本文来自微信公众号:云岫资本(ID:winsoulcapital),云岫资本企业服务组与微村智科联合出品,作者:吴晓婷、刘冰雅等,头图来自:IC photo
数据作为新型生产要素,占据着国家战略资源地位。然而,大数据带来的机遇伴随着空前的安全挑战:近年来,“大数据杀熟”、数据歧视、个人信息非法采集和隐私窃取等安全问题愈发严峻,据数世咨询统计,2020年全球泄露信息记录达352.79亿条,涉及人数约21.2亿人。
层出不穷的数据泄露事件也给数字化转型中的企业带来巨大风险和巨额损失的可能性。据IBM 2020年统计,数据泄露的平均成本为386万美元;涉及超过5000万条消费者记录时,补救成本可能高达3.92亿美元。
2018年,欧盟正式实施《通用数据保护条例》(GDPR),全球掀起数据安全与隐私的立法热潮,对企业提出了更高的数据安全合规性要求。以合规为核心的新型数安产品在海外受到资本追捧。
近年来,我国数据安全相关立法进程也明显加快,《中华人民共和国网络安全法》《中华人民共和国密码法》《数据安全法》《个人信息保护法(草案)》等系列政策法规相继出台,强化了数据安全的法制基础。
受内生需求提高、政策落地引导等因素影响,我国数据安全行业正处于高速发展期:2018~2021年,国内网安市场整体增速约20%~23%,同期数据安全市场增速约30%~35%,是同期网安整体增速的1.5倍以上。2021年,国内数据安全市场规模预计达到约69.7亿元。
数据安全隐患究竟容易出现在哪些环节,数据安全行业在向怎样的方向发展,国内有哪些创业投资机会?
一、数据是如何被保护的?
随着数据量急剧增长,接触数据的用户角色流动频繁,企业数据面临着复杂的暴露风险和扩散滥用风险。这些风险环节容易被恶意用户或病毒木马利用,导致更频繁、更隐蔽的恶意泄露和攻击窃取等风险事件发生。
然而传统以外部威胁为中心的安全防护方式,面对数据安全问题往往力不从心。
其一,传统安全产品往往聚焦特定领域,功能相对单一,缺乏全盘视角,存在安全盲区,导致防护效果降低。
其二,由于传统安全产品不知数据属性、存储分布、流转、使用等状况,难以厘清数据与业务之间的关系,缺乏整体掌握。
因此,传统安全防护方式以被动跟随防御为主,难以面对未知威胁,在出现威胁到有效应对之间存在时间差,使得数据风险难以消除。
随着数据体量和种类的增长,数据需得到全生命周期的安全保障。
数据全生命周期包括数据采集、传输、存储、处理、交换、销毁等6个重要环节。
数据采集安全
在数据采集端,体量大、种类多、来源复杂的原始数据使数据的真实性和完整性校验带来困难。目前没有标准化且通用的数据可信度鉴别、监测手段,难以识别或剥离虚假甚至恶意的数据。如果黑客利用网络攻击向数据采集端注入脏数据,会破坏数据真实性,将数据分析的结果引向预设的方向,进而实现操纵分析结果的攻击目的。
数据传输安全
数据传输安全主要指与外部系统交换数据的过程,需要采用接口鉴权等机制,对外部系统的合法性进行验证。
针对传输泄露,传统DLP(Data leakage prevention,数据泄露防护)通常采取动态加密、访问阻断、数据库防火墙等技术,监控终端、网络以及服务器中动态传输的数据,发现和阻止泄露。
目前DLP已经较为成熟,可以预见的是,大数据分析技术、机器学习算法的发展将推动数据泄露防护的智能化发展,实现数据的智能化分级保护,并形成终端、网络、云端协同一体的数据传输安全体系。
数据存储安全
数据存储安全分为三方面,一是对数据库进行加密,二是进行密钥管理以防止数据的越权访问,三是存储平台中数据设置备份与恢复机制。
目前跨越云的密钥管理是云数据库发展后兴起的新兴领域,云数据库应提供相应的身份认证和访问控制机制,确保只有合法的用户或应用程序才能获取数据;同时,区块链去中心化存储所衍生的一系列安全问题都有待进一步探索。
数据处理安全
数字经济时代来临,越来越多的企业或组织需要参与数据维度的产业链协同。在数据合作和共享的过程,会产生大量跨系统的访问和汇集多方数据的联合运算,通过脱敏规则对个人信息、商业机密或独有数据资源进行变形可以实现对隐私数据的保护。
数据脱敏分为静态数据脱敏和动态数据脱敏,静态数据脱敏是将数据抽取脱敏后发给下一环节,使脱敏数据和生产环境隔离,以保障生产数据库的安全;动态数据脱敏则是在访问敏感数据同时进行脱敏处理,可以根据不同脱敏规则执行不同脱敏方案。这一技术目前已经在部分数据库产品中实现,如华为GaussDB产品目前已实现动态脱敏,可以充分满足各个业务场景下的数据脱敏诉求。
数据交换安全
频繁的数据共享和交换带来的是交错复杂的数据流动路径,数据从产生到销毁不再是单向的流动,也不再仅限于单一系统内部流转,而会从一个数据控制系统流向另一个控制系统。
在这个过程中,实现跨数据系统的全路径追踪溯源变得异常困难,数据溯源中数据标记的可信性、数据标记与内容捆绑的安全性都是仍需考量的问题。2018年3月,Facebook因为对第三方使用数据缺乏有效的管理和追责机制,最终导致8700万名用户的资料被泄漏滥用,给个人和企业都带来巨大损失。
通过Gartner过去四年数据安全行业研究报告显示,数据处理环节的脱敏技术和数据交换环节的权限管理、安全代理也逐步成熟,数据分类和密钥管理产品处于高速发展期。而数据传输环节的产品已经非常成熟。
风险及合规视角下,数据安全需要应对更丰富多样的应用场景,保护的数据对象范畴也不断外延。传统的安全单点管控模式无法覆盖全局。企业需要以数据为起点,构建数据安全治理、合规、审计、分析、防护的全生命周期安全防护体系。
Micrsoft所提出的DGPC和Gartner所提出的DSG框架均强调了数据全生命周期路线梳理的重要性,在此基础上才能合理考虑管理维度和技术维度的具体策略。然而,数据全生命周期的治理、评估和隐私保护仍处于发展初期。
二、国内数据安全行业竞争格局
国内数据安全领域主要存在三大类主要玩家,分别为云厂商、网络安全厂商、专业数据安全服务商。
云厂商:以提供云基础设施配套的基础安全产品为主。以下是目前几大云厂商提供的数据安全产品比较。
网络安全厂商:部分网络安全厂商作为集成商使用专业数据安全服务商的产品,如奇安信的数据安全产品使用的是昂楷、中安威士;另一种发展策略是收购专业的数据安全服务商,如绿盟科技2015年斥资近5亿100%收购亿赛通。数据安全往往非其核心业务。
专业数据安全服务商: 数据安全为主业,产品围绕客户需求打造,既有面向等保合规为目的的传统数据库安全业务,也有以数据全域安全以及隐私合规保护的新兴数据安全业务。
三、国外数据安全企业分析
2018年GDPR正式实施,合规要求下海外数据安全厂商迎来前所未有的机遇,发展步伐加快。分析国外数据安全保护产品,可以看出数据安全服务商发展的四个思路。
1. 帮助客户全面掌握数据,了解个人隐私的合规风险
代表企业:BigID
BigID设立的初衷是在大数据时代为企业提供智能的数据分析方案,数据隐私保护仅为数据处理过程中一个亮点。随着GDPR正式实施,BigID先后获得Bessemer和Tiger的青睐。如今,BigID一边帮助企业落地GDPR合规,另一边逐渐转型,提供产品化、有安全内核的数据智能平台,强调企业对整体数据资产安全的把控。
2. 探测与防御API攻击的解决方案
代表企业:Salt Security
Salt Security由Ycombinator孵化,创始人是以色列国防军校友,从创立就致力于为SaaS、Web平台、移动端、微服务和物联网应用程序的核心API提供保护解决方案。Salt Security的策略是围绕API从开发到使用全生命周期打造数据安全解决方案,保证云和端所有通过API交互数据的安全。
3. 将AI技术应用于数据发现和数据处理
代表企业:Securiti.ai
Securiti于2018年成立于硅谷,由Symantec和Cisco的安全部门负责人创立,强调AI和数据安全结合,用AI+Data Security实现数据安全和合规流程自动化。
4. 针对用户个人隐私访问控制和合规处理
代表企业:OneTrust
OneTrust打造以合规为核心的新型数据安全产品,强调不同地区定制化数据安全政策合规。OneTrust创立初期推出帮助客户完成针对欧盟GDPR和加州CCPA的数据隐私管理服务平台,2018年为甲骨文、安联保险、万豪酒店等大型客户提供隐私、安全、第三方风险工具而为人所熟知。
发展中期,OneTrust丰富了其隐私管理平台上提供的工具和服务,并逐渐开始拓展研究各地不同的数据隐私条例。模块化的工具可以帮助不同客户配置不同的隐私管理平台,同时又可以达到标准化、大规模的交付。截至目前,OneTrust收购跨数据安全技术、合规、咨询服务共计9个公司,其下一步目标是拓展海外版图,帮助客户完成跨州和跨国满足各个地区法案的数据安全合规。
四、数据安全未来发展趋势
根据以上分析,我们可以总结出4个趋势:
1. 具有差异化服务能力的创业公司极具机会
网络安全是防守方,细分领域极多,任何一个点都有安全防护的需求和机会。因此从长期竞争格局来看,数据安全行业并非零和市场,更不会赢家通吃。大的安全厂商往往仅提供基础的安全服务能力,很难做到差异化,为有细分领域安全能力的公司提供了更大的发展空间。
2. 全链路数据安全重要性显著提升
数据安全不仅仅要围绕静态数据资产的保护,更重要的是针对整个数据流动过程中的各个环节提供一整套安全解决方案,不但要做好外部防护,更要做好内部数据安全访问控制。因此,除了针对单一环节的数据检测响应和防护策略外,企业还需要关注数据全生命周期的安全风险识别。
3. API安全管控引发关注
云原生时代,API成为服务交付的必选,API接口负责传输的数据量以及敏感性的增加,导致针对API的攻击变得越来越频繁和复杂,甚至成为不少公司的头号安全威胁。因此,企业亟需有效的解决方案对开放共享的数据核心资产提供保护。
通过对API访问风险及数据传输风险进行持续监测,全面评估业务系统、数据接口、数据分类的数据安全风险态势,面向API安全风险,可弥补API网关方案的不足。
4. 隐私计算将成为数据交换的基础设施
隐私计算旨在保护数据本身不对外泄露的前提下,实现数据分析计算。隐私计算可以使得跨企业间在完全合规的前提下进行数据协同。数据可以作为资产变现,同时不再泄露明文信息,保护企业资产。它的出现使得不分享数据、但分享数据的价值成为可能。
部分参考资料
[1] 赛迪白皮书《数据安全治理白皮书3.0》
[2]中华人民共和国国家标准《信息安全技术数据安全能力成熟度模型》
[3] 阿里研究院《数据安全能力建设实施指南》
[4] 华为云《华为云数据安全白皮书》
[5] 腾讯云《腾讯云安全白皮书》
[6] Michael Isbitski《API Secrutiy for Dummies》
本文来自微信公众号:云岫资本(ID:winsoulcapital),作者:助力科技创业者的