案來(lái)展開(kāi)。

在個(gè)人隱私保護(hù)法規(guī)方面，國(guó)內(nèi)的《網(wǎng)絡(luò)安全法》在大的框架下規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者要對(duì)收集的用戶信息嚴(yán)格保密。針對(duì)大家對(duì)隱私保護(hù)的訴求，中央網(wǎng)信辦、工信部、公安部等部門(mén)也都出臺(tái)了《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《信息安全技術(shù)個(gè)人信息安全規(guī)范》《數(shù)據(jù)安全管理辦法》征求意見(jiàn)稿等規(guī)范來(lái)完善企業(yè)收集和使用個(gè)人信息流程上的合規(guī)性。

但在具體的隱私保護(hù)立法層面，我們沒(méi)有類似GDPR和CCPA等具有強(qiáng)執(zhí)行力的法律，未來(lái)在法制建設(shè)方向還有很多的工作要做。隨著立法的完善和明確，個(gè)人隱私保護(hù)和合規(guī)方向的創(chuàng)業(yè)機(jī)會(huì)也將越來(lái)越多。

和大多數(shù)網(wǎng)絡(luò)安全方向一樣，數(shù)據(jù)安全同樣會(huì)隨著數(shù)據(jù)基礎(chǔ)設(shè)施和數(shù)據(jù)安全法規(guī)逐步演進(jìn)，其中將誕生大量的創(chuàng)業(yè)和創(chuàng)新機(jī)會(huì)。晨山資本也將持續(xù)關(guān)注企業(yè)整體數(shù)據(jù)安全防護(hù)和個(gè)人隱私保護(hù)等方向的發(fā)展和投資。

【鈦媒體作者介紹：晨山資本成立于2016年，是寬帶資本生態(tài)中專注早期創(chuàng)新的投資平臺(tái)?！?/p>

763人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

0

0

掃描下載App

<fieldset id="oxelh"></fieldset>