4月17號(hào)早上，宅宅起床后的第一件事，就是趕緊拿出手機(jī)看今年RSA的重頭戲---創(chuàng)新沙盒大賽的冠軍到底花落誰(shuí)家，這個(gè)比賽到底有牛氣，可以先看看雷鋒網(wǎng)此前的報(bào)道（點(diǎn)這里）。

沒(méi)錯(cuò)，就是這家你完全沒(méi)有聽(tīng)過(guò)的公司---BIGID，結(jié)果確實(shí)有點(diǎn)出乎意料，冠軍并不是很多人都看好的“Awake Security”，而是一家來(lái)自以色列特拉維夫的隱私數(shù)據(jù)保護(hù)公司 BigID，妥妥的“黑馬奪冠”。

這家成立于2016年的小公司，在成立當(dāng)年曾獲得 1610 萬(wàn)美元的融資，目前只有 16 名員工，在安全圈實(shí)屬默默無(wú)聞，而且，它所做的數(shù)據(jù)隱私保護(hù)，其實(shí)并不算傳統(tǒng)的安全領(lǐng)域，更像一家數(shù)據(jù)分析公司。

作為從1991年就開(kāi)始舉辦的老牌信息安全大會(huì) RSA，為啥會(huì)在關(guān)注度最高的“創(chuàng)新沙盒大賽”中，把冠軍頒給沒(méi)有名氣，而且跟傳統(tǒng)安全還沒(méi)啥關(guān)系的新人“BIGID”？

要找出背后的原因，不如我們先從這兩天正經(jīng)歷人生低谷的扎克伯克說(shuō)起。

站在風(fēng)口的 BigID

雖然大家對(duì)主打隱私數(shù)據(jù)保護(hù)的 BigID 奪冠有點(diǎn)意外，但仔細(xì)一想，其實(shí)也在情理之中。

先來(lái)看看 Facebook 因?yàn)閿?shù)據(jù)泄露丑聞?dòng)绊懀瑧?yīng)聲下跌的股價(jià)。

3月17日，由于“數(shù)據(jù)門(mén)”消息曝光，F(xiàn)acebook股價(jià)在隨后10天里下跌了18%，小扎不得不眼睜睜地看著500億美元在股市蒸發(fā)。

不僅如此，F(xiàn)acebook 很有可能還要面臨巨額罰款。

再往前推，雅虎、Equifax、uber……這些在數(shù)據(jù)泄露上栽過(guò)跟頭的巨頭真是一抓一大把。

這意味著，未來(lái)如果有隱私泄露的事件發(fā)生，企業(yè)是要損失很多真金白銀的。說(shuō)到這里，你也許就能明白為啥 BIGID 這樣的公司會(huì)得到關(guān)注了，這匹黑馬是站到了風(fēng)口！

不過(guò)，與各大公司的數(shù)據(jù)泄露事件比起來(lái)，馬上就要頒布的“GDPR ”（通用數(shù)據(jù)保護(hù)條例）可能才是 BIGID 奪冠的最大推手。

作為歐盟推出的旨在保護(hù)公民個(gè)人信息的法規(guī)，“GDPR ”即將在2018年5月25日生效，它對(duì)個(gè)人數(shù)據(jù)的收集和之后的存儲(chǔ)使用，提出了更高的透明度與管控要求。

比如，用戶(hù)將能夠訪問(wèn)被公司存儲(chǔ)的個(gè)人數(shù)據(jù)，并弄清它們被用于什么地方和什么目的；用戶(hù)對(duì)數(shù)據(jù)有遺忘的權(quán)利，可以要求任何控制自己數(shù)據(jù)的人刪除數(shù)據(jù)，并且可以阻止第三方去處理數(shù)據(jù)；允許用戶(hù)獲取他們自己的數(shù)據(jù)并將數(shù)據(jù)轉(zhuǎn)移給另一家不同的服務(wù)供應(yīng)商；應(yīng)用關(guān)鍵安全控制來(lái)恰當(dāng)?shù)貦z測(cè)、管理和緩解數(shù)據(jù)處理環(huán)境中的任何漏洞……

簡(jiǎn)單來(lái)說(shuō)，就是讓用戶(hù)更加明白自己的數(shù)據(jù)被用來(lái)干嘛了，而且一定要實(shí)現(xiàn)“我的數(shù)據(jù)我做主”，最重要的是一定要有對(duì)數(shù)據(jù)的安全管理措施！

這項(xiàng)法規(guī)落地后，將對(duì)包括Facebook和谷歌在內(nèi)的全球最大的科技公司產(chǎn)生深遠(yuǎn)的影響。對(duì)于違反GDPR法規(guī)的組織，將被處以最高年度全球營(yíng)業(yè)額4%或2000萬(wàn)歐元（約合2460萬(wàn)美元）的罰款，并且會(huì)在兩者中取較大的金額進(jìn)行處罰，可以說(shuō)是非常狠了。

那 BigID 可以干嘛呢？在其官網(wǎng)中，雷鋒網(wǎng)看到產(chǎn)品介紹的第一項(xiàng)就是，可以更好的應(yīng)對(duì)GDPR法規(guī)，滿(mǎn)足PI,PII（個(gè)人識(shí)別信息）等歐美合規(guī)要求，幫助企業(yè)更好的確保他們所擁有敏感數(shù)據(jù)的私密性，減少數(shù)據(jù)泄露，強(qiáng)化數(shù)據(jù)的合規(guī)保護(hù)。

大意就是說(shuō)，你們這些學(xué)生（facebook等）在下月就要給老師交作業(yè)了（GDPR下月生效），我可以協(xié)助你及格、打高分（對(duì)你所擁有的數(shù)據(jù)進(jìn)行分析整理和保護(hù)）。

“我們是數(shù)據(jù)的谷歌”

在 BigID 的 官網(wǎng)上，CEO Dimitri Sirota這樣介紹自己的公司：

想象我們是數(shù)據(jù)的谷歌，對(duì)數(shù)據(jù)進(jìn)行檢索歸類(lèi)。

那究竟是如何進(jìn)行檢索歸類(lèi)的？雷鋒網(wǎng)發(fā)現(xiàn)其官網(wǎng)有如下的介紹，觀數(shù)科技CEO李科對(duì)其具體業(yè)務(wù)進(jìn)行了闡釋。

1.數(shù)據(jù)最小化：通過(guò)重復(fù)發(fā)現(xiàn)和相關(guān)性確保數(shù)據(jù)最小化。

解讀：在龐雜的數(shù)據(jù)庫(kù)中，有很多數(shù)據(jù)是重復(fù)而雜亂的，它可以幫你找到需要保護(hù)的東西是什么，到底是一堆食物，還是一堆食物里面的水果，或者一堆水果里面的西瓜，最小化可以明確保護(hù)對(duì)象。

2.許可管理：證明個(gè)人數(shù)據(jù)收集得到了用戶(hù)的許可。 

解讀：GDPR 對(duì)于個(gè)人隱私數(shù)據(jù)的收集和使用過(guò)程的標(biāo)準(zhǔn)是非常嚴(yán)格的，許可管理其實(shí)就是一種對(duì)于數(shù)據(jù)的標(biāo)簽，哪些數(shù)據(jù)被收集和使用了，用戶(hù)是否授權(quán)，如何傳遞和保存這種授權(quán)，BigID 會(huì)讓這個(gè)過(guò)程符合GDPR 的要求，這也是整個(gè)法規(guī)的核心。

3.泄露提醒：遵守違反通告窗口 。

解讀：這個(gè)是在前兩項(xiàng)的基礎(chǔ)上操作的，如果沒(méi)被授權(quán)，而數(shù)據(jù)被訪問(wèn)或使用了，就會(huì)產(chǎn)生泄漏提醒。

4.數(shù)據(jù)主體權(quán)利：滿(mǎn)足客戶(hù)數(shù)據(jù)可攜性支持以及支持遺忘數(shù)據(jù)的權(quán)利 。

解讀：確保用戶(hù)對(duì)其數(shù)據(jù)銷(xiāo)毀的權(quán)利，即我如果不想被你搜集數(shù)據(jù)，要有合適的渠道讓我取消授權(quán)。

5.數(shù)據(jù)駐留：提供數(shù)據(jù)駐留風(fēng)險(xiǎn)的分析。

解讀：評(píng)估跨部門(mén)調(diào)用以后，這些數(shù)據(jù)在其他系統(tǒng)中被泄漏的風(fēng)險(xiǎn)。

簡(jiǎn)言之，BigID 主要是應(yīng)對(duì)GDPR、PI、PII等歐美合規(guī)要求，它通過(guò)使用數(shù)據(jù)沙盒技術(shù)，根據(jù)業(yè)務(wù)需求提取敏感數(shù)據(jù)進(jìn)行脫敏，形成敏數(shù)據(jù)脫敏庫(kù)。然后根據(jù)事先定義的需求結(jié)合原始數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，在數(shù)據(jù)不離開(kāi)原始環(huán)境的前提下形成一個(gè)閉環(huán)數(shù)據(jù)分析沙箱，由此來(lái)給出客戶(hù)建議。

這些數(shù)據(jù)分析的工作，難道其他的數(shù)據(jù)分析公司做不了么？

李科認(rèn)為，也可以做，但是這需要對(duì) GDPR 法規(guī)有比較全面的了解，知道法規(guī)有什么要求，然后才可以幫助用戶(hù)落地這個(gè)要求。但是目前的情況是，針對(duì)法規(guī)的各項(xiàng)要求，你是如何幫助受監(jiān)管的機(jī)構(gòu)有效地管控和保護(hù)隱私需求的，落地很難。

換言之，既熟悉法律法規(guī)，還對(duì)大數(shù)據(jù)熟悉，最后能夠形成一套可落地的技術(shù)方案的公司，能走到最后的很少，所以它獲得了評(píng)委的青睞。

它的奪冠其實(shí)也在情理之中

Gartner預(yù)測(cè)，在歐盟《一般數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱(chēng)GDPR）實(shí)施之日，半數(shù)以上受GDPR影響的企業(yè)將不能完全滿(mǎn)足其法規(guī)條例要求。這意味著，BigID 所提供的服務(wù)將會(huì)是市場(chǎng)非常需要的。

如果放在整個(gè)大安全的生態(tài)中看， BigID確實(shí)在某種程度上彌補(bǔ)了市場(chǎng)的空白。

安華金和的市場(chǎng)部經(jīng)理聞璐認(rèn)為， BigID與傳統(tǒng)的安全公司不同，長(zhǎng)處不在于如何應(yīng)對(duì)攻擊，它更多的是在對(duì)數(shù)據(jù)進(jìn)行整理和分析，重點(diǎn)在于發(fā)現(xiàn)各種類(lèi)別的敏感數(shù)據(jù)，只有先發(fā)現(xiàn)，才能談保護(hù)。

你首先得知道哪些是法規(guī)所規(guī)定的敏感數(shù)據(jù)，這些敏感數(shù)據(jù)又會(huì)分級(jí)別，哪些是一級(jí)敏感數(shù)據(jù)，哪些是二級(jí)敏感數(shù)據(jù)，你目前可調(diào)用的級(jí)別是一級(jí)還是二級(jí)，這是 BigID 要解決的問(wèn)題。

聞璐舉例，在銀行的各類(lèi)數(shù)據(jù)中， 姓名、電話、地址、身份證號(hào)、銀行卡號(hào)這幾個(gè)就是敏感度最高的數(shù)據(jù)，而交易流水等數(shù)據(jù)，就沒(méi)那么敏感。

聞璐推測(cè)未來(lái)這家公司的客戶(hù)不僅僅是Facebook 等這樣擁有數(shù)據(jù)的公司，未來(lái)也有可能服務(wù)于監(jiān)管機(jī)構(gòu)，后者也可能用它們的產(chǎn)品來(lái)判定這些公司是不是違規(guī)使用數(shù)據(jù)。

就如同要做一臺(tái)手術(shù)， BigID 所做的工作更多的是手術(shù)前給病人拍片子確認(rèn)問(wèn)題在哪里，應(yīng)該制定怎樣的手術(shù)方案才能解決這個(gè)問(wèn)題，這些方案在最后的手術(shù)中，將起到重要的作用。

雖然不是傳統(tǒng)的安全公司，但是它提供的服務(wù)確實(shí)是客戶(hù)所需要的，放在整個(gè)安全生態(tài)中來(lái)看，它解決的是第一步的問(wèn)題。相當(dāng)于打基礎(chǔ)， BigID 的奪冠確實(shí)也在情理之中。

未來(lái)，隨著GDPR的出臺(tái)，將會(huì)促使整個(gè)安全生態(tài)提供更加多樣化的服務(wù)，有些可能更擅長(zhǎng)于發(fā)現(xiàn)和整理，有些更擅長(zhǎng)于處于攻防對(duì)抗，即碰到黑客竊取數(shù)據(jù)如何應(yīng)對(duì)等，這樣才會(huì)讓整個(gè)生態(tài)更健康。

其實(shí)，縱觀近幾年的RSA創(chuàng)新沙盒大賽，提供更加多樣化安全服務(wù)的公司正在越來(lái)越受到青睞，它們不再局限于安全攻防本身，而向著更廣闊的方向發(fā)展。比如2016年的冠軍Phantom是自動(dòng)編排服務(wù)的供應(yīng)商，可以將企業(yè)現(xiàn)有的各種截然不同的安全產(chǎn)品整合為一個(gè)統(tǒng)一的可擴(kuò)展平臺(tái)；2017年奪魁的UnifyID則是一家提供身份認(rèn)證服務(wù)的供應(yīng)商，利用用戶(hù)行為識(shí)別技術(shù)去彌補(bǔ)傳統(tǒng)的登陸口令的不足。

安全的邊界在不斷拓展，而且門(mén)類(lèi)也越來(lái)越細(xì)致，說(shuō)不定明年，RSA的創(chuàng)新沙盒又會(huì)誕生一匹“黑馬冠軍”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。