本文來自微信公眾號(hào)：連續(xù)創(chuàng)業(yè)的Janky（ID：janky-dsphere）伏穆，作者：Janky，原文標(biāo)題：《DLP 已經(jīng)過時(shí)了嗎纷纫，該如何破局》枕扫，題圖來自：視覺中國

數(shù)據(jù)丟失防護(hù)（Data loss prevention， DLP）軟件可檢測(cè)潛在的數(shù)據(jù)泄露/非過濾數(shù)據(jù)傳輸辱魁，并通過在使用（端點(diǎn)操作）燥颠、移動(dòng)（網(wǎng)絡(luò)流量）和靜止（數(shù)據(jù)存儲(chǔ)）時(shí)監(jiān)控、檢測(cè)和阻止敏感數(shù)據(jù)來防止這些（泄露）轨赦。

——翻譯自Wikipedia

寫這篇文章著實(shí)非尘α蓿惶恐，整篇用詞與修飾也是經(jīng)過反復(fù)琢磨和調(diào)整谈芬。因?yàn)?DLP 是個(gè)很大的產(chǎn)業(yè)稼乃，涉及幾乎印有數(shù)據(jù)安全標(biāo)簽的所有安全廠商，企業(yè)數(shù)據(jù)安全建設(shè)的第一站往往也以安裝 DLP 為起點(diǎn)盼涵，企業(yè)員工怒罵公司行為的背后也往往有 DLP 的影子在之仍，可見該話題的影響甚大。

同樣的話題討論古告，發(fā)生在國外楔答，已經(jīng)是 5 年前了。2018 年 4 月 5 日圣界，Gartner 高級(jí) VP 級(jí)別分析師 Avivah Litan更假，發(fā)表了一篇博文，名為“DLP is Dying”*贷币，但是博文內(nèi)容已經(jīng)過修改击胜，因?yàn)樵純?nèi)容關(guān)于 DLP 正在消亡的言辭引起了安全廠商的極大不滿，開啟了激烈的網(wǎng)絡(luò)爭(zhēng)論役纹，作者迫于輿論壓力重新修改了文章偶摔，并關(guān)閉了自己 linkedIn 留言功能。

作者本人從事企業(yè)數(shù)據(jù)安全相關(guān)工作的時(shí)間促脉，不算太長(zhǎng)也不算太短辰斋，說起來也有超過十年的時(shí)間了。自身開發(fā)過 DLP 的產(chǎn)品瘸味，也主導(dǎo)了阿里巴巴原生 DLP 產(chǎn)品向 UEBA（user and entity behavior analytics宫仗，用戶和實(shí)體行為分析技術(shù)）的轉(zhuǎn)型升級(jí)够挂，見證了身邊不少新興 DLP 廠商的迅速消亡，聽?wèi)T了企業(yè)員工的罵聲和老板的質(zhì)疑藕夫，也幫助不少企業(yè)完成了適合自身 DLP 產(chǎn)品與方案的選型和落地孽糖。就經(jīng)驗(yàn)上來講，或許能有一點(diǎn)點(diǎn)有價(jià)值的輸出毅贮，幫助安全同行們?cè)谝?guī)劃自身 DLP 產(chǎn)品的時(shí)候適量避坑梭姓，也讓企業(yè)們?cè)谶x擇適合自身安全產(chǎn)品的時(shí)候多一點(diǎn)點(diǎn)參考，期望寫在這里的一些經(jīng)驗(yàn)總結(jié)能起到這些作用撰类。

一驱请、DLP產(chǎn)品分類

數(shù)據(jù)防泄漏的產(chǎn)品有很多種類型，云桌面拼建、沙箱墓永、透明加解密也都是可選方案，DLP 區(qū)別于這些方案的特點(diǎn)辜尝，在于其本身是通過在不改變?nèi)魏斡脩羰褂脭?shù)據(jù)的習(xí)慣的前提下毫蚁，自動(dòng)檢測(cè)出數(shù)據(jù)泄露的行為。企業(yè)內(nèi)的員工甚至都意識(shí)不到 DLP 安全產(chǎn)品的存在雳址，也不需要跟該產(chǎn)品進(jìn)行任何形式的互動(dòng)析深。

舉些形象的例子，云桌面（類似的叫法還有虛擬桌面敌痘、VDI咨锐、DaaS）和沙箱好比家里的保險(xiǎn)箱，值錢的東西都鎖在里面出不來钢婆；透明加解密原理類似于在電影和電視劇里系馁，看到的故事情節(jié)：情報(bào)人員用米湯在紙上寫字，待米湯干燥后送出窟扑。而收到情報(bào)的人員喇颁， 把這張“白紙”放入碘酒中泡一下，就可以讀到紙上的秘密信息嚎货；DLP 就是那個(gè)掛在墻上監(jiān)控?cái)z像頭橘霎，它能震懾小偷，但也不能干擾小偷做壞事殖属，默默記錄下作案過程事后追責(zé)姐叁。

DLP 產(chǎn)品本身，按照數(shù)據(jù)所處位置的不同忱辅，國外同行們又定義出了 4 個(gè)分支七蜘，終端 DLP谭溉、網(wǎng)絡(luò) DLP墙懂、云應(yīng)用 DLP橡卤、存儲(chǔ) DLP。很遺憾在國內(nèi)的環(huán)境里损搬，真正能被應(yīng)用的只有終端 DLP 和郵件 DLP碧库，其根本原因在于國內(nèi)應(yīng)用生態(tài)的落后和封閉，之前的一篇文章有詳細(xì)分析過功跑。

郵件 DLP 依附于企業(yè)自有的郵件服務(wù)器乞哀，通常以郵件網(wǎng)關(guān)的形式存在，去過濾外發(fā)的郵件內(nèi)容荞谬，應(yīng)用場(chǎng)景非常直觀和單一趣情，所能達(dá)到的防泄漏效果也比較狹窄，畢竟真正想偷盜企業(yè)數(shù)據(jù)的員工字拗，還是會(huì)聰明到不用企業(yè)自身郵箱把數(shù)據(jù)給發(fā)出去纺辟。

因此，咱們這里就重點(diǎn)講講最為復(fù)雜的蝠盘，終端 DLP脾仁。

二、終端DLP及其困局

不避諱地講苔免，DLP 是針對(duì)企業(yè)內(nèi)部員工監(jiān)守自盜的防范措施秕栓，不論是刻意為之還是無心之施。盜竊行為的案發(fā)地更启，就在辦公終端上邢入，以前以辦公電腦為主，移動(dòng)互聯(lián)網(wǎng)后新增了移動(dòng)端設(shè)備趴荸。輔助作案的工具就最為復(fù)雜多樣了俱诸，常見的聊天工具（微信、QQ赊舶、釘釘）睁搭、第三方網(wǎng)盤、U 盤笼平、藍(lán)牙傳輸园骆、AirDrop、云筆記寓调、共享目錄……無法窮舉锌唾。所有這些作案工具被 DLP 產(chǎn)品統(tǒng)稱為外發(fā)渠道，需要定點(diǎn)進(jìn)行覆蓋和監(jiān)控夺英。

DLP 并不是一個(gè)新的產(chǎn)品形態(tài)晌涕，其歷史可以追溯到國外 25 年之前，國內(nèi) 20 年之前痛悯。對(duì)于大量企業(yè)來講余黎，企業(yè)當(dāng)前的數(shù)據(jù)被一張漁網(wǎng)包裹著弛镣，這些數(shù)據(jù)隨時(shí)都能從漁網(wǎng)上的一個(gè)孔洞里漏出去，DLP 產(chǎn)品所做的就是不停地嘗試在新的漏洞里面安裝上攝像頭才擒，記錄下來什么時(shí)候有數(shù)據(jù)從哪個(gè)洞出去了钩裆。但現(xiàn)實(shí)是這張漁網(wǎng)無限大，且還在不斷自我膨脹善瞧，DLP 在一個(gè)洞口安裝了監(jiān)控的同時(shí)又生出了 2 個(gè)新的洞图盖。還有些洞，門框太高或者墻壁太滑蓬肢，連攝像頭都裝不上去企著。

除了產(chǎn)品本身研發(fā)的困難之外，DLP 還面臨著很多其它挑戰(zhàn)魂中。

1. Everybody Hates DLP（人人喊打）

想想也真的覺得神奇坦膘，恐怕沒有其它任何一個(gè)產(chǎn)品能像 DLP 這樣，達(dá)到人人都“討厭”的地步柄立，即使是花錢采買的企業(yè)自己也是同樣的心理承跟。