聚焦数据安全的初创公司天空卫士,最近入选Gartner《2018企业级数据泄漏防护市场指南》报告,成为该领域的全球代表性厂商,也是唯一一家入选报告的亚太地区安全公司。为什么天空卫士能够入选Gartner市场指南报告?DLP技术的现状应用与未来发展又是怎样?带着这些问题,安全牛采访了天空卫士联合创始人、CTO,陈少涵。
一、国内DLP技术已经领先
安全牛:作为数据安全领域的专家,您觉得用户的主要需求是什么?
陈少涵:具体说有很多,短时间内很难说全,我从最重要的方面来讲吧。首先是合规,再加上网络安全法出台,不合规不仅是罚款的问题,还要承担法律责任,这是很多大型互联网企业注重数据安全的原始驱动力。另一个是企业声誉下降带来的严重损失。例子已经很多,比如雅虎、Equifax等。然后还有知识产权、设计图纸的保护、企业内部商业机密、行业数据的保护等等。
安全牛:DLP(数据防泄漏)技术在国际上已经有了很长时间,但真正具备DLP技术落地能力的国内厂商非常少,作为这个领域的资深技术专家,你如何看待目前的DLP技术与应用现状?
陈少涵:这里是有一些技术门槛的。比如数据指纹,不只保护文档还可以保护数据库中的格式化数据。再比如内容分析,通过解压缩扫描内容然后进行算法分析,最后在网关上实施保护。这里要求的效率非常高,一定要高效率地算法才可做到实时处理。天空卫士在处理效率方面是全球最快的,已经超过国外厂商的三至五倍。
安全牛:是国外的应用场景不需要这么高的处理能力吗?否则国外的DLP厂商想提高产品性能,技术上也不难吧?
陈少涵:这也许算不上是技术上的难题,而是一个历史包袱的问题。因为如果要把性能提高数倍,延续以往的技术框架和算法是做不到的。比如说数据库,现在都用检索非常快的ES(Elastic Search)引擎,而传统DLP是不适配这个近几年才开始流行的新引擎的。天空卫士是这两年进入这个领域,目的就是想替代国内的国外DLP产品,从零开始自己写代码,因此没有历史包袱,可以将最新的技术框架和算法结合进来。
二、环境需求决定技术与产品的走向
安全牛:感觉还是国外的需求驱动力不够,除了国防级别的需求。
陈少涵:一般来讲,国内的信息安全技术落地要么就与国外不一样,要么就会晚上几年,DLP就类似于后者。前些年,市场主要还是以文档加解密为主,即使有些IT水平较高的企业也用的是国外的DLP产品。但最近几年我们看到,国内的企业需求,就像五年以前的北美市场,逐渐开始爆发。防止信息泄露,对于许多中、大型企业越来越至关重要。
需求虽然已经起来了,但由于种种原因与北美市场还是有一些不同。我以前在外企,做的产品面向全球的客户需求,这两年创业以来,我明显的体会到中国本土需求的独特性,意识到这一点是非常有价值的。
安全牛:非常认同。国外的Web安全网关,国内成了上网行为管理。IAM变成了4A和堡垒机,SOC成为态势感知才真正形成市场。这样的例子有很多。DLP的差异又在哪里呢?
陈少涵:你说的这些技术原理都是一样的,只是具体需求或说应用场景的不同产生了不同的落地。比如,国内各行业各地区都在做大数据平台,对来自不同终端、系统、不同部门、机构的各种数据,进行采集、处理和分析。这些数据一旦汇总到大数据平台,之前为了管控数据流动,如加密、访问权限等属性就会丢失,怎么办?只能根据数据内容进行管控。
但问题来了,对于国外产品来说,它面向的是全球,解决的都是通用的Email/HTTP/HTTPS等内容,很难针对中国客户的具体问题进行定制化的修改。但我们则针对本土需要有着自己的创新,通过数据指纹、机器学习等技术,针对内容进行策略匹配,然后打包成引擎,以 Web Service 接口的形式为大数据平台提供数据接入服务,做到与大数据平台的业务流程进行深度融合。这种数据不落地直接在云上对接的技术,在北美还没有看到。
安全牛:因为他们的大数据平台建设远不如国内现在如火如荼?
陈少涵:中国现在的大数据平台建设确实是百花齐放,国外的建设要慢一些。虽然它的大数据和云计算出现的比中国早,但却被大的科技巨头垄断,这些巨头都有自己的研发实力,能够形成自己的标准,反而压制了用户的个性需求。国内和国外不一样,每个行业、每个省、市都有自己的大数据平台,又没有很强的技术实力做自己的东西,所以主要依赖于安全提供商来做数据保护,这就要求安全提供商必须提供非常灵活的,能够和大数据平台内部业务流程轻松整合的数据安全方案,这是国内非常独特的特点之一。
以前国外的大的互联网公司或者云公司有足够的研发实力自己做一些因地制宜的数据安全措施,但是现在,随着欧盟GDPR的落地,这些大公司也开始为类似的问题头疼了,因为GDPR要求的非常细,他们的业务应用在处理数据时候不做相应的改变是不行的。数据从一个地方流转到另外一个地方,从内部各功能部门的流转,到流转到外部合作伙伴,每个流转环节都需要经历一道GDPR合规性检查。这里面的程序太繁杂了,甚至每一个国家的身份证号和PII(个人身份信息)都不一样。
别说普通互联网公司,就连谷歌、Facebook这类的应用科技巨头也一筹莫展。这些巨头不缺研发人员吧?但如果让他们哪些平时熟悉业务流程的应用开发团队来理解并搞定所有的GDPR需求和策略,也是极其困难的。
按照GDPR的合规要求,一个外部厂商不可能解决所有问题,一定要深度整合到内部业务流程对数据的流转、存储、和使用上。但是,怎样降低GDPR技术细节对内部应用开发团队的门槛、怎么让内部的业务流程更轻松地知道自己正在处理的数据是否违反了GDPR规定,这些是比较难的,因为要做到这些应用开发团队需要了解不同的国家的不同的数据格式、不同的数据流转要求,关键是即便了解了这些,没有一个整体的中心化的数据安全策略,意义也不大。
天空卫士DLP可以通过Web Services API的方式,只需要公司的数据安全部门制定统一的整体GDPR安全策略,而业务应用开发团队在不需要了解复杂的GDPR数据定义和GDPR策略的情况下,很容易地通过远程API的方式知道他们现在处理的这个数据是否合规,大大减轻了GDPR合规门槛,把GDPR的复杂性和细节限制在公司的数据安全部门里。
三、数据安全大脑需要创新型的连接
安全牛:让DLP技术更好的在企业落地,您认为应该怎样做呢?
陈少涵:一要有集中化的数据安全策略,二还要有方便的接口,然后才能判断并输送数据给下一个环节。这些东西很多公司还没有想到,也没有这样的产品。但天空卫士从前年就开始推出云上的API,因为我们在国内明显感觉了这些需求。后来发现需求还很大,于是又研发适配了本地的网关设备上。
安全牛:能否具体解释一下云上API的概念?
陈少涵:传统的DLP虽然可以保护业务数据、行业数据和个人隐私数据等,但是有一个局限,就是这些数据必需限制流转在自己本地的业务通道里。但现在大家都开始上云,传统DLP无法覆盖到云端。所以需要一种非常灵活的方式,即能用在云里也能用在本地,并且还要与客户的业务深入融合。
通过API的方式可以深度整合数据,把传统的数据防泄漏工具变成一个数据安全的指挥中心,一个数据安全的大脑,从企业高层往下把业务需求转变成具体的技术需求,然后向各个业务流程、数据区域发布数据的流转指令。做客户业务逻辑、业务流程的数据安全顾问,这样的话可以大大减轻客户内部各业务流程的负担,以腾出精力聚焦在自己业务逻辑的优化上。同时,在网络、终端或各种数据通道等地方部署轻量级的inspector,可以称为“检查员”,接收并执行“数据安全大脑”发来的指令。
安全牛:这种指挥中心的结构国外厂商也有吧?
陈少涵:有的,但还是老问题,并没有随着新的环境做出扩展,还是传统的Web\Email\Http,也没有API这种形式。而天空卫士目前已经把云和手机都做了。这样做的好处是形式比较多样,可以整合各种不同的客户需求。因为现在网络环境的复杂性,用户的不同分支机构、不同数据流转的每个环节,数据的传输通道可能都是不同的。
四、未来的DLP一定要与UEBA结合
安全牛:从技术路线来看,DLP今后的发展方向是怎样的?
陈少涵:与行为分析结合。我们已经投入了很大精力在这条路上。而且不仅仅是DLP,我们现在做的内部威胁保护(ITP)会覆盖更大的范围。单纯从DLP角度讲的话,下一代DLP是结合了UEBA(用户与实体行为分析)的DLP,可以提供更精细化的风险数值。通过用户风险分值动态调控DLP(数据防泄露)等设备防护策略,精细化策略粒度、提高检测精度、降低系统误报率并提高检出率。
再者,对于内部威胁来说,内部人员完全可以绕过DLP来盗窃数据,这时也需要UEBA来发现异常。DLP虽然可以翻译成“数据防泄漏”,但实际上DLP无需也从来都不能一劳永逸的解决企业数据防泄漏问题。因此,DLP的方向一定是结合行为分析的。当然,像EDR和CASB安全解决方案,也可以很好的与DLP进行结合。
安全牛:据我所知,UEBA还很不成熟,国外厂商落地的也很少。
陈少涵:是这样,天空卫士并不以UEBA为核心,只是利用UEBA得出的风险值作为DLP报警的参考,并不是使用它来做阻断。之所以目前UEBA很难落地,就是因为它的误报率还是很高。我们只是把UEBA得出的结果作为整个DLP系统的一个参考值,配合其他很多参考值之后才做决策。我们的UEBA并不需要百分之百精确,甚至60%、70%也行,我只需要把各种情况的概率综合起来,比如结合DLP的内容检测技术,最终做出判断。
五、创新、市场与沟通是入选Gartner的关键
安全牛:最近天空卫士的DLP入选了Gartner市场指南,在中国的初创安全公司中,能入选这个报告实属不易,请谈一下入选的主要因素有哪些?
陈少涵:首先是创新性。Gartner的分析师认为,天空卫士在数据泄漏防护这个领域的思想已经超过许多国外的厂商,具备创新性,尤其是与中国用户的业务结合非常好。现在的数据世界千变万化,必须要与时俱进,以前的DLP技术过于死板。
然后是在中国市场上的占有率。国内原来的大企业用户主要使用三家外企的DLP,而现在很大一部分正在被国内产品替代,而在未来几年绝大部分会被天空卫士替代。
安全牛:主要是国产化这个大背景的原因吧?
陈少涵:国产化肯定是一个原因,但也不仅于此。另一个很重要的原因,刚才也讲过。国外厂商并不愿意做一些适应中国用户需求的技术改动,一是习惯了标准化,二是中国市场占他们的全球份额太小。
最后,天空卫士包括创始人在内的许多员工都有外企的工作经历,有着国际技术背景、视野和共同语言,可以与分析师建立良好的沟通关系并取得共识,这一点也非常的重要。
安全牛评
由于安全的特殊性,政治文化和地理区域对网络安全的影响愈加明显。天空卫士及早的看到了这一趋势,得以在国内的市场上取得很大的商业优势。不仅如此,不断加大研发投入,并推出国际先进机构认可的创新技术,以及结合国内实际情况去落地等方面,都是天空卫士的优势所在
相关阅读
