可执行摘要
本报告是与 Cyera 合作开展的独立分析成果,其支持使我们能够更深入地获取原始数据、客户访谈和技术简报。我们的共同目标是为安全领域领导者提供清晰、基于事实的洞察,呈现DLP的演进历程 —— 从难以应对云环境扩张和生成式 AI 风险的规则化网关,发展为融合DSPM与实时执行能力的现代化上下文感知平台。
核心要点
DLP领域正处于关键转折点;推动这一变化的因素包括敏感数据的指数级增长、数据泄露成本的上升以及云技术的快速普及。随着企业向混合办公模式转型且数字化转型加速,传统 DLP 工具往往因操作繁琐、存在数据孤岛且误报率高而难以跟上步伐。这种动态环境凸显了全行业对更智能、自适应解决方案的迫切需求 —— 这些方案需能在日益分布式的生态系统中无缝保护数据:
DLP的整体可寻址市场(TAM)正迅速扩张,预计未来几年内规模将达到数十亿美元。这一增长的推动力来自于监管压力的持续加剧、知识产权和个人可识别信息(PII)保护敏感度的提升,以及内部风险和复杂网络攻击等威胁的不断升级。能够通过强大且创新的 DLP 解决方案有效应对这些挑战的企业,已做好准备在这一广阔的市场机遇中获取显著收益。
生成式 AI 的兴起引入了新的复杂性与漏洞;企业中存在未受保护的 AI 提示词、意外数据泄露以及未被管理的影子 AI 使用等情况,这些都可能导致敏感信息暴露。这些生成式 AI 带来的风险,加上传统 DLP 工具无力应对的现状,形成了亟需通过创新手段立即关注的安全缺口。企业必须优先整合智能、自适应技术,以主动检测并防止生成式 AI 环境中的敏感数据泄露。
从历史来看,DLP领域已涌现出重要的行业领导者与创新成果,早期入局者如赛门铁克(Symantec)、Forcepoint 和迈克菲(McAfee)曾塑造了该领域的基础解决方案。然而,传统方案依赖静态策略、数据孤岛式的可视性以及重度代理部署,在应对现代威胁和数字化工作流时已显乏力。DLP 创新的下一阶段需要变革性思路 —— 从被动响应的规则化方案,转向具备主动防御能力、上下文感知与智能分析的框架体系。
Cyera 的 Omni DLP 作为变革性智能层应运而生。
借助先进 AI 技术重塑数据保护,提供上下文驱动的可视化能力,大幅降低误报率,并在多元环境中实现一致的策略编排。Cyera 并非取代现有基础设施,而是通过无缝集成增强防护效能、加速部署进程,同时显著降低运营开销。这种以智能为驱动的方案代表着重大进步,使企业能够以更高的精准度、敏捷性和弹性,应对当下复杂的数据安全格局。
DLP计划的目标
DLP的核心目标是防止知识产权、个人数据或财务记录等敏感信息在未经许可的情况下脱离组织控制,涵盖防范意外泄露、内部威胁和网络攻击等场景。
DLP 解决方案可防止企业数据泄露及数据意外传输或丢失。其基于动态内容与上下文策略实施,能够对本地和云环境中的静态数据及传输中数据提供可视性,并进行上下文分析。底层技术利用数据分类标签和内容检测技术,识别敏感内容并分析与数据使用相关的行为。DLP 还可帮助企业遵守法规(如 GDPR),让企业了解数据的存储位置和使用方式,最终降低数据泄露的风险和成本。其工作原理是通过识别、分类和监控敏感数据,来执行针对未经授权访问和共享的规则。
DLP的紧迫需求与发展趋势暴露的现存短板
企业在构建高效DLP计划时面临挑战,原因在于难以理解数据及其流动的上下文环境。YL Venture 的调查显示,根据 Forrester《数据安全现状》报告(2024 年 7 月),83% 的企业当前使用端点 DLP,但仅有 13% 全面部署了云环境下的数据安全能力。这一差距,叠加日益增长的隐私与合规要求,使得下一代 DLP 解决方案成为未来安全策略的关键组成部分。
与此同时,企业当前处理的数据量和类型已呈爆发式增长。根据对超过 218 位CISO的洞察,2025 年企业正加大预算,将数据安全(包括 DLP)纳入优先规划。数据显示,DLP重新成为焦点:近半数数据安全项目涉及 DLP。这种重新燃起的关注不仅关乎合规性,还源于人工智能为大规模提升数据分类能力带来的机遇。尽管数据安全态势管理作为独立类别似乎逐渐式微,但密钥管理、数据保险库和令牌化等技术在调研中均被列为重点项目。
60% 的组织对自身检测和响应数据暴露的能力缺乏信心。这种状况正促使安全团队重新评估和调整面向 AI 时代的数据安全策略,越来越多地考虑利用 AI 进行数据保护。业界逐渐形成共识:静态策略和基于正则表达式的检测已不再奏效。团队需要具备学习、适应和实时操作能力的工具。
许多组织试图通过预先识别和保护 AI 应用来管理 AI 风险,但这种方法难以持续。随着 AI 几乎融入所有应用(如 Zoom 现已集成 AI 功能),仅孤立保护特定 AI 工具已不现实。数据安全需要适应 AI 无处不在的世界,而非将其分割开来。当每个工具都具备 AI 能力时,你无法仅保护 “AI 工具” 本身。
数据盘点与发现中最常用的方法包括数据备份与恢复(46%)和DLP解决方案(45%)。尽管这些工具在保护和恢复数据方面发挥关键作用,但它们往往独立运行,导致数据孤岛,限制了组织内的可视性和协同性。而且,缺乏共享的上下文环境时,即便设计完善的工具也难以提供有价值的洞察。
此外,根据 Cyera 嘉宾发言,多数组织已部署多种具备DLP能力的工具,通常达 6 种或更多。近期一项研究补充表明,94% 的组织至少使用两种 DLP 工具,平均数量超过三种。在许多情况下,组织甚至不清楚这些现有工具的全部功能范围。工具的过度堆砌导致了复杂性与低效性,不仅产生大量管理开销,还会引发警报疲劳问题。
DLP 的历史性挑战
高误报率
传统DLP解决方案面临的最重大挑战之一,是居高不下的误报率 —— 在某些情况下甚至可达 90%。这些误报大量消耗安全团队的资源和精力,导致真正的安全事件在海量噪音中被忽视。该问题的根源在于依赖基于静态模式的检测方法(如正则表达式),这类方法无法准确识别上下文细节差异,难以区分良性操作与真实威胁。。
静态且非自适应的策略执行
从历史来看,DLP技术严重依赖预定义的静态规则和正则表达式来检测敏感数据。这类静态策略缺乏适应性,难以跟上动态的业务流程和不断演变的威胁格局。由于缺乏自适应能力或上下文感知功能,策略会迅速过时,进而导致覆盖漏洞、风险暴露增加,以及因持续手动调整而产生的运营低效问题。
多环境下的可见性割裂
传统DLP工具往往孤立运行,造成显著的可视性缺口。企业通常针对 SaaS 应用、CASB平台、电子邮件、端点、网络流量、API 及本地基础设施,部署多个孤立的解决方案。这种碎片化的方式使安全团队无法获得数据全景的统一视图,极大地复杂化了数据保护策略的持续执行,以及对威胁的快速响应工作。
新兴生成式 AI 技术带来的挑战
生成式 AI 技术的快速普及为敏感数据暴露开辟了新途径。相关风险包括:通过提示词意外泄露数据、因大型语言模型(LLM)数据摄入导致的知识产权漏洞、未受管理的影子 AI 工具使用,以及针对生成式 AI 滥用的防护不足等。传统DLP工具设计时并未考虑这些新兴风险,因此在有效检测和管理此类复杂场景方面能力欠缺。
耗时且资源密集的部署过程
部署传统DLP解决方案通常需要大量时间和专用资源,周期往往长达数周或数月。该过程涉及策略管理、调优、验证及持续维护等大量手动工作。因此,企业必须分配专职人员仅负责 DLP 维护,这不仅降低了响应敏捷性、增加了运营开销,还延长了价值实现周期。
基于代理模式产生的运营开销
基于代理的 DLP 部署从历史来看会带来相当大的运营负担,包括可能持续数年的漫长实施周期。这些代理程序常导致显著的系统性能下降,进而增加用户接受难度并影响整体生产力。此类运营复杂性使得组织难以充分利用 DLP 功能,最终导致敏感数据未能得到充分保护。
对现代威胁媒介的防护效果有限
传统DLP解决方案常难以应对现代威胁,如勒索软件、高级数据渗出技术、生成式 AI 被滥用,以及来自机器人和服务账户等非人类身份的自动化威胁。此外,许多传统 DLP 产品缺乏有效管理基于 API 的集成能力,也无法监控 Slack、Microsoft Teams 和 Office 365 等协作平台中的自动化机器人活动,使企业在面对利用这些现代数字渠道的复杂威胁时暴露风险。
缺乏DSPM上下文
有效的数据保护从根本上需要对底层业务上下文有深入理解。数据敏感性定义应保持一致,不受平台或环境的影响,同时还需适应上下文的变化,例如用户所在位置、设备管理状态或角色变更等情况。采用统一核心规则并适配特定上下文的分布式策略执行,对于在不同环境中维持一致性至关重要。
同样关键的是数据治理和架构的基础质量。若缺乏结构化数据、全面的标签体系、清晰的所有权归属及访问控制,DLP工具将无法准确识别数据敏感性或风险,进而导致决策失误和防护失效。因此,安全团队必须深度融入数据治理工作,借助明确定义的数据结构和生命周期管理实践。从根本而言,成功的 DLP 计划建立在有意设计的数据架构、全面的治理模型,以及安全团队、数据所有者和治理相关方的协同努力之上。
行业如何解决数据泄露问题:DLP方案分类。
传统 DLP
企业DLP解决方案是全面独立的平台,专门设计用于保护组织整个基础设施中的敏感数据。这些强大的工具通常提供集中式管理、先进的数据发现和分类功能,以及跨多种数据泄露渠道的广泛策略控制 —— 例如电子邮件、终端、网络流量、云应用和本地存储库。企业 DLP 系统旨在提供精细的检测机制,使企业能够执行详细的安全策略并遵守复杂的法规要求。然而,传统上它们需要大量投资、复杂的实施流程,以及专门的团队来有效管理和微调。
这些解决方案可跨多种常见数据泄露渠道提供集中式策略管理和报告功能,涵盖电子邮件、终端、网络、浏览器及云环境等。企业级DLP(EDLP)平台旨在实现多渠道策略的统一定义、部署与告警监控。部分代表性厂商包括:赛门铁克 DLP(博通旗下)、Forcepoint DLP,以及迈克菲 DLP(Trellix旗下)。
嵌入式数据防泄漏(EDLP)
集成式DLP(Integrated DLP)指的是嵌入在更广泛的安全或生产力平台中的 DLP 功能,而非独立解决方案。这些集成或融合型方案将数据保护作为另一核心产品的组成部分,例如安全电子邮件网关(SEG)、终端保护平台(EPP)、安全服务边缘(SSE)或CASB。尽管从历史来看,其覆盖范围较企业级解决方案更窄,但集成式 DLP 近年来已显著提升。它们通常能为常见用例提供足够的覆盖和控制,如电子邮件保护、终端数据泄露防护和基础云数据保护。这类方案的优势在于实施流程简化、总体拥有成本(TCO)通常更低,且能在现有安全栈内实现更便捷的管理。
集成式DLP(IDLP)是指原生嵌入在其他广义安全解决方案中的 DLP 功能,例如安全电子邮件网关(SEGs)、终端保护平台(EPPs)或安全服务边缘(SSE)平台。从历史来看,IDLP 解决方案的渠道覆盖范围更窄,通常局限于一两个渠道,且其功能相比企业级 DLP(EDLP)也不够强大。
子类别
1.面向网络(SEG、SWG、SSE)的DLP:将 DLP 功能集成到安全 Web 网关(SWG)、安全电子邮件网关(SEG)和安全服务边缘(SSE)等网络安全工具中。
2.SaaS DLP:旨在保护SaaS应用中的数据,提供对云环境中数据的可见性和控制权。
3.终端防护DLP→ 在端点检测与响应(EDR)或端点保护平台(EPP)中嵌入 DLP 功能,专注于设备级别的数据保护。
示例供应商:
微软 Purview(Office 365 和 Defender 中的 DLP功能)
Proofpoint(嵌入式电子邮件 DLP)
Zscaler(集成于 SSE 的 DLP 功能)
思科安全终端(端点DLP)
云优先与基于现代 API 的 DLP
云原生DLP解决方案专为云环境设计,主要以SaaS形式交付。这类解决方案借助 API 和原生集成,保护基于云的应用和服务中的数据,例如 SaaS 生产力工具、云存储和基础设施即服务(IaaS)平台。云原生 DLP 产品专注于直接在云应用中发现、分类和保护数据,应对现代安全挑战,如未经授权的数据共享、配置错误、影子 IT,以及协作和生成式 AI 平台中的数据滥用等问题。不同于传统 DLP,云原生解决方案具备部署快速、扩展便捷、运营开销更低的特点,且能更好地契合敏捷的云优先 IT 策略。代表性厂商包括 Cyera Omni DLP(AI 驱动的云原生解决方案)、Netskope Intelligent SSE – Cloud DLP 以及 Nightfall AI。
下一代 AI DLP 智能层(Cyera Omni DLP)
Cyera Omni DLP
Cyera Omni DLP 是 Cyera 数据安全平台的组成部分,属于 AI 原生的DLP解决方案,充当组织数据安全栈的统一智能层。它作为 AI 优先的 “策略大脑”,部署在客户已有的数据执行工具之上。该方案接入 Cyera 自身由 DSPM 驱动的分类引擎(“数据 DNA”)和身份上下文,随后在事件通过电子邮件、Web、SaaS、终端或 AI 渠道(如 Microsoft Copilot 和 ChatGPT)时对每个事件重新评分。。
Cyera 通过与现有 DLP 及安全工具的 API 集成来部署 Omni DLP,这些工具作为控制点,并利用浏览器扩展、邮件网关或终端 / 内核代理实现功能。。
该系统从过往告警中学习,并通过 A/B 测试持续优化策略建议。Cyera 称此举可将噪音减少达 95%,且无需团队手动调整规则。
历史与背景
在 Cyera 发布 Omni DLP 之前,该公司于 2024 年 10 月以约 1.62 亿美元收购了位于特拉维夫的 Trail Security,押注于实时动态数据控制技术。
Trail 公司此前大多处于秘密运营状态,但其创始人(以色列精英科技项目 Talpiot 的毕业生)已打造出 AI 原生的 DLP 引擎,能够检测实时数据流、关联用户上下文,并在测试环境中抑制超过 90% 的误报。从 Cyera 的角度看,Trail 填补了其平台最大的功能缺口。在此之前,Cyera 的优势在于静态数据智能:即无代理的 DSPM 层,可高精度发现并分类云与 SaaS 环境中的敏感资产。而 Trail 带来的是动态数据缺失的 “控制平面” 能力:包括策略创建、提示词检测、AI 驱动的异常评分,以及与电子邮件、SaaS、SSE 和终端渠道的执行挂钩能力。
通过将 Trail 的DLP 核心能力与 Cyera 的分类图谱相融合,这一整合后的平台能够在单一工作流程中回答首席信息安全官(CISO)长期以来关注的两大核心问题:我拥有哪些数据,以及能否阻止这些数据通过生成式 AI 工具外流。
此次整合进展迅速。在收购完成后的六个月内,Cyera 将 Trail 的引擎产品化为 Omni DLP,并借助 Trail 的大语言模型(LLM)推理层自动调优 Microsoft Purview、Zscaler、Netskope 等现有 DLP 控件,同时为 AI 提示词和浏览器上传新增了 inline 防护功能。Trail 的收购解释了为何 Omni DLP 并非简单的附加功能,而是作为 Cyera 数据安全平台的集成支柱存在:Trail 提供了实时执行能力,而 Cyera 则带来了数据智能与身份上下文。两者结合支撑起统一的 AI 原生 DLP 方案,即如今市场所认可的 Omni DLP。
新型架构模型
AI 原生控制
这种架构带来了多项显著差异化优势。首先,Cyera 掌控着数据安全的两大核心环节:通过 DSPM 实现静态数据发现,以及借助 Omni DLP 完成动态数据控制。这意味着安全策略能够继承精确到列级别的数据分类,而非依赖通用正则表达式或 “信用卡” 等泛化字符串匹配规则。
需要注意的是,Cyera 提供的 “学习分类” 是基于生成式 AI(GenAI)的分类方式,能够针对特定客户的环境生成独特分类。在客户环境中发现的所有分类类别里,这类基于 GenAI 的分类通常占比约 20%-40%。。
其次,Omni 核心的大语言模型能够解析完整的有效负载(包括与大语言模型的提示 - 响应交互流),并以通俗语言解释其决策逻辑 —— 这是大多数传统安全栈所缺乏的功能,对赢得业务用户信任至关重要。第三,Omni 旨在与现有基础设施(如 Microsoft Purview 或 SSE 平台)集成,避免 “拆除重建” 的部署模式,而是将现有许可证转化为更智能的执行渠道。
统一风险视图
Cyera Omni DLP 为数据的三种状态(动态、静态和使用中)提供统一保护。这种全方位覆盖范围涵盖文件、应用程序、各类云环境,以及涉及 Microsoft Copilot 和 ChatGPT 等 AI 工具的特定解决方案。它属于 “AI 大脑 DLP”,能够自适应地检测和监控数据、用户行为及环境变化的实时动态,从而持续保持低误报率和高准确性。该平台提供动态数据的统一 360 度视图,使组织能够按渠道、严重程度和类别全面评估数据风险。同时,它还提供可操作的洞察,支持根据风险用户、高风险目标和活动时效性等因素,对关键告警进行优先级排序。
现代DLP解决方案的评估标准
Cyera 的方案超越了传统的动态数据 DLP,通过提供涵盖数据三大关键状态(静态、动态和使用中)的真正整体性保护模型,实现了对数据的全面防护。这种全方位覆盖是通过DSPM与DLP的协同集成来达成的。
相较于传统DLP的局限性,Cyera Omni DLP 的以下核心能力给我们留下了深刻印象:
AI 驱动的告警优先级排序:Cyera 借助人工智能帮助安全团队过滤冗余信息,仅对最关键的告警进行优先级排序。这大幅减轻了 “告警疲劳” 带来的负担,使安全人员能够将精力集中在真正重要的事件上。
生成式 AI 可视性与防护能力:Omni DLP 提供对生成式 AI 工具的全面可视性,覆盖从初始提示词到 AI 响应的全数据交互过程。它能检测违反策略的数据,并通过集成 Active Directory(AD)和人力资源信息系统(HRIS)等来源的关键上下文信息,丰富数据违规场景的背景信息,从而加速事件的分类与处置流程。
AI 驱动的策略管理:系统持续分析告警趋势、用户行为及历史数据,智能推荐、测试并部署高精度、风险感知策略。这些策略能动态适应不断变化的环境,在确保防护的同时避免意外产生新的安全漏洞。系统还具备详尽的告警分析功能——该特性同样体现在对每一条告警的处理上。当检测到潜在数据泄露事件时,Cyera Omni DLP 会为其分配严重性等级,并提供由 AI 生成的深度分析报告,包括清晰标注触发原因、发生时间、责任人、目标位置及威胁等级,通常还附有简明摘要和相关告警信息以提升调查效率。
自动化规则创建:Omni DLP 的 AI 技术突破了传统依赖复杂正则表达式(regex)的繁琐且往往不准确的局限,通过学习准确识别企业特有的敏感数据(利用其 DSPM 上下文)。随后,系统会自动生成与现有执行工具原生兼容的检测规则——这意味着这些规则会被转换为每个 DLP 控制点自身的策略语言,实现内联执行。随着每次告警的触发,AI 持续学习、调整并优化这些策略,大幅减少了人工微调的工作量。这种以数据为核心的 DNA 特性,使其能够轻松分解触发告警的要素,评估其固有风险等级,并判断是否属于误报。这种细粒度分析赋能安全团队做出基于数据的可靠决策,彻底消除猜测环节。
主动式内部威胁检测:该解决方案擅长识别内部数据外泄的早期迹象。通过分析企业 DLP 或安全控制中的行为模式、访问模式和数据敏感度,使安全团队能够在风险升级为全面泄露事件前,有效区分常规工作与正在形成的威胁。
降低部署与管理难度:与传统解决方案相比,Cyera Omni DLP 能更快实现价值回报。它尽可能利用 API 集成和现有基础设施,最大限度减少对新代理程序或硬件的需求。其统一控制台和智能自动化显著降低了持续管理负担(更少的控制台、更少的待处理工单以及简化的策略工作流)。这种易于部署和使用的特性是极具竞争力的卖点,尤其适合无力承担大规模 DLP 改造项目的精简安全团队。
智能告警与上下文分析:该服务可向安全管理员发出潜在数据泄露事件警报,并按严重程度进行分级。其 AI 引擎为每条告警提供详细分析,说明触发原因、发生时间、操作人员、目标去向及严重等级,同时生成清晰的事件摘要,并为数据安全团队标记相关关联告警。
基于 API 的人工智能集成:新一代解决方案专门针对基于 API 的人工智能集成以及 Slack 和 Office 365 等平台中的机器人应用,确保在现代工作环境中实现全面覆盖。
Cyera 可集成到现有环境中,无需新增服务器、代理或造成业务中断。其快速 API 连接支持在数分钟内完成快速部署,助力跨组织现有 DLP 栈的策略编排。
DLP的未来预测
AI 与 ML 增强检测作为智能防护层
传统DLP依赖正则表达式和静态字典,这在处理格式复杂的业务文档或新型混淆策略时容易误判。现代平台则在这一基础上嫁接了由机器学习分类器、自然语言模型和图分析构成的智能层。监督学习模型能够学习敏感数据(如合同、设计规格、并购简报)的语义特征,因此可以识别部分摘录、改述文本或屏幕截图 —— 这些内容可能会绕过正则表达式检测。
无监督异常检测引擎会为每个 “用户 - 数据 - 渠道” 组合建立行为基线,并识别出表明内部人员数据外泄或凭证遭窃的异常偏差。关键在于,这些 AI 引擎形成了持续的反馈循环:分析师对告警进行标记,模型据此重新校准,从而在提升检测召回率的同时降低误报率。若部署得当,机器学习层还能充当编排枢纽,通过整合来自 DSPM(数据安全态势管理)、IAM(身份与访问管理)和 UEBA(用户和实体行为分析)系统的上下文信息来丰富 DLP 告警内容,使安全团队看到的是单一的优先级队列,而非数千条嘈杂的事件。
AI 驱动的生成式 AI 风险DLP
生成式 AI 平台(无论是 ChatGPT 这类公共服务,还是嵌入 SaaS 的企业 copilots)构成了双向风险通道:敏感数据可能流入提示词,而专有模型输出也可能反向泄露。AI DLP 层需在三个环节监控这种交互:
(a)在请求离开用户设备前进行提示词检测,标记或删除个人身份信息(PII)、受监管数据或源代码;
(b)通过模型内遥测跟踪大语言模型(LLM)的输入内容及存储 / 缓存方式;
(c)对响应结果进行后分析,验证是否有敏感信息被回传或存储在非安全链接中。
影子 AI 使用可通过关联浏览器遥测、SaaS 审计日志及费用 / 采购系统来发现,以揭示未经审批的工具和恶意 API 令牌。要想有效,该解决方案需要细粒度策略(例如 “允许向 ChatGPT 发送匿名财务指标,但阻止客户账号”),并搭配动态风险评分 —— 当用户突然开始导出大量训练集时,系统会收紧控制。
由于 AI 功能已嵌入各类生产力套件,这种能力必须超越单一聊天机器人场景:检测与控制逻辑需跟随用户身份和数据本身,而非静态域名列表。
自适应、情境感知的策略管理
静态 “一刀切” 的 DLP 策略,在开发人员居家办公、销售人员进入新地区或文件分类变更时,即刻会失效。自适应策略管理借助设备状态、地理位置、同组行为、近期角色变更甚至项目元数据等实时上下文,动态调整执行力度。
例如,在企业内网下载敏感 CAD 文件属于正常行为,但从公共 Wi-Fi 环境下的非管理平板发起相同请求,则会触发策略阈值提升:下载内容被添加水印、使用限于 VDI 会话,或直接阻止操作。上下文引擎从 EDR 代理、身份提供商日志、配置管理数据库(CMDB)及业务系统(HRIS、CRM)提取遥测数据,使单一分类更新或角色变更能即时波及所有控制点。
决策在边缘端(浏览器插件、SaaS API 或终端代理)执行,确保毫秒级响应,无需复杂路由。最终形成与业务意图对齐的 “活策略架构”:风险高时严格管控,合法工作流中隐形存在,并始终与组织动态变化的数据格局保持同步。
统一可视化策略架构
企业必须从传统的本地部署架构转向云原生、云交付的DLP解决方案。这种方式可提供更强的可扩展性、降低复杂度,并在混合环境中实现无缝集成,有效应对分布式员工团队和基于云的工作流需求。
为了克服碎片化问题,安全与风险管理领导者应采用能够在 SaaS 应用、终端、网络、云服务及本地环境中提供统一可视性和集中策略编排的解决方案。这种整体化的集成方法可确保数据保护的一致性和全面覆盖。
DLP的新篇章将围绕单一云托管 “策略大脑” 展开:该大脑维护所有敏感度标签、合规规则和零信任指令,同时将机器可读的控制策略分发至数据流动的各个节点 —— 无论是笔记本电脑、SaaS 工作空间、开发人员流水线还是边缘设备。通过在本地执行策略,安全团队能够消除直接云流量和 VPN 绕过带来的监控盲区。例如,可在非受控笔记本电脑的 Slack 中阻止敏感文件传输,而在受控构建服务器上允许授权开发人员无阻碍地流转同一文件。
与此同时,市场正将传统的孤立领域 —— DSPM、CASB/ SSE、SSPM和传统 DLP—— 整合为统一的数据安全云。这种云架构将身份作为主要控制平面,并通过用户意图、环境风险和数据敏感度的综合视角,评估每一次数据读取、写入或共享行为。嵌入终端的轻量级语言模型能够在内容离开设备前检测到高风险的复制粘贴事件或屏幕截图,使组织能够实现亚秒级防护,而无需将流量路由至瓶颈节点。简而言之,DLP 的未来不再是更大的网关,而是一张智能且具备上下文感知能力的 “防护网”:它将一套权威的规则集分发至每个控制点,并随着用户、数据和威胁的演变进行实时自适应调整。
统一数据安全解决方案:DSPM + 生成式 AI 驱动的 DLP
现代数据安全应越来越依赖于将DLP与DSPM相融合的协同方法。二者结合形成强大合力:DLP 补充了 DSPM 所缺乏的控制能力和执行动作,而 DSPM 则为 DLP 提供了其缺失的深度数据理解与上下文信息。这种集成有助于我们在敏感数据的整个生命周期中对其进行理解和保护。
现代 AI-DLP 采用无代理解决方案,将先进的人工智能、实时执行能力和无缝集成相结合,从而提供一个动态且自适应的框架,有效保护当今所有复杂数据环境中的敏感数据。。
因此,供应商正在将传统 DLP 功能(如动态数据保护)与 DSPM(数据安全态势管理)相结合,以解决静态数据及数据溯源需求。如果没有相应工具,就很难了解数据泄露的具体情况,而 DSPM 确实有助于理解泄露的范围及其影响程度。
案例分析:
Cyera 收购 Trail Security 正是这一动态的完美例证。如前所述,相较于 20 多年前的 DLP,如今通过 DSPM 解决方案利用标注数据的能力,结合生成式 AI 驱动的 DLP 引擎,已显著提升了 DLP 的性能。这一切都依赖于更多数据支撑更精准的检测 —— 因为更多被发现和分类的数据,能提高动态数据检测的准确性。除 Cyera 外,Proofpoint 等公司也在其 DLP 平台中添加 DSPM 功能,这标志着解决方案正走向融合
用于调查的可追溯性:借助 DSPM/AI 技术,DLP 引擎的构建方式得以简化。DSPM 提供基线逻辑,取代了对手工编写规则或正则表达式的依赖。DLP 引擎利用该逻辑,仅需极少人工输入即可创建精准的检测规则。这一转变增强了数据生命周期各阶段(静态、动态及使用中)的可视性,使安全团队能够了解数据的完整流转过程,包括谁访问了数据、数据被发送至何处,以及何时在不同环境间移动。此前,这类可追溯能力并不存在。大多数团队无法追踪敏感文件是否被外泄、意外共享给承包商,或被接入 AI 模型。而现在,他们不仅能检测数据泄露事件,还能识别行为意图,包括内部人员滥用、复制粘贴行为,或生成式工具内的数据暴露等情况。
现代DLP实施中的关键挑战
采用与教育壁垒
企业在理解和实施跨全环境数据保护的 “全场景 DLP(Omni DLP)” 解决方案时,还面临着重大挑战。安全团队需要接受全面培训,以将 DLP 与更广泛的数据安全策略有效整合,这进一步加剧了问题 —— 此类培训需要投入大量时间和资源。。
与现有安全解决方案的集成
企业面临的一大障碍在于,将新的 DLP 能力集成到根深蒂固的安全架构中。大多数企业拥有传统工具和固定流程,无法在一夜之间被取代。安全栈必须经过精心重构,以支持现代功能,同时保留现有保护措施,这在创新与运营稳定性之间形成了艰难的权衡。
现有解决方案的重叠与过渡
一个实际挑战就是充分利用 Omni DLP 并与企业现有 DLP 投资协同是一大难题。许多企业已部署了部分 DLP 控制措施(尽管可能并不完善),在引入 Cyera 时需要制定清晰的过渡计划。若管理不当,可能导致工作重复甚至策略冲突(如前文所述)。例如,若同时运行微软 Purview,在特定场景中需明确哪个工具的策略优先生效。在分阶段部署期间,安全团队可能会收到来自两个系统的告警,需要对其进行协调。如果没有精心策划,这个过渡阶段可能会令人困惑且耗费人力。
企业需制定清晰的路线图:或许可先将 Omni DLP 置于审计模式,以获取对比洞察;待其准确性得到验证后,再逐步将执行控制从传统 / 集成工具迁移至 Omni DLP,最终淘汰或减少旧系统的使用。此外,向 IT 团队和终端用户传达这些变更也至关重要(尤其是若终端用户行为或通知受到影响,例如拦截消息的变化)。
归根结底,这是一项变革管理挑战。其核心不仅在于部署新技术,更涉及重塑工作流、重新界定团队职责,以及淘汰传统方法。Cyera 及其合作伙伴通常会通过提供最佳实践和迁移手册来协助完成这一过渡。尽管如此,企业仍需预留时间对 Omni DLP 的策略进行调优,以匹配甚至超越既往方案的防护水平,避免防护能力下降。值得期待的是,一旦过渡完成,持续管理的开销将显著降低。但对于大型企业而言,尤其是跨国企业,这一进程可能需要数周甚至数月的时间来推进
市场竞争
市场中的新解决方案往往会遭遇已在传统 DLP 和 DSPM 工具上投入重金的企业的抵触。这一挑战对新兴供应商尤为严峻 —— 它们必须清晰展现相对于成熟厂商的价值主张,突出自身独特功能与能力,以证明企业向其平台迁移的合理性。
结论
DLP正迈入一个决定性的新阶段。曾经主导市场的 “规则繁重、以代理为中心” 的平台,如今在云环境扩张、混合办公模式及生成式 AI 驱动的不可预测工作流面前举步维艰。当今安全领导者需要的并非另一场 “推倒重来” 的改造,而是一个能与现有控制措施(无论是微软 E5 的 DLP 功能、SASE 检测点,还是小众 SaaS 连接器)。
这一智能层正通过 DSPM 与 DLP 的融合逐步落地。通过发现和分类静态数据,DSPM 提供了业务上下文 —— 包括数据归属主体、敏感级别及其流转路径,而这些正是基于规则的传统 DLP 在动态数据防护中长期缺失的能力。当二者协同工作时,策略决策将从僵化的模式匹配转向基于风险的判断,这不仅能大幅降低误报干扰,还能针对真正高风险的数据传输强化防护措施。
人工智能正加速这一融合进程。大型语言模型如今能够为非结构化内容生成指纹、跨多云存储映射数据溯源,并近乎实时地预测用户意图。AI 作为 “策略大脑” 而非附加功能部署时,可持续优化数据分类、自动生成细粒度规则,并仅将值得人工审核的事件列为优先事项,从而将 DLP 从 “永无止境的调优工作” 转变为自我优化的控制体系。
Cyera 正是这一现代发展轨迹的典范。其平台以广泛的无代理发现为起点,运用 AI 对数据风险进行分类和评分,然后将这些洞察反馈至客户已部署的任何 DLP 栈中。通过这种方式,Cyera 将传统部署的 “粗放型工具” 转变为自适应的零信任执行器。与此同时,其迈向完整数据溯源、终端级防护及更深层生成式 AI 安全防护的路线图,使其能够与数据实际的创建、共享和消费方式保持同步。
对于安全领导者而言,教训已然清晰:2025 年及未来,有效的 DLP 将取决于统一的数据发现、AI 驱动的上下文感知,以及分布式执行能力,而非更大的网关或更长的正则表达式列表。拥抱这一模式的企业不仅能减少运营阻力和告警疲劳,还将构建起弹性的数据安全架构 —— 这一架构已准备好应对未来十年可能出现的任何创新与风险
原文链接:
https://softwareanalyst.substack.com/p/building-the-intelligence-layer-for
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
