Bedrock Security 是一家专注于数据安全的公司,特别关注云计算和人工智能时代的数据安全。他们的使命是让企业在不损害安全的前提下,自信地应对数据增长。Bedrock Security 成立于 2022 年,由数据安全专家 Pranava Adduri 和 Ganesha Shanmuganathan 共同创立。Pranava曾在独角兽初创公司(Box 和 Rubrik)担任创始工程师;他曾经在亚马逊网络服务公司工作,将一个全新的产品线扩展到超过 2 亿美元。Pranava 热衷于帮助企业保护用户数据的安全。在 Rubrik 和 AWS 工作期间,Pranava 与财富 500 强企业的客户合作,建立了可靠、可扩展的数据保护和安全服务。他的解决方案帮助财富 500 强企业缓解了灾难性的勒索软件攻击。Shanmuganathan 拥有 Cohesity 和 VMware 的工程背景和 50 多项专利。他和Adduri共同开发了 Bedrock 平台。
2024年3月,Bedrock Security宣布获得由 Greylock领投的 1000万美元种子基金。Greylock 之前投资过Palo Alto Networks, Okta, Obsidian Security, Opal等网络安全公司。
图1 Bedrock 创始人 Pranava Adduri 和 Ganesha Shanmuganathan
为了适应竞争和市场需求,企业正在迅速采用云计算和GenAI 服务,这导致了数据的爆炸式增长,超过了当前数据安全的能力。为了应对日益增长的数据所带来的安全问题,企业需要不断进化与发展其数据安全能力。他们必须确保对这些海量数据能够准确识别,并在不妨碍业务运营的情况下保护这些数据的安全。快速增长的数据以及日益复杂的网络环境带来了三个数据安全挑战:
传统的数据安全无法应对今天的挑战
尽管数据呈指数爆炸式增长,但相对应的安全应对措施确是线性增长的——安全团队的规模无法根据数据量来增长。据 IDC 预测,到 2025 年,全球数据量将达到 175 ZB。一项调查显示[2],企业每月处理的数据量平均增长63%,其中 12% 的受访者报告数据量增长100%。与此同时,企业还面临着越来越多针对这些数据的网络威胁。
现有的传统安全工具并不是专门为分析和保护企业的数据使用而设计的。攻击发生的频率越来越高,攻击面也随着数据的增加而不断扩大。对于这些安全风险,有关数据安全的法规越来越多[3],要求受网络事件影响的公司必须在更短的时间内做出反应。由于种种原因(包括缺乏网络安全人才)[4],对应的响应可能不那么迅速。在识别和分类敏感数据上的延迟,会导致更长时间的恢复、修复、相应与问题解决(recovery, repair, respond, or resolve (MTTR))。
安全团队必须快速识别数据并对其进行分类,并尽可能加固数据,以确保数据的访问符合规定,没有权限过高的数据访问或数据暴露。同时,安全团队需要对违反政策的数据安全事件进行持续评估。数据访问的延迟会造成安全与其他业务线之间的摩擦(friction),不同的团队都希望能优先访问数据,这就导致各个团队争夺资源,同时数据安全的投入也更多。不断增长的数据需求对安全团队提出了新的挑战,可能会降低网络安全团队应对其他网络威胁和安全问题的能力。
包括数据安全态势管理 (DSPM) 在内的传统数据安全解决方案无法满足现代业务需求。传统的数据安全解决方案往往依赖于(不准确的)基于规则的数据分类,无法保证准确性和速度,同时无法应对大规模的数据。安全团队要花费大量时间更新规则以应对模式的变化。但效果往往不如意,因为动态数据使用会扰乱静态规则。
传统数据数据安全解决方案与Bedrock的对比
Bedrock Security 一直强调自己提供“frictionless无摩擦”式的数据安全产品/解决方案。那究竟怎么理解“frictionless无摩擦”呢?我们不妨从如下几个维度去定义:企业角度首席信息安全官在业务部门和董事会寻求数据的使用时,不再拖业务目标的后腿,也不必承担额外信息泄露风险。安全团队角度通过简化数据访问和保护,内部安全团队,包括安全中心、治理、风险合规团队可以无缝的协同工作。个人角度安全团队成员不必花大量经理在工单处理上;合规团队也无需开大量的会议,不会阻挡正常业务的执行;工程团队的成员工作量也较少,因为数据安全实现了简化。
图2 数据规模与安全资源间的“摩擦”
Bedrock 平台由数据人工智能推理(AIR)引擎提供支持,可持续发现、管理和保护敏感数据。AIR 可自动了解哪些数据对企业最为重要,从而使企业能够保护其最宝贵的资产,而不会减缓数据增长或阻碍利用数据加速业务成功。No.1Bedrock实现了数据的准确识别实现“frictionless无摩擦”式的数据安全的第一点就是要能够准确的对数据进行分类,并且提供数据关系可视化的能力。每个企业都会进行风险评估,以了解漏洞所在以及如何补救。这是满足合规要求的一部分,也是应对数据泄露的一部分工作。风险评估必须识别、评估和优先处理风险,包括与企业内数据存储、处理和传输相关的风险。对于许多企业来说,要在复杂的分布式数据环境中识别所有创建、修改和传输的数据是一项巨大的挑战。传统解决方案很难在这些云平台和第三方服务中保持可见性,从而导致数据发现和分类方面的漏洞,增加了风险。许多传统解决方案依赖静态规则(也称为正则表达式)来识别和分类数据,这不可避免地会遗漏任何不符合这些僵化规则的内容,从而导致大量数据无法识别和保护。使用“蛮力”遍历审查每一行文件以对数据进行分类的解决方案可以准确评估数据,但这一过程耗资巨大,需要数月才能完成,因此数据始终是陈旧的。简单地对一小部分数据进行采样会很快速,但不会对所有数据进行分类,从而使一些敏感信息容易受到影响。除此之外,传统解决方案很难识别非结构化数据并对其进行分类,也无法处理呈指数增长的数据,从而影响性能。
Bedrock 平台使用现有的 API 来发现结构化和非结构化数据集,提供全面的数据洞察,包括数据分类、脉络和数据映射、数据类型和上下文。Bedrock 可根据每个特定文件和数据存储的特点,动态地上下调整采样。例如,对于数据库等结构化数据集,Bedrock 可以对较小的样本进行分析,并以极高的概率判断数据库中存储的数据类型,从而准确、快速地对数据进行分类。对于非结构化数据,Bedrock 会使用更大的样本来了解它。如果 AIR 引擎在特定文件夹中识别出敏感数据,则会增加样本量,以确保识别出所有敏感数据并对其进行分类。根据数据类型和发现的内容调整扫描的能力加速了数据发现过程,确保了所有数据的准确性和可见性。
除了查找数据、对数据进行分类以及确定数据如何流动之外, Bedrock 使用大型语言模型 (LLM) 以及其他人工智能 (AI) 和机器学习 (ML) 方法来分析数据,并确定文件的数据类型、包含的内容以及文件的所有者。例如,银行在账户信息中使用客户的社会保障号,但同时也存储员工的社会保障号。虽然这些数据类型相同,但数据的用途和所有权却完全不同。AIR 引擎可帮助对数据进行适当的分类,并根据数据的业务目的协调想要设置的权限。
No.2Bedrock实现了数据安全与合规
对数据类型和用途进行准确的分类,使 Bedrock 平台能够根据每个数据量及其所含数据的敏感性生成风险和影响评分。该评级包括数据泄露后对业务的影响,帮助确定风险的优先级。传统解决方案提供的可视性不全面,难以统一执行安全策略或确保所有资产的合规性。AIR 引擎可识别所有数据并对其进行分类,然后根据数据的关键程度创建影响评分,告知哪些数据库和数据存储最需要保护。要有效地保护数据,还需要持续的安全评估,以便对不断变化的数据和威胁引起的异常活动进行实时数据检测和响应。Bedrock 平台可持续进行数据发现、分析和分类,使企业能够确保迅速处理任何违反安全或合规规定的行为。遵守监管要求固然重要,但确保遵守公司内部政策也同样重要。Bedrock 平台允许应用客户自己的策略和限制,然后对这些策略进行分析,以确保满足客户自己的数据安全要求。Bedrock 通过提供 “信任边界”(Trust Boundaries)来简化这一过程。这些边界提供了一种快速、自适应和自动化的方式,可以根据企业的重要业务来定义、提醒和控制数据违规行为。
Bedrock 的 “信任边界 “允许用自然语言编写策略,从而提供了一种轻松灵活的安全数据访问管理方式。AIR 引擎对数据的动态理解,使使用者无需担心如何定义每个数据分组,而只需关注如何使用这些数据以及谁可以访问这些数据。
No.3Bedrock减小了数据风险暴露面
Bedrock 平台以其快速、准确的风险分析能力为基础,能够了解数据,并管理策略和违规行为,从而最大限度地降低风险面。它能让企业深入了解环境中存在的问题,并就如何解决这些问题提出建议。Bedrock从以下三个方面降低的风险:
Bedrock 的 AIR 引擎可通过查找陈旧数据或幽灵数据将数据风险面降至最低,从而消除这些数据;还可评估身份访问的影响,以便根据最小权限原则进行权限设置,并对数据进行加固,从而将数据泄露的影响降至最低。能够访问敏感数据集的用户越多,攻击者入侵账户的途径就越多,最终会危及数据本身。Bedrock平台通过减少数据、最小化访问和加固数据来最大限度地降低这种风险,并在出现任何问题时轻松进行补救。
No.4Bedrock的架构Bedrock 有两个关键组件:一个是 Bedrock Outpost Analyzer,它通过基础架构即代码(infrastructure as code)的方式部署在客户的环境中;另一个是 Bedrock SaaS Platform,它通过 Bedrock 的 AIR Engine 采集元数据进行处理,并提供 Bedrock 的用户界面。Bedrock Outpost Analyzer
在客户的数据侧发现并对数据进行分类分级,只将元数据发送给Bedrock SaaS Platform。这意味着Bedrock不会获取客户的数据,保护了客户的隐私。例如数据库的某个字段名为“Passport Number”,Bedrock只会获取该字段的名字而不会获取真实的数值。
图3 Bedrock 产品架构
Serverless DiscoveryBedrock Outpost Analyzer使用客户已有的API对数据资产进行发现,支持结构化数据和非结构化数据。只需要简单的配置Bedrock,系统就可以自动化的完成剩余的工作。在整个过程中,数据始终没有出域。
AIR(人工智能推理引擎)
AIR是Bedrock的核心,它可以理解数据的真实含义以及数据的商业价值。AIR处理客户环境的元数据信息,对其进行分类,并从多个维度分析安全风险,并基于风险因素决定处理的优先级。
Remediation
对于AIR发现的安全事件与风险,Bedrock提供了对应的建议以及补救措施。使用Bedrock提供的API集成工具,用户可以一键应用这些补救措施,也可以生成对应的工单,工单内包含详细的指令告知如何解决这些安全问题。
Risk & Compliance Monitoring
Bedrock可以检测数百种违反安全规范的行为,包括不合理的配置、过大的权限配置等。Bedrock的信任边界(Bedrock Trust Boundary)可以帮助客户迅速的发现哪些数据是重要的,Bedrock系统保障数据的安全。对于生成式AI,Trust Boundary可以用来保护源和结果的敏感信息、核心知识产权信息等。
“frictionless无摩擦”式的安全团队协作
Bedrock可以帮助不同的团队高效地进行安全协作。安全团队可以获得到安全风险事件;合规团队可以获取合规分析报告,创建新的策略来应对评估和审计;治理团队可以基于用户、数据类型、数据来源和其它因素来创建数据访问策略。
在当今云计算和AI的时代,管理并保证数据的安全对企业至关重要。传统的数据安全解决方案,无法应对大规模、动态的数据,并且很难在云计算和AI环境中应用。企业必须采取数据安全措施,来高效、无缝的实现风险管理与补救。本篇文章介绍的Bedrock Security 通过AIR来实现快速、准确的风险评估;在数据不断更新增长的情况下,仍然可以保证企业高效、安全的管理数据。Bedrock的AIR提供了可视化的数据关联分析,帮助企业降低了攻击面。对Bedrock Security以及今年创新沙盒其它公司的分析我们不难发现,运用AI来解决数据安全问题成为了近些年的趋势。在后续的文章中,我们也将介绍利用AI来实现敏感数据的分级分类等技术。欢迎感兴趣的读者持续关注。
参考文献
[1] Bedrock Security Unveils the Industry’s First Frictionless Data Security Platform, Announces $10 Million in Seed Funding https://www.businesswire.com/news/home/20240326144629/en/Bedrock-Security-Unveils-the-Industry%E2%80%99s-First-Frictionless-Data-Security-Platform-Announces-10-Million-in-Seed-Funding
[2] The Impact of Data Growth on Enterprises https://www.dataversity.net/the-impact-of-data-growth-on-enterprises/
[3] Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure https://www.sec.gov/files/rules/final/2023/33-11216
[4] Amanda Steinman (2023) ISC2 Reveals Growth in Global Cybersecurity Workforce, But Record-Breaking Gap of 4 Million Cybersecurity Professionals Looms https://www.isc2.org/Insights/2023/10/ISC2-Reveals-Workforce-Growth-But-Record-Breaking-Gap-4-Million-Cybersecurity-Professionals