數(shù)據(jù)安全形勢(shì)日益嚴(yán)峻，企業(yè)如何有效管理海量數(shù)據(jù)(尤其是“影子數(shù)據(jù)”)成為一大挑戰(zhàn)。數(shù)據(jù)安全姿勢(shì)管理(DSPM)工具應(yīng)運(yùn)而生，旨在幫助企業(yè)發(fā)現(xiàn)、追蹤并保護(hù)所有數(shù)據(jù)，無(wú)論這些數(shù)據(jù)位于何處，處于何種狀態(tài)。

　　數(shù)據(jù)安全態(tài)勢(shì)管理(DSPM)是一個(gè)相對(duì)較新的市場(chǎng)，正處于快速增長(zhǎng)階段，2022年DSPM的市場(chǎng)滲透率不到1%。但是根據(jù)Gartner的預(yù)測(cè)，2026年DSPM市場(chǎng)滲透率將激增到20%以上。

　　由于DSPM是數(shù)據(jù)安全領(lǐng)域的新興產(chǎn)品，企業(yè)在選型時(shí)往往缺乏足夠參考和指導(dǎo)，以下，我們將點(diǎn)評(píng)海外市場(chǎng)最具代表性的十二個(gè)DSPM產(chǎn)品，并總結(jié)了DSPM產(chǎn)品的五大核心能力。

　　十二個(gè)頂級(jí)DSPM產(chǎn)品(排名不分先后)

　　1、Concentric Semantic Intelligence

　　該平臺(tái)將DSPM與威脅檢測(cè)相結(jié)合，可集成各種安全工具，涵蓋非結(jié)構(gòu)化和結(jié)構(gòu)化數(shù)據(jù)，并提供深入的AWS服務(wù)數(shù)據(jù)覆蓋。

　　2、Cyera Data Security Platform

　　Cyera平臺(tái)擁有用于掃描本地文件的網(wǎng)絡(luò)模塊，并可以與Netskope、各種專業(yè)數(shù)據(jù)目錄(例如Collibra、Secoda、DataHub)、Wiz、Splunk和Tines集成。它還提供一系列可操作的儀表盤。

　　3、Eureka Security

　　Eureka將DSPM與威脅檢測(cè)相結(jié)合，并可與數(shù)據(jù)湖和數(shù)據(jù)倉(cāng)庫(kù)(例如Snowflake、Atlas、Salesforce、ServiceNow和基于Jira的工單系統(tǒng))集成。默認(rèn)情況下，新數(shù)據(jù)會(huì)在24小時(shí)內(nèi)掃描，現(xiàn)有數(shù)據(jù)每14天會(huì)掃描一次以查找更改。

　　4、IBM Security Guardium Insights SaaS DSPM

　　IBM去年收購(gòu)了Polar Security，目前正將其納入其完整的Guardium安全產(chǎn)品中。它僅掃描云數(shù)據(jù)，并預(yù)置了敏感數(shù)據(jù)定義。

　　5、Normalyze Cloud Platform

　　Normalyze可以掃描云端和本地?cái)?shù)據(jù)源，并在識(shí)別配置錯(cuò)誤時(shí)進(jìn)行自動(dòng)修復(fù)。它開(kāi)箱即用地與SOAR、第三方工單、通知和自動(dòng)化平臺(tái)集成，例如ServiceNow、Slack、Jira等。

　　6、One Trust Privacy and Data Governance Cloud

　　OneTrust可以跨云端和本地環(huán)境掃描200多個(gè)不同的數(shù)據(jù)源，但無(wú)法識(shí)別用戶帳戶級(jí)別的訪問(wèn)權(quán)限。可以直接與Snowflake和Databricks集成，以協(xié)調(diào)動(dòng)態(tài)訪問(wèn)控制以及其他安全工具，例如ITSM、DLP和數(shù)據(jù)目錄。

　　7、Palo Alto Networks Prisma Cloud DSPM

　　Prisma可以與SIEM、工作流和工單解決方案、SSO集成，并提供超過(guò)100個(gè)預(yù)構(gòu)建的數(shù)據(jù)分類器。支持Snowflake、Office365和本地文件共享。

　　8、Securit iData Command Center DSPM

　　Data Command Center在其工具中添加了各種漏洞管理和合規(guī)性管理功能，并且支持?jǐn)?shù)據(jù)流傳輸技術(shù)，例如Confluent、Kafka、Kinesis和Google PubSub。提供350個(gè)內(nèi)容分類器，支持多種語(yǔ)言以及超過(guò)一千條預(yù)定義檢測(cè)規(guī)則。它可以與各種云原生安全服務(wù)、CASB、CNAPP、CSPM、CIEM、KSPM、SIEM、DLP、IDS和合規(guī)性工具集成。

　　9、Sentra Cloud-Native Data Security Platform

　　Sentra深度支持各種云計(jì)算服務(wù)，以及容器和虛擬機(jī)。它擁有自己的數(shù)據(jù)檢測(cè)和響應(yīng)工具，可實(shí)現(xiàn)近實(shí)時(shí)檢測(cè)，并提供一系列可操作的儀表盤。可以與數(shù)據(jù)管理(DataDog、DataHub、Coralogix)、電子郵件、ITSM(Jira、PagerDuty、ServiceNow)、CNAPP(Wiz)、協(xié)作(Atlan、AzureBoards、Slack、Teams、Monday.com)、IAM(Okta、AD)、IR(Seemplicity)、SIEM(Splunk)和本地文件共享集成。

　　10、Symmetry Systems Data Guard DSPM

　　DataGuard提供文本豐富的儀表盤以及附加的策略實(shí)施模塊。可以與各種安全工具集成，包括SIEM(Splunk、Chronicle SIEM、SumoLogic、LogRhythm、Securonix)、SOAR(Prisma CortexX SOAR、Google Chronicle、Microsof tSentinel、Tines)、工單系統(tǒng)(Jira和ServiceNow)和通知系統(tǒng)(Slack和PagerDuty)。

　　11、Varonis Data Security

　　Varonis在數(shù)據(jù)安全領(lǐng)域擁有十多年的經(jīng)驗(yàn)，可與SIEM(例如Splunk)、SOAR(例如Palo Alto XSOAR)、防火墻、VPN、Web代理、DNS服務(wù)、ActiveDirectory、EntraID、MicrosoftPurview信息保護(hù)和Okta集成。

　　12、Wiz for DSPM

　　Wiz添加了一個(gè)名為Runtime Sensor的輕量級(jí)代理，用于檢測(cè)和響應(yīng)。除了常見(jiàn)的云數(shù)據(jù)源之外，它還可以掃描各種本地?cái)?shù)據(jù)庫(kù)，例如MySQL、PostgreSQL、MongoDB及其云版本，并與超過(guò)60種不同的安全產(chǎn)品集成。但只有高級(jí)許可計(jì)劃才能享受完整的DSPM功能集。

　　數(shù)據(jù)安全態(tài)勢(shì)管理(DSPM)工具的五大核心能力

　　DSPM工具通常由以下組件構(gòu)成：

　　用于跟蹤本地?cái)?shù)據(jù)的代理和無(wú)代理收集器

　　用于檢測(cè)和排序數(shù)據(jù)集合的集中式管理儀表盤

　　數(shù)據(jù)來(lái)源和使用情況映射

　　合規(guī)性評(píng)估模塊

　　企業(yè)在考察和評(píng)估DSPM產(chǎn)品時(shí)，需要重點(diǎn)關(guān)注其五大核心能力：

　　核心能力一：數(shù)據(jù)發(fā)現(xiàn)

　　DSPM產(chǎn)品的核心功能之一是幫助企業(yè)全面識(shí)別其數(shù)據(jù)資產(chǎn)，涵蓋各種類型的數(shù)據(jù)存儲(chǔ)庫(kù)，包括云端和本地部署的數(shù)據(jù)庫(kù)、結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，甚至是最初由IT部門以外的部門創(chuàng)建的、可能被忽視或遺忘的“影子數(shù)據(jù)存儲(chǔ)庫(kù)”。

　　不同廠商的DSPM產(chǎn)品在數(shù)據(jù)發(fā)現(xiàn)層面各有側(cè)重。例如，所有廠商均支持一定程度的云存儲(chǔ)庫(kù)可視性，涵蓋亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)、谷歌云平臺(tái)(GCP)和微軟Azure等主流云服務(wù)商的部分存儲(chǔ)空間。然而，這并不意味著DSPM產(chǎn)品可以覆蓋所有與數(shù)據(jù)相關(guān)的服務(wù)。例如，AWS提供種類繁多的數(shù)據(jù)處理服務(wù)，如S3存儲(chǔ)、關(guān)系數(shù)據(jù)庫(kù)服務(wù)、Redshift云數(shù)據(jù)倉(cāng)庫(kù)、Athena無(wú)服務(wù)器SQL查詢和Elasticsearch托管數(shù)據(jù)服務(wù)等，但并非所有DSPM工具都能完美識(shí)別這些服務(wù)中的全部數(shù)據(jù)。Securiti公司在這方面做得比較細(xì)致，會(huì)明確列出每個(gè)云平臺(tái)支持的服務(wù)，但其他廠商的產(chǎn)品透明度則稍遜一籌。Varonis公司則采用了另一種方法，使用“通用數(shù)據(jù)連接器”來(lái)搜索更廣泛的云端和本地結(jié)構(gòu)化數(shù)據(jù)源。

　　值得注意的是，并非所有云服務(wù)都得到所有DSPM工具的支持。例如，Sentra不支持Azure Synapse Analytics存儲(chǔ)的數(shù)據(jù)，Symmetry不支持大型機(jī)數(shù)據(jù)庫(kù)以及ServiceNow和Salesforce中存儲(chǔ)的數(shù)據(jù)，Wiz也無(wú)法識(shí)別Databricks、啟用客戶管理密鑰的透明數(shù)據(jù)加密的AWS Redshift或Azure SQL服務(wù)器中的數(shù)據(jù)存儲(chǔ)。不過(guò)，隨著客戶需求的不斷增長(zhǎng)，廠商也在持續(xù)擴(kuò)展其覆蓋范圍。

　　核心能力二：數(shù)據(jù)分類評(píng)估

　　找到數(shù)據(jù)只是第一步，后續(xù)的數(shù)據(jù)分類、評(píng)估和匯總同樣重要。如果沒(méi)有嚴(yán)格的安全控制措施，此過(guò)程可能會(huì)帶來(lái)安全風(fēng)險(xiǎn)。因此，大多數(shù)DSPM廠商強(qiáng)調(diào)“客戶數(shù)據(jù)始終駐留在客戶的環(huán)境中”。這通常意味著使用只讀訪問(wèn)權(quán)限來(lái)收集應(yīng)用程序、服務(wù)和數(shù)據(jù)庫(kù)結(jié)構(gòu)的元數(shù)據(jù)，而非實(shí)際數(shù)據(jù)本身。廠商將此稱為“無(wú)代理”或“API訪問(wèn)”。這種方法的優(yōu)勢(shì)在于能夠快速掃描大量數(shù)據(jù)，從而理解其使用性質(zhì)和潛在風(fēng)險(xiǎn)因素。

　　在發(fā)現(xiàn)數(shù)據(jù)并收集元數(shù)據(jù)之后，DSPM工具會(huì)定期掃描數(shù)據(jù)，查看是否發(fā)生變化，例如數(shù)據(jù)是否被復(fù)制到云端的某個(gè)未知角落，或者是否有用戶更改了訪問(wèn)權(quán)限，導(dǎo)致數(shù)據(jù)暴露于更大風(fēng)險(xiǎn)之中。這些工具可以提供跨所有云端和本地?cái)?shù)據(jù)位置的統(tǒng)一視圖。“定期”是關(guān)鍵所在，掃描任務(wù)可以設(shè)置為默認(rèn)周期(例如每天或每周)，也可以在發(fā)現(xiàn)新的數(shù)據(jù)存儲(chǔ)庫(kù)時(shí)觸發(fā)。

　　數(shù)據(jù)在生產(chǎn)環(huán)境中的使用方式也是數(shù)據(jù)安全需要關(guān)注的方面，這包括數(shù)據(jù)管道、數(shù)據(jù)湖和數(shù)據(jù)倉(cāng)庫(kù)。DSPM工具可以通過(guò)創(chuàng)建數(shù)據(jù)映射來(lái)梳理此類環(huán)境，并協(xié)助審計(jì)，以枚舉誰(shuí)可以訪問(wèn)哪些數(shù)據(jù)資源，以及在哪些特定情況下數(shù)據(jù)會(huì)在企業(yè)內(nèi)部共享。數(shù)據(jù)映射不僅可以起到可視化效果，更能幫助識(shí)別諸如“影子數(shù)據(jù)”被遺棄等關(guān)鍵問(wèn)題。

　　核心能力三：數(shù)據(jù)治理與安全生態(tài)的融合

　　數(shù)據(jù)治理是數(shù)據(jù)安全的重要一環(huán)。DSPM工具可幫助企業(yè)分配風(fēng)險(xiǎn)并應(yīng)用一致的安全策略來(lái)管理其所有數(shù)據(jù)集合，并與其他安全工具協(xié)作以實(shí)施這些策略并修復(fù)安全漏洞。

　　核心能力四：全方位的產(chǎn)品架構(gòu)

　　在企業(yè)網(wǎng)絡(luò)安全和數(shù)據(jù)安全防御體系中，DSPM的主要功能定位是“定位器”，負(fù)責(zé)發(fā)現(xiàn)問(wèn)題，修復(fù)問(wèn)題則需要一整套安全工具，例如SOAR、SIEM、CNAPP等。此外，DSPM往往與CSPM(云安全態(tài)勢(shì)管理)組合使用，前者負(fù)責(zé)找到數(shù)據(jù)，后者負(fù)責(zé)保護(hù)云基礎(chǔ)設(shè)施。

　　一些DSPM供應(yīng)商開(kāi)始將上述“修復(fù)”工具也集成或合并到他們的DSPM產(chǎn)品中，這可能導(dǎo)致整體方案定價(jià)較高(10萬(wàn)美元/年)。

　　值得注意的是，DSPM市場(chǎng)正在快速發(fā)展中，廠商正在不斷為DSPM產(chǎn)品添加新功能，或與其他安全工具集成，并相互形成各種聯(lián)盟。該領(lǐng)域的收購(gòu)熱潮也已經(jīng)開(kāi)始：去年P(guān)alo Alto Networks收購(gòu)了Dig，Rubrik收購(gòu)了Laminar Security，IBM收購(gòu)了Polar Security。

　　核心能力五：集成與部署

　　大多數(shù)廠商提供兩種部署方式，既可以將DSPM產(chǎn)品作為獨(dú)立工具使用，也可以將其與第三方安全服務(wù)集成(例如Wiz和Securiti提供的服務(wù))，或作為其自身安全產(chǎn)品組合的一部分，與其他附加模塊(例如身份管理、云管理、檢測(cè)和響應(yīng)以及日志分析工具)協(xié)同工作(例如Cyera、Varonis、Wiz和Palo Alto Networks)。

　　不同廠商的集成能力存在差異。Varonis和Palo Alto Networks等廠商擁有更廣泛的集成支持，而IBM和Normalyze等廠商的集成能力則相對(duì)有限，甚至仍處于開(kāi)發(fā)階段。企業(yè)在選擇DSPM工具時(shí)，需要仔細(xì)評(píng)估集成范圍、集成級(jí)別、包含的其他保護(hù)功能，以及哪些功能需要額外付費(fèi)都需要花一些功夫調(diào)查清楚。

　　DSPM產(chǎn)品的部署方式可以是完全基于SaaS的云解決方案、內(nèi)部部署服務(wù)器或?qū)Ｓ锰摂M機(jī)，或者以上幾種方式的組合。