在这个数据安全漏洞不断的时代,数据丢失预防(DLP)非常流行数据泄露的时间表而且越来越聪明恶意软件攻击。自然,证券市场上的每个供应商都想从中分一杯羹。
但据前Gartner分析师、安全咨询公司Securosis创始人里奇•莫戈尔(Rich Mogull)称,在供应商争相抢占市场份额的过程中,一些令人不安的事情正在发生:企业购买的技术,一旦安装,并不能提供真正DLP的所有要素。
Mogull说:“DLP这个词已经变得毫无意义了,因为很多供应商都想说他们在提供DLP。Rich Mogull: 2009年7大信息安全趋势]。
DLP的真正定义一直有点模糊。Mogull将这个缩略词描述为一个用于营销目的的流行语。但在过去,要判断一家公司是否真的提供这种服务是很容易的。Mogull对DLP的定义大致是这样的:“通过深入的内容分析,产品可以最低限度地识别、监控和保护移动、静止和使用中的数据。”The tool identifies the content, monitors its usage and builds defenses around it.
有大量的供应商执行这些功能。但除非他们解决了上述定义中的所有问题,Mogull说这不是真正的DLP。
“加密和端点控制供应商称他们所做的是DLP,”他说。“防火墙完成了这个概念所需要的部分工作。所有这些工具在不同的安全领域都有帮助,但它们不是DLP。”
当然,如果一个供应商不能提供完全满足所有人要求的技术,这是很常见的解决办法是买下一个有他们需要的供应商然后把它放进生产线里。
通过收购Vontu,赛门铁克强行进入了DLP领域。Mogull认为Vontu是真正的DLP技术的早期领导者。同时,RSA收购了Tablus(现在是RSA数据丢失预防套件的一部分),而McAfee收购了Reconnex数据安全工具不容忽视)。然后是Websense收购PortAuthority Technologies和CA收购Orchestria。
Mogull说,还有一些独立的DLP供应商,包括Vericept和Code Green Networks。
还有一些供应商提供了DLP拼图的重要部分,但没有做所有必要的事情(至少按照Mogull的定义)来自称DLP提供商。
他说:“许多软件都有自己的用处,包括便携式设备控制供应商、USB拦截器等等。”“但他们不分析内容,所以从技术上讲,他们不是DLP。”
当然,像任何技术一样,对什么是真正的DLP的看法取决于你问谁。
科威特国家银行的信息安全官员Imran Minhas在他个人看来,DLP意味着防止机密、受限或内部使用的数据泄露。用户访问公共/个人电子邮件,如Hotmail和Yahoo,是这个领域的主要问题。
“我还没有看到所有的产品,但到目前为止,赛门铁克似乎是最好的DLP,主要是因为它的易用性,”Minhas说。
Wayne Proctor是First Data USA的CISO,他说他观察到DLP市场的主要趋势是供应商将监控内容从只监视输出流量扩展到监控其他数据源(主要是静态数据和端点数据)。
“我不认为这是扭曲DLP的意义,而是利用他们的内容评估引擎提供额外的服务,”他说。
Proctor补充说,一些DLP供应商提供的服务与泄漏无关,比如识别潜在的不满员工和正在下载未被公司网络批准使用的软件的人。
他说:“这些类型的附加服务当然超出了DLP的核心关注点,但只要DLP的核心服务的性能和有效性没有受到负面影响,提供这些增值服务也是不错的。”
那么,IT安全从业者在探索DLP选项时如何避免混淆呢?Mogull给出了这样的临别建议:
“我不在乎别人怎么称呼他们摆在我面前的东西。单词几乎可以代表任何东西。我强迫供应商具体地告诉我他们的产品是如何实现它的功能的。你说它能防止数据丢失?太好了。确切地告诉我怎么做。哦,你加密。哦,你监视传入的内容。好了。”
他说,问题在于供应商往往不希望客户确切知道产品是如何运作的。因此,提出探索性的问题是客户的责任。
这篇文章“给DLP供应商的安全分析师:注意你的语言”最初由方案 。