Data Loss Prevention (DLP) software detects potential data breaches/data ex-filtration transmissions and prevents them by monitoring, detecting and blocking sensitive data while in use (endpoint actions), in motion (network traffic), and at rest (data storage).

Wikipedia

写这篇文章着实非常惶恐，整篇用词与修饰也是经过反复琢磨和调整。因为 DLP 是个很大的产业，涉及几乎印有数据安全标签的所有安全厂商，企业数据安全建设的第一站往往也以安装 DLP 为起点，企业员工怒骂公司行为的背后也往往有 DLP 的影子在，可见该话题的影响甚大。

同样的话题讨论，发生在国外，已经是 5 年前了。2018 年 4 月 5 日，Gartner 高级 VP 级别分析师 Avivah Litan，发表了一篇博文，名为“DLP is Dying”，附上原文链接（https://blogs.gartner.com/avivah-litan/2018/04/05/insider-threat-detection-replaces-dying-dlp/）。但是博文内容已经过修改，因为原始内容关于 DLP 正在消亡的言辞引起了安全厂商的极大不满，开启了激烈的网络争论，作者迫于舆论压力重新修改了文章，并关闭了自己 LinkedIn 留言功能。

01 本文定调

作者本人从事企业数据安全相关工作的时间，不算太长也不算太短，说起来也有超过 10 来年的时间了。自身开发过 DLP 的产品，也主导了阿里巴巴原生 DLP 产品向 UEBA 的转型升级，见证了身边不少新兴 DLP 厂商的迅速消亡，听惯了企业员工的骂声和老板的质疑，也帮助不少企业完成了适合自身 DLP 产品与方案的选型和落地。就经验上来讲，或许能有一点点有价值的输出，帮助安全同行们在规划自身 DLP 产品的时候适量避坑，也让企业们在选择适合自身安全产品的时候多一点点参考，期望写在这里的一些经验总结能起到这些作用。

02 DLP 产品分类

数据防泄漏的产品有很多种类型，云桌面、沙箱、透明加解密也都是可选方案，DLP 区别于这些方案的特点，在于其本身是通过在不改变任何用户使用数据的习惯的前提下，自动检测出数据泄露的行为。企业内的员工甚至都意识不到 DLP 安全产品的存在，也不需要跟该产品进行任何形式的互动。

举些形象的例子，云桌面（类似的叫法还有虚拟桌面、VDI、DaaS）和沙箱好比家里的保险箱，值钱的东西都锁在里面出不来；透明加解密原理类似于在电影和电视剧里，看到的故事情节：情报人员用米汤在纸上写字，待米汤干燥后送出。而收到情报的人员， 把这张“白纸”放入碘酒中泡一下，就可以读到纸上的秘密信息；DLP 就是那个挂在墙上监控摄像头，它能震慑小偷，但也不能干扰小偷做坏事，默默记录下作案过程事后追责。

DLP 产品本身，按照数据所处位置的不同，国外同行们又定义出了 4 个分支，终端 DLP、网络 DLP、云应用 DLP、存储 DLP。很遗憾在国内的环境里，真正能被应用的只有终端 DLP 和邮件 DLP，其根本原因在于国内应用生态的落后和封闭，之前的一篇文章有详细分析过。

https://mp.weixin.qq.com/s/dYE-wPCLoft9BOdHNXYx9A

邮件 DLP 依附于企业自有的邮件服务器，通常以邮件网关的形式存在，去过滤外发的邮件内容，应用场景非常直观和单一，所能达到的防泄漏效果也比较狭窄，毕竟真正想偷盗企业数据的员工，还是会聪明到不会用企业自身邮箱把数据给发出去。

因此，咱们这里就重点讲讲最为复杂的，终端 DLP。

03 终端 DLP

不避讳地讲，DLP 是针对企业内部员工监守自盗的防范措施，不论是刻意为之还是无心之施。盗窃行为的案发地，就在办公终端上，以前以办公电脑为主，移动互联网后新增了移动端设备。辅助作案的工具就最为复杂多样了，常见的聊天工具（微信、QQ、钉钉）、第三方网盘、U 盘、蓝牙传输、AirDrop、云笔记、共享目录...，无法穷举。所有这些作案工具被 DLP 产品统称为外发渠道，需要定点进行覆盖和监控。

04 终端 DLP 的困局

DLP 并不是一个新的产品形态，其历史可以追溯到国外 25 年之前，国内 20 年之前。对于大量企业来讲，企业当前的数据被一张渔网包裹着，这些数据随时都能从渔网上的一个孔洞里漏出去，DLP 产品所做的就是不停地尝试在新的漏洞里面安装上摄像头，记录下来什么时候有数据从哪个洞出去了。但现实是这张渔网无限大，且还在不断自我膨胀，DLP 在一个洞口安装了监控的同时又生出了 2 个新的洞。还有些洞，门框太高或者墙壁太滑，连摄像头都装不上去。

除了产品本身研发的困难之外，DLP 还面临着很多其它挑战。

A. Everybody Hates DLP（人人喊打）

想想也真的觉得神奇，恐怕没有其它任何一个产品能像 DLP 这样，达到人人都“讨厌”的地步，即使是花钱采买的企业自己也是同样的心理。

老板：买可以，但别在我电脑上安装。

高管：请给我加白（不要安装），我电脑里数据太敏感，不能被安全软件采集。

员工：公司真变态，感觉很压抑，时时刻刻被监视。

企业 IT：谁没事天天盯着摄像头看，出了事再说吧。

企业安全：这什么安全软件，我 10 秒就能绕过。

DLP 研发：没完没了，永远在打补丁，新的渠道不断冒出来，老的渠道又有变化要升级。

DLP 市场：太卷了，中国几十万家注册网络安全公司，DLP 产品更是遍地都是，同质化产品，白菜价格，这产品只能是敌有我有的防御性武器而已，销售人员靠它活不下去。

DLP 产品：让客户把透明加解密和沙箱产品卸载吧，没法兼容，只能用我们。

法律法规：公民个人隐私不能被侵犯，采集数据要征得同意，确保公民的知情权和处置权。

B. 渠道覆盖不完，移动端束手无策

在移动互联网之前，DLP 是极其有效的。那会企业员工都还在主要依靠 PC 台式机办公，能带离办公室的笔记本都比较少见；企业办公主要数据资产还是终端的文件，不像现在有那么多 Web 系统，各种在线文档更是越来越普及，数据已经离开终端上云了，脱离了非结构化形态，变成了结构化和半结构化。

那会企业有专门的局域网，出了局域网也无所谓工作了，没有996福报，没有居家办公，企业数据也局限在办公室的局域网内。

转载：

https://mp.weixin.qq.com/s/u_OZQ26wrmEPqlXaTklrXQ