4月17號早上，宅宅起床后的第一件事，就是趕緊拿出手機看今年RSA的重頭戲---創(chuàng)新沙盒大賽的冠軍到底花落誰家，這個比賽到底有牛氣，可以先看看雷鋒網(wǎng)此前的報道（點這里）。

沒錯，就是這家你完全沒有聽過的公司---BIGID，結果確實有點出乎意料，冠軍并不是很多人都看好的“Awake Security”，而是一家來自以色列特拉維夫的隱私數(shù)據(jù)保護公司 BigID，妥妥的“黑馬奪冠”。

這家成立于2016年的小公司，在成立當年曾獲得 1610 萬美元的融資，目前只有 16 名員工，在安全圈實屬默默無聞，而且，它所做的數(shù)據(jù)隱私保護，其實并不算傳統(tǒng)的安全領域，更像一家數(shù)據(jù)分析公司。

作為從1991年就開始舉辦的老牌信息安全大會 RSA，為啥會在關注度最高的“創(chuàng)新沙盒大賽”中，把冠軍頒給沒有名氣，而且跟傳統(tǒng)安全還沒啥關系的新人“BIGID”？

要找出背后的原因，不如我們先從這兩天正經(jīng)歷人生低谷的扎克伯克說起。

站在風口的 BigID

雖然大家對主打隱私數(shù)據(jù)保護的 BigID 奪冠有點意外，但仔細一想，其實也在情理之中。

先來看看 Facebook 因為數(shù)據(jù)泄露丑聞影響，應聲下跌的股價。

3月17日，由于“數(shù)據(jù)門”消息曝光，F(xiàn)acebook股價在隨后10天里下跌了18%，小扎不得不眼睜睜地看著500億美元在股市蒸發(fā)。

不僅如此，F(xiàn)acebook 很有可能還要面臨巨額罰款。

再往前推，雅虎、Equifax、uber……這些在數(shù)據(jù)泄露上栽過跟頭的巨頭真是一抓一大把。

這意味著，未來如果有隱私泄露的事件發(fā)生，企業(yè)是要損失很多真金白銀的。說到這里，你也許就能明白為啥 BIGID 這樣的公司會得到關注了，這匹黑馬是站到了風口！

不過，與各大公司的數(shù)據(jù)泄露事件比起來，馬上就要頒布的“GDPR ”（通用數(shù)據(jù)保護條例）可能才是 BIGID 奪冠的最大推手。

作為歐盟推出的旨在保護公民個人信息的法規(guī)，“GDPR ”即將在2018年5月25日生效，它對個人數(shù)據(jù)的收集和之后的存儲使用，提出了更高的透明度與管控要求。

比如，用戶將能夠訪問被公司存儲的個人數(shù)據(jù)，并弄清它們被用于什么地方和什么目的；用戶對數(shù)據(jù)有遺忘的權利，可以要求任何控制自己數(shù)據(jù)的人刪除數(shù)據(jù)，并且可以阻止第三方去處理數(shù)據(jù)；允許用戶獲取他們自己的數(shù)據(jù)并將數(shù)據(jù)轉移給另一家不同的服務供應商；應用關鍵安全控制來恰當?shù)貦z測、管理和緩解數(shù)據(jù)處理環(huán)境中的任何漏洞……

簡單來說，就是讓用戶更加明白自己的數(shù)據(jù)被用來干嘛了，而且一定要實現(xiàn)“我的數(shù)據(jù)我做主”，最重要的是一定要有對數(shù)據(jù)的安全管理措施！

這項法規(guī)落地后，將對包括Facebook和谷歌在內的全球最大的科技公司產(chǎn)生深遠的影響。對于違反GDPR法規(guī)的組織，將被處以最高年度全球營業(yè)額4%或2000萬歐元（約合2460萬美元）的罰款，并且會在兩者中取較大的金額進行處罰，可以說是非常狠了。

那 BigID 可以干嘛呢？在其官網(wǎng)中，雷鋒網(wǎng)看到產(chǎn)品介紹的第一項就是，可以更好的應對GDPR法規(guī)，滿足PI,PII（個人識別信息）等歐美合規(guī)要求，幫助企業(yè)更好的確保他們所擁有敏感數(shù)據(jù)的私密性，減少數(shù)據(jù)泄露，強化數(shù)據(jù)的合規(guī)保護。

大意就是說，你們這些學生（facebook等）在下月就要給老師交作業(yè)了（GDPR下月生效），我可以協(xié)助你及格、打高分（對你所擁有的數(shù)據(jù)進行分析整理和保護）。

“我們是數(shù)據(jù)的谷歌”

在 BigID 的 官網(wǎng)上，CEO Dimitri Sirota這樣介紹自己的公司：

想象我們是數(shù)據(jù)的谷歌，對數(shù)據(jù)進行檢索歸類。

那究竟是如何進行檢索歸類的？雷鋒網(wǎng)發(fā)現(xiàn)其官網(wǎng)有如下的介紹，觀數(shù)科技CEO李科對其具體業(yè)務進行了闡釋。

1.數(shù)據(jù)最小化：通過重復發(fā)現(xiàn)和相關性確保數(shù)據(jù)最小化。

解讀：在龐雜的數(shù)據(jù)庫中，有很多數(shù)據(jù)是重復而雜亂的，它可以幫你找到需要保護的東西是什么，到底是一堆食物，還是一堆食物里面的水果，或者一堆水果里面的西瓜，最小化可以明確保護對象。

2.許可管理：證明個人數(shù)據(jù)收集得到了用戶的許可。 

解讀：GDPR 對于個人隱私數(shù)據(jù)的收集和使用過程的標準是非常嚴格的，許可管理其實就是一種對于數(shù)據(jù)的標簽，哪些數(shù)據(jù)被收集和使用了，用戶是否授權，如何傳遞和保存這種授權，BigID 會讓這個過程符合GDPR 的要求，這也是整個法規(guī)的核心。

3.泄露提醒：遵守違反通告窗口 。

解讀：這個是在前兩項的基礎上操作的，如果沒被授權，而數(shù)據(jù)被訪問或使用了，就會產(chǎn)生泄漏提醒。

4.數(shù)據(jù)主體權利：滿足客戶數(shù)據(jù)可攜性支持以及支持遺忘數(shù)據(jù)的權利 。

解讀：確保用戶對其數(shù)據(jù)銷毀的權利，即我如果不想被你搜集數(shù)據(jù)，要有合適的渠道讓我取消授權。

5.數(shù)據(jù)駐留：提供數(shù)據(jù)駐留風險的分析。

解讀：評估跨部門調用以后，這些數(shù)據(jù)在其他系統(tǒng)中被泄漏的風險。

簡言之，BigID 主要是應對GDPR、PI、PII等歐美合規(guī)要求，它通過使用數(shù)據(jù)沙盒技術，根據(jù)業(yè)務需求提取敏感數(shù)據(jù)進行脫敏，形成敏數(shù)據(jù)脫敏庫。然后根據(jù)事先定義的需求結合原始數(shù)據(jù)進行關聯(lián)分析，在數(shù)據(jù)不離開原始環(huán)境的前提下形成一個閉環(huán)數(shù)據(jù)分析沙箱，由此來給出客戶建議。

這些數(shù)據(jù)分析的工作，難道其他的數(shù)據(jù)分析公司做不了么？

李科認為，也可以做，但是這需要對 GDPR 法規(guī)有比較全面的了解，知道法規(guī)有什么要求，然后才可以幫助用戶落地這個要求。但是目前的情況是，針對法規(guī)的各項要求，你是如何幫助受監(jiān)管的機構有效地管控和保護隱私需求的，落地很難。

換言之，既熟悉法律法規(guī)，還對大數(shù)據(jù)熟悉，最后能夠形成一套可落地的技術方案的公司，能走到最后的很少，所以它獲得了評委的青睞。

它的奪冠其實也在情理之中

Gartner預測，在歐盟《一般數(shù)據(jù)保護條例》（以下簡稱GDPR）實施之日，半數(shù)以上受GDPR影響的企業(yè)將不能完全滿足其法規(guī)條例要求。這意味著，BigID 所提供的服務將會是市場非常需要的。

如果放在整個大安全的生態(tài)中看， BigID確實在某種程度上彌補了市場的空白。

安華金和的市場部經(jīng)理聞璐認為， BigID與傳統(tǒng)的安全公司不同，長處不在于如何應對攻擊，它更多的是在對數(shù)據(jù)進行整理和分析，重點在于發(fā)現(xiàn)各種類別的敏感數(shù)據(jù)，只有先發(fā)現(xiàn)，才能談保護。

你首先得知道哪些是法規(guī)所規(guī)定的敏感數(shù)據(jù)，這些敏感數(shù)據(jù)又會分級別，哪些是一級敏感數(shù)據(jù)，哪些是二級敏感數(shù)據(jù)，你目前可調用的級別是一級還是二級，這是 BigID 要解決的問題。

聞璐舉例，在銀行的各類數(shù)據(jù)中， 姓名、電話、地址、身份證號、銀行卡號這幾個就是敏感度最高的數(shù)據(jù)，而交易流水等數(shù)據(jù)，就沒那么敏感。

聞璐推測未來這家公司的客戶不僅僅是Facebook 等這樣擁有數(shù)據(jù)的公司，未來也有可能服務于監(jiān)管機構，后者也可能用它們的產(chǎn)品來判定這些公司是不是違規(guī)使用數(shù)據(jù)。

就如同要做一臺手術， BigID 所做的工作更多的是手術前給病人拍片子確認問題在哪里，應該制定怎樣的手術方案才能解決這個問題，這些方案在最后的手術中，將起到重要的作用。

雖然不是傳統(tǒng)的安全公司，但是它提供的服務確實是客戶所需要的，放在整個安全生態(tài)中來看，它解決的是第一步的問題。相當于打基礎， BigID 的奪冠確實也在情理之中。

未來，隨著GDPR的出臺，將會促使整個安全生態(tài)提供更加多樣化的服務，有些可能更擅長于發(fā)現(xiàn)和整理，有些更擅長于處于攻防對抗，即碰到黑客竊取數(shù)據(jù)如何應對等，這樣才會讓整個生態(tài)更健康。

其實，縱觀近幾年的RSA創(chuàng)新沙盒大賽，提供更加多樣化安全服務的公司正在越來越受到青睞，它們不再局限于安全攻防本身，而向著更廣闊的方向發(fā)展。比如2016年的冠軍Phantom是自動編排服務的供應商，可以將企業(yè)現(xiàn)有的各種截然不同的安全產(chǎn)品整合為一個統(tǒng)一的可擴展平臺；2017年奪魁的UnifyID則是一家提供身份認證服務的供應商，利用用戶行為識別技術去彌補傳統(tǒng)的登陸口令的不足。

安全的邊界在不斷拓展，而且門類也越來越細致，說不定明年，RSA的創(chuàng)新沙盒又會誕生一匹“黑馬冠軍”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。