2017年Gartner的数据防泄漏(DLP)魔力象限(Magic Quadrant)

2017年Gartner的数据防泄漏(DLP)魔力象限(Magic Quadrant)

入围厂商介绍

Leaders

1. Symantec

赛门铁克总部位于加州山景城，2007年收购Vontu以后正式进军DLP市场。已被收购。

赛门铁克最近发布了Symantec Data Loss Prevention 14.5版，整套产品体系包括:

DLP Enforce平台

DLP IT Analytics

云存储（支持的云应用超过65个）

用于Microsoft Office 365的Cloud Prevent（云防御）

端点DLP

移动端DLP

网络DLP

用于存储的DLP以及针对第三方安全产品的DLP API服务（如用于加密或应用DRM的内容提取、报告和FlexResponse)。

赛门铁克将持续加大信息保护业务中的DLP技术研发投入。

2016年，赛门铁克收购了Blue Coat，并间接获得了Blue Coat收购Elastica和Perspecsys后拥有的CASB技术，通过Elastica和Symantec DLP之间的双向REST API进行DLP策略集成。

优势

a. 敏感数据检测技术强大，表单检测、图像分析、手写识别等，覆盖的数据泄露场景广泛。

b. 支持多种DLP产品的混合部署模型，能够将检测服务器部署到与本地DLP Enforce平台连接的AWS、Azure或Rackspace中。

c. 基于与DLP策略相匹配的内容操作使得Symantec的SmartResponse系统管理起来非常灵活。

d. 其DLP向量机学习（VML）能够帮助用户通过正确或错误的内容示例来训练DLP系统。当传统的模式匹配方法不足以准确地匹配内容时，这个方法就显得非常实用和创新了。

劣势

a. 用户反映他们在采购或更新赛门铁克DLP的Data Insight这一附加产品时不够便捷，因为该产品现归Veritas所有。如果你对Data Insight感兴趣，采购时一定要明确经销商是否也能销售Veritas的这个产品。

b. 监控和发现云应用中的敏感数据时，同时启用DLP端点发现工具和赛门铁克CASB连接器才能实现全面功能。

c. 整体部署成本高昂。

2. Forcepoint

Forcepoint：在并购和被并购中成长起来的巨人。已被收购。

2015年，雷神从私募股权公司Vista Equity Partners手中收购网络安全服务提供商Websense。2016年，雷神又从Intel Security公司收购了两条防火墙产品线——Stonesoft与Sidewinder。雷神原网络安全部门加上Websense以及Inte的防火墙产品线合并重组后，最终以Forcepoint的名号重新面世。

Forcepoint总部位于美国得克萨斯州的奥斯汀，几年来一直被认为是企业DLP市场的领军企业。Forcepoint DLP产品线包括Forcepoint DLP Discover、Forcepoint DLP Gateway，Forcepoint Cloud Applications和Forcepoint DLP Endpoint。2017年2月，Forcepoint宣布有意收购Imperva的Skyfence云访问安全代理（CASB）业务。

经过多年以来在企业DLP与web防护及电子邮件网关产品中集成DLP模块方面的研究，Forcepoint已经形成了一套备受瞩目的企业DLP组件，覆盖网络、端点和数据发现（内部与云端）等全方位的功能，另外还有两大特色功能是知识产权保护与法律遵从策略的实施。

对于那些同时需要满足合规性与知识产权保护要求的企业机构或希望在Azure公共云基础架构内部署DLP虚拟设备的企业机构来说，Forcepoint是理想选择。

优势

a. 端点DLP可以通过Microsoft RMS自动加解密文件，而不会根据使用的端点数据、传输数据和发现规则删除RMS的保护措施。

b. 从多租户的云基础架构提供企业级DLP策略引擎。

c. 具有350多个预定义策略和一个嵌入式UEBA组件，用于实现其它的安全分析功能，例如时间风险评级、内部威胁识别、受感染设备的突出显示、通过数据窃取风险指标识别高危用户与活动。

d. 结构化数据指纹识别功能颇受好评，特别是对Salesforce中数据指纹的识别功能。

劣势

a. 有些客户反映结构化数据指纹识别功能存在技术问题。如需对数据库中的数据进行结构化数据指纹识别，请确保在特定数据库环境中使用实时数据对此功能进行全面测试。

b. 按道理，雷神在国防事业中的叱咤风云能够帮助Forcepoint在其它威胁情报产品方面更有起色，但是一直以来貌似都没有成功案例。

c. 雷神的倾美性以及和美国联邦政府的私交关系导致Forcepoint的市场拓展存在一定的地域排斥问题。因此在选择其产品之前，因考虑到你所在企业是否存在这个问题。

3. Digital Guardian

Digital Guardian（原Verdasys）成立于2002年，总部位于马萨诸塞州的Waltham市。Digital Guardian的企业DLP方案主要的研究侧重在端点DLP，2015年10月收购 Code Green Networks（CGN）后完成了产品集成，加入了网络DLP与发现DLP的模块。此后，Digital Guardian推出了网络DLP产品线。

Digital Guardian的端点防护产品线涵盖DLP、ATP防御工具、端点检测与响应工具（EDR），以单一代理的形式安装在笔记本或服务器上，而且同时支持Windows、Linux、Mac OS X系统以及VDI环境。

Digital Guardian的网络DLP和数据发现产品同时具备网络数据防泄漏、云数据保护、数据发现等功能，并且能够以硬件、软件或虚拟设备的形式呈现。

2016年，Digital Guardian致力于对端点DLP中的管理功能以及CGN收购中的资产进行简化整合。在网络DLP方面，该公司还与Fidelis Cybersecurity建立了合作伙伴关系。

Digital Guardian对于那些合规要求非常严格的企事业机构来说是比较合适的选择，例如医疗、金融服务行业以及知识产权保护要求较高的企业。另外对需要统一DLP规则在Windows、Mac OS X和Linux的操作系统中运行性能良好的企业来说也是很好的选择。

优势

a. Digital Guardian产品与配套的托管服务无缝衔接，部署、响应速度快，项目成功率高。

b. 与其它安全产品集成度高，包括威胁情报平台、网络沙箱工具、用户和实体行为分析工具（UEBA）、云数据保护工具以及安全信息和事件管理工具（SIEM，包括IBM QRadar和Splunk应用商店中的应用）。

c. 端点DLP的模块许可客户端支持Windows、Mac OS X和Linux系统，而且端点功能也支持设备可视化与控制、DLP及高级威胁防御等工具的任意组合。

d. 发展定位、企业目标与全球威胁态势、行业趋势的结合度高，产品可塑性强，发展前景广阔。

劣势

a. 端点与网络产品中采用的策略不一致。

b. Digital Guardian的agent（代理）无法区分Microsoft OneDrive中的个人账户和企业账户。但它能够阻止个人OneDrive应用程序的使用。

c. 收购CGN后的产品、数据整合问题遇到瓶颈。

d. Digital Guardian端点agent不支持结构化数据指纹识别，但此功能可通过CGN的agent来实现。

4.Intel Security

2016年9月，英特尔宣布向TPG出售英特尔安全公司（McAfee）51％的股份，于2017年年中完成股权交易。

在过去几年中，英特尔安全公司多次在多个产品线上徘徊，这样的业务行为也没有给予员工过多的知情权和建议权，最终导致了大量的员工消耗，有的自立门户，有的被竞争对手聘请。

其主要发展策略是将收购公司的产品与McAfee ePolicy Orchestrator（McAfee ePO）系统进行整合，提供策略管理、告警监控、端点设备DLP事件中的数据安全事件关联、网络传输、企业内部文件共享与存储库中的数据发现服务。最新的DLP10.0在端点数据防泄漏的功能上加强了很多，对网络DLP产品也作了更新。

英特尔安全公司对那些在McAfee ePO上作了大量投入的企业机构来说是非常合适的选择。对于想要获得DLP、设备控制、加密功能等一站式防护服务的客户来说也是理想之选。

优势

a. McAfee Web网关代理中的DLP集成支持对动态内容检查（包括电子邮件托管商和云存储产品）的Web流量的解密和重新加密。

b. 用于数据捕捉的数据库能够索引和存储网络和端点组件上的所有数据。客户反映该功能有助于测试新的规则，在制定规则和事后调查之前对所发生的事件进行取证分析。同时也能够与Guidance Software和AccessData产品直接集成。

c. McAfee DLP 10版本中的端点设备具有在Windows和Mac OS X系统中基本级别的数据分类功能，并且仍然与Titus和Boldon James紧密结合，实现多种方式的数据分类。

d. DLP端点规则具有定位感知功能，并且可以对在线和离线的内容检测实施不同的响应措施。

e. 安全创新联盟（SIA，Intel Security发起的厂商联盟）稳步发展，大大刺激了英特尔安全公司用户的DLP投入，因为DLP产品通过联盟在数据分类、数字版权管理（DRM）和UEBA方面不断整合完善。

劣势

a. McAfee DLP仅支持与Box进行本地API集成，用于云数据发现。但不支持其它云应用。

b. 英特尔安全公司对Mac OS X上的DLP 10代理作了改进，但在电子邮件、web及云上仍然欠缺。另外也不支持Linux系统。

c. 有客户反映其DLP策略配置与其它企业DLP产品相比更为复杂。

d. 英特尔安全公司未来在DLP市场的成功与否取决于公司运营状况以及今后是否仍然把发展目光持续保留在数据安全业务上。

Niche Players

1. CoSoSys

CoSoSys是今年Gartner企业DLP魔力象限新的入围者，于2004年在罗马尼亚成立，在德国、韩国、阿联酋和美国均设有办事处，业务发展遍及全球。

CoSoSys以其端点DLP产品——Endpoint Protector闻名全球，当然，它也有网络DLP及e-discovery的产品作为企业数据防泄漏产品组合中的部分内容。CoSoSys还有加密产品、iOS和Android的移动设备管理系统以及涵盖Linux、Mac OS X、打印机、终端服务器和其他虚拟桌面基础设施（VDI）瘦客户端的特定DLP产品。

CoSoSys对那些含有各类端点设备并且需要基于操作系统实施细粒度DLP策略的企业机构来说是不错的选择。

优势

a. DLP系统支持各类端点以及Windows、Mac OS X和Linux等各个版本的系统。

b. 管理平台非常直观，客户反映其监控和报表功能的配置和使用十分便捷。

c. CoSoSys为Linux提供了强大的开箱即用支持，并且有针对CentOS、Red Hat Enterprise Linux和Ubuntu的端点DLP，还能够根据客户要求为特定内核和操作系统版本提供定制化的Linux支持。

d. 技术支持响应速度快，能够为客户快速地解决问题。

劣势

a. 网络DLP和e-discovery功能的市场知名度不高。

b. 校订功能局限于文本格式，不能对PDF和Microsoft Office的文档进行校订。

c. 不能与第三方加密工具或权限管理产品进行整合，少了一种风险缓解方法。

d. 只有基于代理的DLP发现功能。

2. Clearswift

成立于1982年，总部设在英国的Theale市。2013年同时收购了Jedda Systems与Microdasys的终端和web流量检查系统，然后花了两年时间完成了一个完全集成的自适应DLP（A-DLP）产品套件，并于2015年面市。

2017年1月，Clearswift被Ruag收购，成为其网络安全防御业务模块的一部分。

Clearswift的企业DLP产品套件同时适用于终端和服务器，对使用中的数据及静态数据进行扫描，通过安全的邮件及web网关控制措施传输动态数据。

常见的管理与策略控制措施能够在任何产品中实现集中管理，包括网关及关键信息防护（CIP）服务器，它们在所有通信渠道中使用的是相同的策略。Clearswift涵盖多个通信渠道（电子邮件、Web、终端）并与集中式数据安全治理功能相结合，能够跟踪整个企业中的信息流动情况。Clearswift在邮件数据防泄漏方面尤为突出。

优势

a. 强大的网络DLP功能，提供“自适应编排”修复选项，可自动删除入站和出站的敏感数据，同时保留剩余内容，避免影响业务生产力。

b. DLP策略规则流程直观。

c. 内置的数据分类系统可调性高，并且还具有可配置的“置信度”级别。 另外也支持Titus和Boldon James的第三方数据分类。

d. Clearswift的数据清理功能可以删除文件元数据中的内容，如文档属性和修订历史记录，而且也能删除活动内容，如宏和嵌入式可执行文件。

劣势

a. 对Ruag收购前发展方向和方针不熟悉，把Clearswift与Ruag的整个产品体系完全整合起来还存在问题。

b. 缺乏Mac OS X与Linux操作系统的端点DLP服务。

c. 在企业DLP市场中的占有率低，因为大多数客户都认为它主要保护的邮件数据安全。DLP市场局限于英国、德国、澳大利亚、日本。

d. 缺乏本地云防护功能。云数据发现需要通过Windows中的驱动器将数据映射到云存储存储库中（如Dropbox或Microsoft OneDrive）。但在这个问题上，Clearswift已经与GeoLang（英国本土主打数据防泄漏产品的明星初创公司）建立了合作伙伴关系，共同解决这个难题。

3. InfoWatch

InfoWatch总部位于莫斯科，由卡巴斯基实验室（Kaspersky Lab）作为初始项目成立一批公司中的其中一家。它在俄罗斯/独联体（CIS）以及亚太地区和拉丁美洲的市场占有率高。

流量监控器能够有效发现内部威胁以及员工所使用的风险数据。InfoWatch不但销售产品，也提供专业的服务，能够根据客户的特定要求，进行策略的定制化设计。它还能够为法律诉讼、事件调查等用户需求提供取证服务。另外，DLP策略还支持多种语言。

购买InfoWatch的客户其主要目的是监控公司内部的信息流，尤其是员工与数据记录进行交互的情况，该功能是大多企业DLP所缺少的。

Gartner对InfoWatch在本土俄罗斯以外的市场（拉丁美洲、亚洲南部以及印度）进行调研后发现，该公司绝大部分的业务收益还是来自于本国内部。它在其它国家市场上的推广还有待提高。

对于那些需要强大的网络DLP功能、员工网络（社交媒体、文本、语音等）监控功能以及需要多语言支持的企业机构来说，InfoWatch是理想之选。

优势

a. InfoWatch的宗旨是帮助企业通过多语言流量监控器的行为分析功能来识别不忠诚的员工和欺诈活动。

b. InfoWatch的语言分析功能涵盖语言种类多样，甚至包含印地语等小语种。

c. 售后服务反响良好，尤其是快速的事件响应支持及远程协助服务。

d. InfoWatch支持通过手机短信查询，能够和端点DLP的各个agent通过短信进行信息沟通。

劣势

a. 缺乏本地API集成的云服务，不具备在托管电子邮件提供商或云存储产品中发现静态敏感数据。

b. 源代码检测不是默认策略，需要对语言学类别进行额外的定制，才能充分发现源代码。

c. 目前不支持Mac OS X。

d. DLP策略中不具备基于内容匹配加密或权限管理的修复选项。

4. Zecurion

Zecurion的企业DLP包含端点DLP（名为Zlock）、网络DLP（Zgate）以及扫描静态数据的Zdiscovery，同时还提供移动端（iOS和Android）的DLP产品。总部位于莫斯科，在美国纽约也有办事处。

与其它区域集中型厂商类似，Zecurion的绝大部分营收还是来自俄罗斯。但本报告相关内容也参考了Zecurion在俄以外的客户，例如美国客户。

对那些需要高级端点防护功能、员工监控功能、社交媒体中DLP事件跟踪功能的客户来说，Zecurion是合适的选择。

优势

a. Zecurion能够对端点代理所“看到”所有数据进行完整存档，还可以捕获屏幕截图和终端用户的其它屏幕活动。

b. Zgate的网络DLP涵盖了250多种社交媒体，包括Linkedln、Facebook、Google和Yahoo等，并对这些网站提供支持服务，如IM（即时通讯）、网络邮件和文件托管。

c. Zgate支持Skype上的语音拦截和文件传输捕获。

d. Zecurion管理控制台支持Microsoft SQL或Oracle数据库后端的事件日志记录。

劣势

a. Zecurion管理控制台无法在云上部署。

b. Zlock端点DLP代理在Mac OS X和Linux系统的终端上功能有限。

c. 对本地云的支持功能欠缺。Zecurion无法在托管电子邮件提供商的云上发现敏感数据。

d. Zecurion不支持第三方数据分类、加密或DRM产品进行风险缓解。

5. Somansa

Somansa成立于1997年，于1999年首次发布其网络数据泄露检测（DLD）产品。总部位于韩国首尔，在亚太地区的市场占有率高。

Somansa的企业DLP系统包含实现端点DLP和发现DLP的Privacy-i和支持电子邮件、HTTP / HTTPS、IM和FTP协议等网络DLP的Mail-i。这些产品在2016年都有更新。

Somansa在除美国以外的政府部门中特别吃香，尤其是在亚太地区。拉丁美洲、美国和加拿大也有其客户，在美国加利福尼亚州圣何塞也有办事处，为北美市场提供支持。而在欧洲市场中的占有率较低。

Somansa对于那些需要在大量存储库（数据库、CRM、ERP应用等）中发现数据的用户来说是相对合适的选择。

优势

a. Somansa能够利用本机API发现存储在Amazon S3、Box、Dropbox、OneDrive、Office 365、Salesforce和Google Drive中的敏感数据。

b. 售后与快速的问题解决能力，尤其在提供更新修复方面受到用户的肯定。

c. 针对亚太地区的法规遵从（合规）做得很出色。

d. 支持CRM和ERP应用程序中的发现DLP，并且支持Informix、Microsoft SQL、MySQL、PostgreSQL和Sybase等多种平台和数据类型。

e. 端点DLP支持支持Windows、Mac OS X和Android系统，而且它是这个魔力象限中唯一一家支持在HP-UX和AIX上运行的本地DLP发现代理厂商。

劣势

a. Somansa不支持部分文档匹配或非结构化数据指纹识别的检测功能。

b. 市场主要集中在韩国，部分位于在巴西、中国、日本、墨西哥和美国。

c. 数据分类功能内置于Somansa DLP产品中，不支持Boldon James、Microsoft或Titus对的第三方数据分类。

d. 策略引擎的语言仅包含英文、中文、西班牙文、韩文、日文和葡萄牙文。

6. SearchInform

SearchInform也是今年企业DLP魔力象限的新面孔，成立于1995年，总部位于莫斯科。SearchInform的起家业务是企业搜索以及数据的存储和处理，2004年开始发布DLP产品线进行数据的保护。

它在俄罗斯的市场占有率高，另外在哈萨克斯坦、白俄罗斯、乌克兰和波兰设有办事处。由于其俄罗斯境外缺乏足够的销售人员和营销渠道，因此SearchInform还是会加大国外市场的投入。想要规避区域规模竞争，扩大生态系统才是出路。

希望模块化实施DLP的企业可以选择采购SearchInform的产品，例如有的系统只执行打印控制，有的系统执行整套DLP功能。

优势

a. SearchInform具有强大的DLP分析功能，包括语音到文本转录功能，但该功能目前仅限俄语。

b. DLP端点代理具有模块化结构，因此用户可以选择仅部署某些功能，例如设备控制、打印机控制和DLP Web组件。

c. 强大的图像分析能力——OCR和自己的图像分析技术。

d. 强大的报告功能，在其大型内置报告库中还包含了用户关系报告和云服务使用报告。

e. 用于DLP系统管理的SearchInform AlertCenter（告警中心）和管理DLP调查的IncidentCenter（事件中心）设计优良，工作流程清晰简便。

劣势

a. SearchInform DLP端点支持Windows和Ubuntu Linux的所有主要版本，但不支持Mac OS X。

b. 源代码检测需要自定义词典，没有预先搭建的开发语言策略。

c. CloudSniffer仅支持Box、Dropbox、Google Drive和Yandex。

d. 客户反映其产品缺乏除Microsoft以外的电子邮件可视化，而且目前也不支持抓取S / MIME加密电子邮件。

Visionaries

1. Fidelis Cybersecurity

成立于2002年，2012年被General Dynamics（“通用动力”是一家美国国防企业集团）收购，2015年由于Marlin Equity Partners的投资重新独立，总部设在美国华盛顿。重新独立运营后，该公司去年还顺道挖来了通用动力几位安全运营与事件响应方面的专家，另外还招聘了一支企业导向型的销售团队不断进行私募股权投资，团队规模迅速扩大。2015年5月，Fidelis收购Resolution1 Security后又储备了很多擅长EDR技术的员工。

Fidelis与Digital Guardian在技术合作方面具有多年的合作关系，Fidelis的DLP产品和Digital Guardian的管理控制台集成，形成全套的DLP解决方案。因为Digital Guardian通过对Code Green Networks的收购，建立了自己的网络DLP产品线，而Fidelis也越来越注重于威胁预防与检测的研究，双方的伙伴关系日益淡化，最终瓦解也是必然趋势。

因为很多客户一直认为Fidelis不仅仅是一个独立的网络DLP供应商，这种消费者驱动因素促使Fidelis加紧拓展其它业务方面。但是，话说回来，DLP技术仍然是它的核心技术。Fidelis希望将DLP功能作为网络威胁检测和预防大平台的其中一部分内容。

对于那些希望采购网络威胁检测与防御工具兼具DLP功能的机构来说Fidelis是理想之选。

优势

a. 网络DLP 的网络内容检测及吞吐功能世界顶尖。

b. Fidelis的网络DLP能够在没有第三方代理的情况下主动防止数据泄露。

c. 去年，Fidelis推出了托管服务产品，为托管的云基础架构中元数据和分析组件进行管理。其网络DLP支持在Amazon Web Services（AWS）或Microsoft Azure基础架构中进行部署。

d. 开箱即用的规则集广受用户好评。

e. 售后响应速度快。

劣势

a. 过去几年对DLP 的发展重视度下降，转而把更多的精力放在威胁防御与EDR功能方面，带来一种DLP技术好像没有其它技术重要的发展局面。

b. 一旦失去与Digital Guardian的合作关系，Fidelis再想实现发展企业DLP市场的目标就很困难了。除非重新巩固与DG的关系，或者再寻找其它的技术伙伴扩展端点DLP与发现DLP的功能。

c. Fidelis的用户界面让人不敢恭维，比如分析师无法便捷地确定应用规则的位置及类型。

2. GTB Technologies

成立于2004年，总部位于加州的Newport Beach。其整个企业DLP产品套件包括网络DLP、端点DLP以及发现DLP，另外还包括集成式的企业数字版权管理工具（EDRM）。

GTB DLP产品线包括GTB中央控制台服务器（物理或虚拟设备）、用于网络DLP监控和实施的单个GTB检查器（物理或虚拟设备）、发现服务器（对各类数据进行自动分类和扫描，包括文件共享、Microsoft Exchange、所有数据库、SharePoint以及Box等云存储中的数据）。

GTB Advanced Endpoint Protector（高级端点防护工具）支持Windows、Mac OS X端点、服务器和VDI环境。

GTB检查器能够查看所有端口和协议，执行协议分析，确定该连接上的流量类型以及需要检查的内容。光学字符识别（OCR）服务器具有所有DLP组件的功能，包括修改部分图像，识别嵌入在图像或其他内容类型中的部分或全部图像。所有产品都可以在物理硬件或虚拟机（VM）内部运行。

GTB对那些希望快速获得DLP投入回报的企业机构来说是理想之选，快速部署，迅速获得使用结果。

优势

a. GTB的数据指纹、OCR和本地SSL解密技术组合形成了强大的阻断功能，在知识产权保护应用方面尤为突出。

b. GTB的发现功能备受好评，它能够从各种数据存储库（包括内部和云端的数据存储平台）中对大量数据进行快速分类、分析。

c. GTB还提供托管服务，但因为其产品使用与管理的简便性，客户认为不需要他们提供3-6个月的服务。因此，GTB的服务模式是按月计算的，避免了将客户绑定在较长服务周期内的问题。

d. GTB产品性价比高且功能强大，整体售后服务质量也不错。

e. 发现云端数据是GTB产品的又一大亮点：通过本地API集成与Box、Dropbox、Google Drive、Microsoft OneDrive for Business无缝对接。

劣势

a. 缺乏强大的销售渠道，直接销售人员数量也十分有限，市场知名度较低。

b. Advanced Endpoint Protector目前尚未实现对Linux系统的全面支持。

c. 用户界面不够简洁、直观。

本文内容翻译自全球著名IT咨询公司Gartner发布的2017年DLP产品魔力象限报告。