全文共4280字,阅读大约需8分钟。
RSA Conference 2023将于旧金山时间4月24日正式启幕。作为全球网络安全行业创新风向标,一直以来,大会的Innovation Sandbox(创新沙盒)大赛不断为网络安全领域的初创企业提供着创新技术思维的展示平台。
近日,RSA Conference正式公布RSAC 2023创新沙盒竞赛的10名决赛入围者,分别为AnChain.AI、Astrix、Dazz、Endor Labs、Hidden Layer、Pangea、Relyance AI、SafeBase、Valence、Zama。
4月24日(美国旧金山时间),创新沙盒将决出本年度冠军,绿盟君在此立足背景介绍、产品特点、核心能力等,带大家走进入围十强厂商,洞悉创新发展趋势。今天,我们要介绍的厂商是Relyance AI。
公司介绍
Relyance AI公司于2020年在加利福尼亚州成立,是一家隐私和数据治理运营解决方案提供商,目前已在A轮和种子轮融资中共获得3000万美金[1]。Relyance AI的工具可以自动对客户的代码进行数据流和控制流分析,以便在业务实施前发现潜在的隐私和数据合规风险;同时,还能基于自然语言处理技术来扫描分析客户的隐私声明、与第三方合作方数据处理合同以及客户的隐私合规策略,确保实际的数据处理方式与以上文件中声明的方式相匹配,同时符合相关的法律法规。这种独特的方法改变了数据治理方案的规划、构建和实施方式,使客户能够将合规和数据治理与DevOps和业务运营同步进行。
图1 Relyance AI创始人团队
图1两人为Relyance AI创始人,目前两人均担任公司联合首席执行官[2]。图中左侧为Leila Golchehreh,是一位熟悉各国数据法规的数据保护专家,曾担任Workday和DPO的法律顾问,职业生涯大部分时间都在为不同的跨国公司规划数据治理方案,拥有丰富的数据保护与合规治理经验。图中右侧为Abhi Sharma,是一位热衷于科技创业并且精通编译器开发的机器学习专家,痴迷于将编译原理与机器学习相结合,从而可以自动提炼应用程序和机器学习模型中的数据类型、计算意图、调用关系和数据流,进而直观和简便地展示业务代码中的数据处理意图。
Leila在工作中发现,如果想要更好地规划数据治理方案,客户必须能够对自己的数据流有一个全面和实时性的洞察,这样才能评估内部以及合作方的数据处理活动。Abhi将Leila的发现和自己的经历联系起来,为了向客户直观、透明、清晰地展示客户业务中的数据处理活动,设计了一个通过代码审计实现的数据治理左移方案,于是专注于数据保护与合规的公司Relyance AI便顺势成立。
背景介绍
根据联合国贸易发展组织(UNCTAD)[3]截至2023年3月14日统计,全球80%的国家(共194个国家)完成了数据数据安全和隐私立法或者已经提出法律草案。随着数字化转型的不断推进与深入,数据安全与隐私问题越来越严峻,现代化的数据安全与隐私保护立法已成为全球趋势。
另外,根据GDPR的执法跟踪网站相关统计[4],截至2022年12月13日,欧盟成员国在2022年共开出428件罚单,罚单总金额已超过11亿欧元,欧盟已经进入全面和严格的GDPR执法阶段。从罚款的具体原因来看,违反数据处理的一般原则是主要的原因,包括透明性、最小化、用户同意等各项原则。
还有,绿盟科技在发布的《网络安全2023:新安全 新发展》[5]中提到,2022年全球数据泄露事件无论是事件数量还是单次泄露数据量级均达到历年顶峰。数据泄露事件轻则影响企业声誉,重则影响国家安全。
综上所述,企业在相关法律法规要求下开展数据保护与合规治理建设迫在眉睫。但数据的广泛性、分散性、多样性、复杂性等特点使得企业开展数据保护与合规治理建设困难重重,具体表现在以下几个方面:
-
最佳的数据保护与合规治理依赖于准确、精确、全面和实时的数据信息才能实现,缺乏合适的工具,这样的数据信息难以获取。
-
大多数应用程序的业务逻辑设计变化很快,代码开发过程也很快,可能无法准确理解企业的合规策略,由此产生的应用程序可能存在重大漏洞,进而导致数据泄露或个人信息处理不当。如何快速识别这类错误是企业当前面临的一大难题。
-
数据处理活动记录(Records of Processing Activities,ROPA)是开展数据保护与合规治理的基础,但是当前ROPA的生成大多依赖人工填表和手动收集,效率极地,极大影响企业开展数据保护与合规治理工作。
-
当前大的企业通常会与众多第三方签署合作协议,以便最大化释放所收集数据价值。然而,如何监督合作方是否按照协议处理数据是企业面临的另一大难题。
如果以上难题不能够得到解决,则企业很难开展有效的数据保护与合规治理建设工作。
产品核心功能及特色
Relyance AI使用机器学习构建动态、实时的数据清单和映射关系,以便客户可以监控收集的个人数据如何通过代码、应用程序、基础架构进行流动,以及如何流向合作方。
图2 Relyance AI方案架构
Relyance AI方案架构[6]如图2所示,Relyance AI平台首先对客户的基础设施、代码、数据处理涉及的合作方以及与合作方签署的协议进行自动化分析,为客户生成实时数据清单;然后,利用数据清单为客户提供服务,包括数据处理活动记录生成、内部服务分析、合作方数据处理生命周期管理、数据主体访问请求(Data Subject Access Requests,DSARs)响应、不同数据保护执法部门(Data Protection Authority,DPAs)所制定的法规分析;最后,通过机器学习实现自动化的数据合规与风险分析,并将分析结果向客户的法律顾问、代码工程师、IT运维人员、安全专家等相关人员进行反馈。Relyance AI平台更详细的功能和特色介绍如下:
实时数据清单和映射关系
Relyance AI集成了已有的基础设施监控工具,连接并分析客户的代码仓库、基础架构工具和第三方软件/插件API,自动跨内部API和第三方软件/插件清点数据资产,向下钻取、细化到某个部门、服务或第三方软件/插件的视图,以确定数据流位置,然后自动生成动态数据清单、映射数据流拓扑关系,而不必再依赖繁琐的人工统计分析,同时无需访问和存储客户敏感数据。
图3 Relyance AI的实时数据清单功能
数据主体访问请求管理
为了协助客户及时响应数据主体的访问请求,Relyance AI平台将人工智能和机器学习技术集成到“数据主体访问请求管理”模块中,并将该模块与平台中的“实时数据清单和映射关系”模块进行联动,形成了一个对客户来说可开箱即用的解决方案,帮助客户在符合相关数据保护法规的前提下响应用户的数据主体访问请求。数据主体访问请求管理模块可以在客户侧灵活配置,用于帮助客户自动化处理数据主体行使的数据权力。在收到数据主体的相关请求后,该模块在系统中自动检索,并为数据主体编辑、删除或导出相关数据。
数据保护评估
Relyance AI内置了数据保护评估模块,该模块可以实现隐私保护风险、数据保护风险、数据转移给第三方的风险以及数据主体合法权益等的评估,通过使用来自数据清单、数据流拓扑关系图、处理活动记录以及其他Relyance AI独有技术产生的最新情报数据,可以满足评估模型所需数据的70%。该模块依赖这些实时数据,可以自动创建并维护相关的评估活动,节省客户时间并大幅提高评估结果的准确性。
自动生成通用的数据处理活动记录
Relyance AI利用机器学习技术,可以在几个小时内为客户建立一个实时的数据资产地图和清单。另外,Relyance AI利用自然语言处理技术,可以对法律条文、合同文本中所规定的数据处理要求进行识别与分析,进而可以在无需人工干预的情况下,根据任意国家/地区的数据保护执法部门所要求的内容自动生成对应的数据处理活动记录,从而让客户可以快速发现隐藏的数据合规风险,自动化的处理流程还可以让客户将更多的精力放在制定数据治理规划上。
图4 生成通用的数据处理活动记录
此外,为了检测处理隐私数据的程序是否合规,Relyance AI还提供了程序相关信息的可视化,如子处理器、终止子句、处理的敏感数据类型、以及其他关键的隐私度量值。
图5 代码模块分析
智能检测和报警
智能检测报警模块利用自然语言处理技术,将耗时的文档梳理、分析过程自动化,能够向客户提供持续的数据合规管理和监控能力。同时可以发现客户潜在的一些安全合规问题,如客户的程序代码中使用了过时的框架,或数据传输流程遵循的是过时的《Standard Contractual Clauses》(简称SCC,是欧盟依据GDPR制定的欧盟和非欧盟国家之间数据传输的标准合同条款[7]),并依据风险值帮助隐私和合规团队快速确定整改工作的优先级。
图6 智能检测识别风险
持续自动化的合同和政策分析
Relyance AI集成了合同生命周期管理软件,可以不断地扫描企业/组织的合同和政策,然后找到与企业/组织的隐私合规治理计划相关的法律法规,同时将合同扫描结果、找到的相关法律法规与企业/组织的实际数据运营情况进行比较,然后提醒客户潜在的法律风险。
图7 自动分析合同文本
第三方数据处理、风险和生命周期管理
依据Relyance AI官网给出的消息,大约70%的数据泄露事件与第三方数据处理活动有关[6]。因此,Relyance AI的第三方数据生命周期管理模块可以跟踪和管理由合作方持有数据的整个生命周期,以确保客户的合作方按照合同约定处理客户数据。另外,该模块还可以自动生成和维护合作方的数据处理活动记录,同时还可以利用自然语言处理技术扫描客户与合作方签署的合同和协议,并公示合同和协议中涉及安全、合同终止以及数据处理活动记录的重要条款。
图8 第三方数据处理生命周期管理
将数据治理左移
Relyance AI平台提供了一个合规审查模块,客户只需在CI/CD管道中添加一行代码,该模块就会在客户的业务代码构建时以只读模式智能的对客户业务代码进行扫描,该模块可以分析出业务代码在处理哪些数据,以及数据如何在内部服务、微服务、数据库、仓库、分析工具和合作方之间流动。通过Relyance AI平台的合规审查模块,可以将客户的数据治理左移,使得客户在开发时就可以发现潜在的隐私和数据治理风险。
总结
数据安全与数据治理是近年RSA大会创新沙盒的热点,BigID和Securiti.ai分别拿到了2018年和2020年的冠军,2021年的Open Raven和2022年的Dasera也分别以解决客户云上数据安全与合规问题而闯入了决赛。这些企业的解决方案仅部分模块采用了机器学习技术,依然有不少功能依赖于手动工作流解决方案或需要过多的数据访问,并且无法实时分析应用程序如何处理个人敏感数据。
但是,与前述企业相比,Relyance AI的核心优势是大量采用人工智能和机器学习技术,快速实现时间、自动化、代码和合同集成以及智能洞察,可以在业务代码编写时分析出数据合规风险,实现客户数据治理左移;也是目前业内唯一一个提供代码级数据合规风险分析的数据安全厂商。
今年的RSAC创新沙盒决赛,Relyance AI能否一举夺魁,让我们翘首以待!
参考文献
[1] https://www.crunchbase.com/organization/relyance-48bb
[2] https://www.relyance.ai/company
[3] https://unctad.org/page/data-protection-and-privacy-legislation-worldwide
[4] https://www.enforcementtracker.com
[5] https://book.yunzhan365.com/tkgd/koui/mobile/index.html
[6] https://www.relyance.ai/platform
[7] https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
原文始发于微信公众号(绿盟科技研究通讯):RSA 2023创新沙盒盘点|Relyance AI:利用语义分析和代码审计实现数据治理左移