为新一代数据防泄露（DLP）系统构建智能引擎核心

可执行摘要

本报告是与 Cyera 合作进行的独立分析成果。Cyera 的支持使我们能够更深入地访问原始数据、客户访谈和技术简报。我们共同的目标是让安全领导者清晰地、基于事实地了解数据防泄露（DLP）技术如何从难以应对云蔓延和生成式 AI 风险的、基于规则的网关式工具，演变为将数据安全态势管理（DSPM）与实时执行相结合的现代化、具备情境感知能力的平台。

关键要点

• DLP领域正处于关键转折点：敏感数据的指数级增长、数据泄露成本上升以及云的快速普及推动了这一趋势。随着企业转向混合办公和数字化转型加速，传统 DLP 工具（通常笨重、孤立且误报率高）已跟不上步伐。这种动态环境凸显了全行业对更智能、自适应解决方案的迫切需求，这些解决方案能够在日益分散的生态系统中无缝保护数据。
• DLP 的总潜在市场规模（TAM）正在快速扩张：预计在未来几年内将达到数十亿美元。推动这一增长的因素包括不断增加的监管压力、对知识产权（IP）和个人身份信息（PII）的高度敏感性，以及内部风险和复杂网络攻击等不断升级的威胁。能够通过强大且创新的 DLP 解决方案有效应对这些挑战的公司，将有望充分利用这一广阔的市场机遇。
• 生成式 AI 的兴起带来了新的复杂性和漏洞：包括通过不安全的 AI 提示词、无意中的数据泄露以及企业内未经管理的影子 AI 使用暴露敏感信息。这些生成式AI 风险，加上传统 DLP 工具无法有效管理它们，造成了亟待创新方案填补的空白。企业必须优先集成智能、自适应的技术，以主动检测和防止生成式AI 环境中的敏感数据暴露。
• 历史上，DLP 领域催生了重要的行业领导者和创新，早期参与者如赛门铁克、Forcepoint 和 McAfee 奠定了基础方法。然而，植根于静态策略、孤立可见性和代理密集型部署的传统方法，如今已不足以应对现代威胁和数字化工作流。DLP 创新的下一阶段需要转型性的方法，从被动和基于规则的解决方案转向主动、具备情境感知能力的智能框架。
• Cyera 的 Omni DLP 作为一个变革性的智能层应运而生，它通过利用先进的 AI 提供基于情境的可视性、显著降低误报率，并在多样化环境中提供一致的策略编排，从而重新构想数据保护。Cyera 并非替换现有基础设施，而是无缝集成，增强有效性、加速部署并显著降低运营开销。这种智能驱动的方法代表着一个重大的进步，使企业能够以更高的精确性、敏捷性和弹性应对当今复杂的数据安全格局。

DLP 计划的目标

数据防泄露（DLP）的主要目标是防止敏感信息（如知识产权、个人数据或财务记录）未经许可离开组织的控制范围。这包括防止意外泄露、内部威胁和网络攻击。

DLP 解决方案防止企业数据泄漏以及数据的意外传输或丢失。DLP 根据动态的基于内容和上下文的策略实施，并提供对本地和云环境中静态和传输中数据的可见性和上下文分析。其底层技术使用数据分类标签和内容检查技术来识别敏感内容并分析与其使用相关的行为。DLP 还帮助您遵守法规（如 GDPR），让您了解数据的位置和使用方式，并最终降低数据泄露的风险和成本。其工作原理是识别、分类和监控敏感数据，以强制执行防止未经授权访问和共享的规则。

DLP的紧迫性与趋势显示的空白

企业正在努力构建有效的 DLP 计划，因为理解数据及其流动的情境极其困难。YL Venture 调查显示，根据Forrester 的“数据安全现状”（2024 年 7 月）^[1]，83% 的企业目前使用终端 DLP，但只有 13% 的企业在云端完全部署了其数据安全能力。这一空白，加上日益增长的隐私和合规要求，使得下一代 DLP 解决方案成为未来安全战略的关键组成部分。

与此同时，企业如今处理的数据量和类型呈爆炸式增长。基于对 218 多位 CISO 的洞察，2025 年将看到预算增加以优先考虑数据安全^[2]（包括 DLP）。数据表明 DLP 正在回归：近一半的数据安全项目涉及数据防泄露（DLP）。这种重新兴起的兴趣不仅关乎合规性；它也关乎 AI 为最终大规模改进数据分类带来的机遇。虽然数据安全态势管理（DSPM）作为一个独立类别似乎在减少，但在我们的交流中，秘密管理、数据保险库和令牌化都作为项目出现。

60% 的组织^[3]表示对其检测和响应数据暴露的能力缺乏信心。这种情况促使安全团队为 AI 时代重新评估和调整其数据安全策略，越来越多地考虑利用 AI 进行数据保护。日益增长的共识是：静态策略和基于正则表达式的检测已不再有效。团队需要能够学习、适应并实时运行的工具。许多组织试图通过预先识别和保护 AI 应用程序来管理 AI。然而，这种方法不可持续。随着 AI 被集成到几乎每一个应用程序中（例如现在集成 AI 的 Zoom），隔离并仅保护特定的 AI 工具是不切实际的。数据安全需要适应 AI 嵌入各处而非被分割的世界。当每个工具都变得由 AI 驱动时，不可能只保护“AI 工具”。

数据盘点和发现中最常用的方法包括数据备份与恢复（46%）和数据防泄露（DLP）解决方案（45%）。虽然这些工具在保护和恢复数据方面发挥着关键作用，但它们通常独立运作，导致孤岛效应，限制了组织内的可见性和协调性。没有共享的上下文，即使是设计良好的工具也难以提供有意义的洞察。

此外，根据我们来自 Cyera 的客座演讲嘉宾，大多数组织已经拥有多个具备数据防泄露（DLP）功能的工具，通常是六个或更多。作为补充，最近一项研究发现 94% 的组织至少使用两个 DLP 工具，平均超过三个。在许多情况下，组织并未充分意识到这些现有能力的全部范围。工具的激增导致了复杂性、低效性、巨大的管理开销和告警疲劳。

DLP 的历史挑战

高误报率

传统 DLP 解决方案最重大的挑战之一是海量的误报，某些情况下可达 90%。这些误报消耗了安全团队的资源和注意力，导致真正的安全事件在噪音中被忽视。这一问题源于对静态、基于模式的检测方法（如正则表达式）的依赖，这些方法无法准确区分良性行为和真实威胁的上下文细微差别。

静态和非自适应的策略执行

历史上，DLP 技术严重依赖预定义的静态规则和正则表达式来检测敏感数据。这种静态策略缺乏适应性，难以跟上动态的业务流程和不断演变的威胁态势。没有自适应能力或情境感知能力，策略很快会过时，导致覆盖空白、风险敞口增加以及因持续手动调整而产生的运营效率低下。

跨环境的碎片化可见性

传统的 DLP 工具通常孤立运行，造成重大的可见性空白。企业通常采用多个孤立的解决方案来管理 SaaS 应用、CASB 平台、电子邮件、终端、网络流量、API 和本地基础设施。这种碎片化的方法阻止了安全团队获得其数据格局的统一视图，极大地复杂化了持续执行数据保护策略和快速响应威胁的工作。

应对新兴生成式 AI 技术的挑战

生成式 AI 技术的快速采用引入了新的敏感数据暴露途径。风险包括通过提示词无意中泄露数据、大型语言模型（LLM）摄取导致的知识产权漏洞、未经管理的影子 AI 工具使用以及针对生成式 AI 滥用的保护不足。在这些新兴风险出现之前设计的传统 DLP 工具，一直未能有效地检测和管理这些复杂场景。

耗时耗资源的部署

部署传统的 DLP 解决方案通常需要大量的时间和专用资源，通常持续数周或数月。这个过程涉及大量的策略管理、调整、验证和持续维护的手动工作。因此，企业必须分配专职人员负责 DLP 维护，降低了敏捷性，增加了运营开销，并延迟了价值实现时间。

基于Agent模型的运营开销

基于Agent的 DLP 部署历来会带来相当大的运营负担，包括可能长达数年的冗长实施周期。这些Agent通常会导致明显的系统性能下降，使终端用户接受度复杂化并影响整体生产力。这种运营复杂性阻碍了组织充分利用 DLP 能力，从而导致敏感数据保护不足。

对现代威胁向量的有效性有限

传统的 DLP 解决方案常常难以应对当代威胁，如勒索软件、高级数据泄露技术、生成式 AI 利用以及来自非人类身份（如机器人和服务账户）的自动化威胁。此外，许多传统 DLP 产品缺乏足够管理基于 API 的集成或在 Slack、Microsoft Teams 和 Office 365 等协作平台内监控自动化机器人活动的能力，使得企业容易受到利用这些现代数字渠道的复杂威胁的攻击。

缺乏 DSPM 上下文

有效的数据保护从根本上需要深入理解底层的业务上下文。无论平台或环境如何，数据的敏感度定义都应保持一致，同时适应上下文变化，如用户位置、设备管理状态或角色变更。分布式策略执行（即采用适应特定上下文的统一核心规则）对于在环境中保持一致至关重要。

数据治理和架构的基础质量同样重要。没有结构化数据、全面的标签、清晰的权责和访问控制，DLP 工具就无法准确辨别数据的敏感性或风险，从而导致错误的决策和无效的保护。因此，安全团队必须与数据治理工作深度融合，利用明确定义的数据结构和生命周期管理实践。最终，成功的 DLP 计划建立在有意识的数据架构、全面的治理模型以及安全团队、数据所有者和治理利益相关者之间的协作之上。

行业如何解决数据丢失问题

DLP 解决方案类别

传统 DLP

企业级数据防泄露解决方案（EDLP）是综合性的独立平台，专门设计用于保护组织整个基础设施中的敏感数据。这些强大的工具通常提供集中管理、复杂的数据发现和分类能力，以及跨多个数据泄露渠道（如电子邮件、终端、网络流量、云应用和本地存储库）的广泛策略控制。企业级 DLP 系统旨在提供细粒度的检测机制，使企业能够强制执行详细的安全策略并满足复杂的法规要求。然而，它们传统上需要大量投资、复杂的实施流程和专门的团队进行有效管理和微调。

这些解决方案在广泛常见的数据泄露渠道（包括电子邮件、终端、网络、浏览器和云环境）上提供集中式策略管理和报告功能。EDLP 平台旨在为多个渠道提供一致的策略定义、部署和告警监控。部分供应商示例：Symantec DLP (Broadcom), Forcepoint DLP, McAfee DLP (Trellix)

嵌入式 DLP (IDLP)

集成式数据防泄露（IDLP）指的是嵌入在更广泛的安全或生产力平台中的 DLP 功能，而不是独立的解决方案。这些集成或融合的解决方案作为其他主要产品（如安全电子邮件网关 (SEG)、终端保护平台 (EPP)、安全服务边缘 (SSE) 或云访问安全代理 (CASB)）的一部分提供数据保护。虽然历史上其覆盖范围比企业级解决方案窄，但集成的 DLP 近年来已显著改进。它们通常为常见场景（如电子邮件保护、终端数据泄漏和基本的云数据保护）提供足够的覆盖和控制。这些解决方案的优势在于其简化的实施、通常更低的总拥有成本 (TCO) 以及在现有安全栈中的简化管理。

IDLP 指的是原生嵌入在更广泛的安全解决方案（如安全电子邮件网关 (SEG)、终端保护平台 (EPP) 或安全服务边缘 (SSE) 平台）中的 DLP 功能。历史上，IDLP 解决方案提供的渠道覆盖范围较窄，通常仅限于一两个渠道，并且其功能相比 EDLP 也不够强大。

子类别

1. 网络（SEG、SWG、SSE）DLP → 在网络安全工具（如安全 Web 网关 (SWG)、安全电子邮件网关 (SEG) 和安全服务边缘 (SSE) 平台）中集成 DLP 能力。
2. SaaS DLP → 旨在保护软件即服务 (SaaS) 应用内的数据，提供云环境中数据的可视性和控制。
3. EDR/EPP DLP → 将 DLP 功能嵌入终端检测与响应 (EDR) 或终端保护平台 (EPP)，专注于设备层面的数据保护。

供应商示例：

• Microsoft Purview（在 Office 365、Defender 中的 DLP 能力）
• Proofpoint（嵌入式电子邮件 DLP）
• Zscaler（嵌入到 SSE 的 DLP）
• Cisco Secure Endpoint（终端 DLP）

云优先和现代基于 API 的 DLP

云原生数据防泄露解决方案专为云环境设计，主要以软件即服务 (SaaS) 形式交付。这些解决方案利用 API 和原生集成来保护基于云的应用和服务（如 SaaS 生产力工具、云存储和基础设施即服务 (IaaS) 平台）中的数据。云原生 DLP 产品专注于在云应用内直接发现、分类和保护数据，应对现代安全挑战，如未经授权的数据共享、错误配置、影子 IT 以及在协作式和生成式 AI 平台内的数据滥用。与传统 DLP 不同，云原生解决方案提供快速部署、易于扩展、减少运营开销，并与敏捷、云优先的 IT 战略更好地契合。供应商示例包括 Cyera Omni DLP（AI 驱动的云原生解决方案）、Netskope Intelligent SSE – Cloud DLP 和 Nightfall AI。

下一代 AI DLP 智能层 (Cyera Omni DLP)

Cyera Omni DLP

Cyera Omni DLP 是 Cyera 数据安全平台的一部分，是一个 AI 原生的数据防泄露解决方案，充当组织数据安全技术栈的统一智能层。它作为一个 AI 优先的“策略大脑”，位于客户已有的数据执行工具之上。它摄取 Cyera 自身的 DSPM 驱动的分类引擎（“数据 DNA”）和身份上下文，然后在事件通过电子邮件、Web、SaaS、终端或 AI 渠道（如 Microsoft Copilot 和 ChatGPT）时重新评分每个事件。

Cyera 通过集成现有 DLP 和安全工具的 API（这些工具充当控制点，使用浏览器扩展、邮件网关或终端/内核Agent）来部署 Omni DLP。

该系统从过去的告警中学习，并通过 A/B 测试持续优化策略建议。Cyera 声称这可以减少高达 95% 的噪音，且无需团队手动调整规则。

历史与背景

在推出 Omni DLP 之前，Cyera 于 2024 年 10 月以约 1.62 亿美元收购了位于特拉维夫的 Trail Security，押注于实时动态数据控制。

Trail 此前主要在“隐身模式”下运营，但其创始人（以色列 Talpiot 精英技术项目的毕业生）已经构建了一个 AI 原生的 DLP 引擎，该引擎可以检查实时数据流，关联用户上下文，并在测试环境中抑制超过 90% 的误报。从 Cyera 的角度来看，Trail 填补了其平台最大的功能性空白。当时 Cyera 的优势在于静态数据智能：一个无代理的 DSPM 层，能够高精度地发现和分类云和 SaaS 资产中的敏感资产。Trail 补充的是缺失的“控制平面”，用于动态数据：策略创建、提示词检查、AI 驱动的异常评分以及与电子邮件、SaaS、SSE 和终端渠道的集成执行钩子。

通过将 Trail 的 DLP 大脑与 Cyera 的分类图谱融合，整合后的技术栈可以在一个工作流中回答两个长期困扰 CISO 的问题：我拥有什么数据？以及我能阻止它（主要通过生成式AI 工具）流失吗？

整合进展迅速。在收购完成后的六个月内，Cyera 将 Trail 的引擎产品化为 Omni DLP，利用 Trail 的 LLM 推理层来自动调整 Microsoft Purview、Zscaler、Netskope 和其他现有 DLP 控制措施，同时为 AI 提示词和浏览器上传添加了新的内联保护。Trail 的收购解释了为什么 Omni DLP 感觉不像一个附加功能，而更像 Cyera 数据安全平台的一个集成支柱。Trail 提供了实时执行能力；Cyera 带来了数据智能和身份上下文。它们共同构成了如今在市场上被称为 Omni DLP 的统一、AI 原生的 DLP 方法的基础。

新架构模型

AI 原生控制

此架构提供了几个有意义的差异。首先，Cyera 拥有整个方程的两半：通过 DSPM 进行静态数据发现，以及通过 Omni DLP 进行动态数据控制。这意味着策略继承的是精确的、列级别的分类，而不是通用的正则表达式和“信用卡号”字符串。

我们要指出，Cyera 提供的“学习分类”是基于生成式 AI 的分类，且特定于该客户的独特环境。通常这占他们在客户环境中发现的总分类类别的 20-40%。

其次，Omni 核心的大型语言模型（LLM）能解析完整的载荷（包括与 LLM 的提示-响应流），并用通俗语言解释其决策，这是大多数传统堆栈所缺乏的功能，对于与业务用户建立信任至关重要。第三，Omni 被设计为与现有基础设施（如 Microsoft Purview 或 SSE 平台）集成。这避免了“拆除替换”的部署模式，并将现有许可证转变为更智能的执行渠道。

统一的风险视图

Cyera Omni DLP 在所有三种数据状态下提供统一保护：动态数据、静态数据和使用中数据。这种全面的覆盖范围涵盖文件、应用程序、多样化的云环境以及涉及 AI 工具（如 Microsoft Copilot 和 ChatGPT）的特定解决方案。它是“AI 大脑 DLP”，能自适应地检测和监控数据、用户行为和环境变化的实时变化，从而保持始终如一的低误报率和高准确性。该平台提供对动态数据的统一、360 度视图，使组织能够按渠道、严重性和类别全面评估数据风险。它还提供可操作的洞察，根据风险用户、高风险目的地和活动的新近度等因素来确定关键告警的优先级。

现代 DLP 评估标准

Cyera 的方法超越了传统的动态数据 DLP，提供了一个真正全面的保护模型，涵盖所有三个关键状态的数据：静态、动态和使用中。这种全面覆盖是通过数据安全态势管理（DSPM）和数据防泄露（DLP）的协同集成实现的。

与传统的 DLP 局限性相比，我们对其以下核心能力印象深刻：

1. AI 驱动的告警优先级排序： Cyera 利用 AI 帮助安全团队穿透噪音，仅优先处理最关键告警。这显著减轻了“告警疲劳”的负担，使安全人员能够专注于真正重要的事件。
2. Gen AI 可视性与保护： Omni DLP 在生成式AI 工具上提供全面的可视性，深入到数据交互中，从最初的提示词到 AI 的响应。它能检测违反策略的数据，并利用来自 Active Directory (AD) 和人力资源信息系统 (HRIS) 等来源的关键上下文丰富信息，以加速事件分类。
3. AI 指导的策略管理： 该系统持续分析告警趋势、用户行为和历史数据，以智能地推荐、测试和部署高度准确、风险感知的策略。这些策略旨在动态适应不断变化的环境，确保保护而不会无意中制造新的安全漏洞。他们还有详细的告警分析 - 此功能也扩展到他们如何管理每个告警。在标记潜在数据丢失事件时，Cyera Omni DLP 会分配严重性等级并提供 AI 驱动的详细分析。这包括对标记原因、发生时间、责任人、预期目的地和严重程度的清晰解释，通常附带简单的摘要和相关告警，以便高效调查。
4. 自动化的规则创建： 超越了对复杂正则表达式的繁琐且通常不准确的依赖，Omni DLP 的 AI 学习准确识别组织独特的敏感数据（利用其 DSPM 上下文）。然后它会自动生成检测规则，这些规则原生适用于已有的执行工具，意味着规则被翻译成每个 DLP 控制点策略语言进行内联执行。AI 会随着每个告警持续学习、适应和优化这些策略，极大地减少了微调所需的手动工作。这种以数据为中心的 DNA 功能使他们能够轻松分解被触发告警的元素，评估其固有风险级别，并判断其是否构成误报。这种细粒度分析使安全团队能够做出自信、数据驱动的决策，消除猜测。
5. 主动内部威胁检测： 该解决方案擅长识别内部数据泄露的早期迹象。它通过分析企业 DLP 或安全控制中的行为模式、访问模式和数据的敏感性来实现这一点，使安全团队能够在风险升级为全面泄露之前区分常规工作和新出现的风险。
6. 减少部署和管理摩擦： 相比传统解决方案，Cyera Omni DLP 的价值实现时间更快。它尽可能利用 API 集成和现有基础设施，最大限度地减少对新Agent或硬件的需求。其统一控制台和智能自动化显著降低了持续的行政开销（更少的控制台、更少的待处理工单和简化的策略工作流）。这种易部署性和易用性是一个有竞争力的卖点，特别是对于无法承担大规模 DLP 改造项目的精简安全团队。
7. 智能告警与情境分析： 该服务向安全管理员发出潜在数据丢失事件的告警，并按严重性排序。其 AI 引擎为每个告警提供详细分析，解释标记原因、发生时间、责任人、意图目的地及其严重性。它还提供清晰的摘要并突出显示数据安全团队需要关注的相关告警。
8. 基于 API 的 AI 集成： 下一代解决方案专门解决基于 API 的 AI 集成以及在 Slack 和 Office 365 等平台内的机器人使用问题，确保在现代工作环境中的全面覆盖。

Cyera 可以集成到现有环境中，无需新的服务器、代理或造成中断。其快速的 API 连接支持快速设置（通常在几分钟内），便于在组织已有的 DLP 技术栈中编排策略。

DLP 的未来预测

AI 和 ML 增强的检测作为智能层

传统 DLP 依赖正则表达式和静态字典，在检测格式丰富的业务文档和新颖的混淆技术时都会出错。现代平台将机器学习分类器、自然语言模型和图分析的智能层嫁接在这一基础上。有监督模型学习敏感数据（如合同、设计规格、并购文件）的语义指纹，因此它们可以识别部分摘录、改写文本或屏幕截图，这些内容可能会绕过正则表达式。

无监督异常检测引擎为每个“用户-数据-渠道”元组建立基线，并显现表明内部泄露或凭据被盗的偏差。关键的是，这些 AI 引擎形成持续反馈循环：分析师标记告警，模型重新校准，误报减少而检测召回率提高。如果部署得当，ML 层还能充当协调中心，用来自 DSPM、IAM 和 UEBA 系统的上下文丰富 DLP 告警，使安全团队看到的是一个单一的、经过排名的队列，而非数以千计的噪音事件。

针对生成式 AI 风险的 AI 驱动 DLP

这点建立在之前的基础上。无论是像 ChatGPT 这样的公共服务还是嵌入在 SaaS 中的企业copilot等 Gen AI 平台，都创造了一个双向的风险通道：敏感数据可能流入提示词，而专有模型输出可能泄漏出来。“AI DLP”层在三个点监控这种对话：(a) 在请求离开用户设备之前进行提示词检查，标记或编辑 PII、受监管数据或源代码；(b) 模型内遥测，跟踪 LLM 摄取的内容及其保留或缓存方式；(c) 响应后分析，验证是否有敏感材料被回显或存储在未受保护的链接和向量中。通过关联浏览器遥测、SaaS 审计日志和支出/采购系统，影子 AI 的使用被显现出来。要有效发挥作用，解决方案需要细粒度的策略（例如“允许匿名化的财务指标进入 ChatGPT，但阻止客户账号”）以及动态风险评分（如果用户突然开始导出大型训练数据集，则会收紧控制）。这种能力必须超越单一聊天机器人，因为 AI 功能已嵌入到每个生产力套件中，检查和控制逻辑必须跟随用户身份和数据本身，而不是静态的域名列表。

自适应、情境感知的策略管理

静态的“一刀切”DLP 策略在开发人员居家办公、销售人员加入新区域或文件分类变更的那一刻就会失效。自适应策略管理利用实时上下文（如设备状态、地理位置、同组行为、最近的职位变动，甚至项目元数据）来动态调整执行。例如，在内部网络内下载敏感 CAD 文件可能是正常的，但从未受管理的平板电脑在公共 Wi-Fi 上发出相同请求则会提高策略阈值：下载被添加水印、使用限制在虚拟桌面基础架构 (VDI) 会话内，或者该行为直接被阻止。上下文引擎从 EDR Agent、身份提供商 (IdP) 日志、配置管理数据库 (CMDB) 和业务系统（HRIS, CRM）中提取遥测信息，因此一次分类更新或角色变动会瞬间波及每个控制点。决策在边缘（浏览器插件、SaaS API 或终端Agent）呈现，确保毫秒级的响应，无需迂回路由。其结果是一个活的策略结构，使安全性与业务意图保持一致：在风险高时严格，在工作流合法时隐形，并始终与组织不断变化的数据格局同步。

统一可见性与策略架构

组织必须从传统的本地架构过渡到云原生、云交付的 DLP 解决方案。这种方法提供更强的可扩展性、降低复杂性，并在混合环境中实现无缝集成，有效应对分布式劳动力和基于云的工作流。

为克服碎片化，安全和风险管理领导者应采纳提供统一可视性和跨 SaaS 应用、终端、网络、云服务和本地环境的集中策略编排的解决方案。这种整体的、集成的方法确保了数据保护的一致性和全面覆盖。

数据防泄露的下一篇章围绕一个单一的、云托管的“策略大脑””展开，它维护着每个敏感度标签、合规规则和零信任授权，同时将机器可读的控制分发到数据移动的确切位置（如笔记本电脑、SaaS 工作区、开发人员流水线和边缘设备）。通过在本地执行策略，安全团队消除了因直接入云流量和 VPN 绕行造成的盲点，使文件在非托管笔记本电脑上的Slack中被阻止，却能在受管理的构建服务器上为授权的开发人员顺畅流动。

同时，市场正在将传统的孤岛——DSPM、CASB/SSE、SSPM 和传统 DLP——融合成统一的数据安全云，这些云将身份视为主要控制平面，并通过用户意图、环境风险和敏感数据的组合视角来评估每一次读取、写入或共享。嵌入在终端的轻量级语言模型现在能在内容离开设备之前检测到有风险的复制粘贴事件或屏幕截图，让组织获得亚秒级的防护而无需将流量路由到瓶颈点。简而言之，DLP 的未来不是更大的网关，而是一个智能的、情境感知的架构，它将一套权威规则分发到每个控制点，并随着用户、数据和威胁的演变而实时适应。

DSPM + 生成式AI 驱动 DLP 的统一数据安全解决方案

现代数据安全应日益依赖于一种将数据防泄露（DLP）与数据安全态势管理（DSPM）协同融合的方法。两者结合形成强大的力量：DLP 补充了 DSPM 缺失的管控和行动能力，而 DSPM 为 DLP 补充了缺失的深度数据理解和上下文。这种集成有助于我们理解和保护整个生命周期的敏感数据。

现代 AI-DLP 利用无代理解决方案，结合先进的 AI、实时执行和无缝集成，为保护当今复杂数据环境中的敏感数据提供了一个动态、自适应的框架。

因此，供应商将传统的 DLP 能力（如动态数据保护）与 DSPM 融合，以满足静态数据和沿袭要求。如果没有工具，很难理解到底泄露了什么。DSPM 确实有助于理解泄露的范围及其重要性。

案例分析：

• 背景：Cyera 收购 Trail Security 是这一动态运作的完美例证。如前所述，利用 DSPM 解决方案标记的数据与生成式AI 驱动的 DLP 引擎相结合，提升了当今 DLP 的能力（相对于 20 多年前）。这一切都得益于更多数据带来更精准的检测，因为已发现和已分类数据的增加提高了动态数据的准确性。除了 Cyera，像 Proofpoint 这样的公司也在为其 DLP 平台添加 DSPM 功能，预示着解决方案的融合趋势。
• 调查的可追溯性：利用 DSPM/AI 简化了 DLP 引擎的构建方式。DSPM 提供基础逻辑，替代依赖手工规则或正则表达式。DLP 引擎利用该逻辑自动生成精准的检测规则，所需人工输入最少。这种转变改善了数据生命周期的每个阶段（静态、动态、使用中）的可视性。它使安全团队能够理解数据的完整路径，包括谁访问过、发送到哪里以及何时跨越环境移动。以前，这种可追溯性是不存在的。大多数团队无法追踪敏感文件是被外泄了、意外分享给了承包商，还是被拉入了 AI 模型。现在，他们不仅能检测泄露，还能识别意图，包括内部滥用、复制粘贴行为或生成工具内部的数据暴露。

现代 DLP 实施的关键挑战

采用与教育障碍

组织在理解和实施保护所有环境的综合性“Omni DLP”解决方案方面也面临巨大挑战。再加上安全团队需要接受大量培训以有效整合 DLP 与更广泛的数据安全策略，这需要投入大量的时间和资源。

与现有安全解决方案的集成

一个主要障碍是将新的 DLP 功能集成到既定的安全架构中。大多数组织拥有不能一夜之间替换的遗留工具和固定流程。必须仔细重组安全技术栈以支持现代功能，同时保留现有保护，这带来了在创新与运营稳定性之间进行艰难取舍的问题。

与现有解决方案的重叠和过渡

一个实际挑战是如何在已有其他企业 DLP 投资的基础上充分利用 Omni DLP。许多企业已经拥有一些 DLP 控制措施（无论多么不完善）。在引入 Cyera 时，他们需要一个清晰的过渡计划。如果管理不善，可能会出现工作重复甚至策略冲突（如前面所述）。例如，如果 Microsoft Purview 也在运行，在特定场景下哪个工具的策略优先？在分阶段推出过程中，安全团队可能同时看到两个系统的告警，需要进行协调。如果协调不力，这个过渡期可能会造成混乱且耗费人力。

组织制定明确的路线图非常重要：也许首先将 Omni DLP 置于审计模式，以获取对比性洞察；然后在证明其准确性后，逐步将执行工作从遗留/嵌入式工具转移到 Omni；最终停用或最小化旧系统的使用。向 IT 和最终用户传达这些变更也很重要（特别是如果最终用户行为或通知受到影响，例如阻止消息的变化）。

最终，这是一个变更管理的挑战。这不仅仅是部署新技术，还需要重新设计工作流程、审视团队职责并淘汰旧方法。Cyera 及其合作伙伴通常会通过提供最佳实践和迁移手册来协助这一过渡。尽管如此，公司应计划时间调整 Omni DLP 的策略，以匹配或改进先前的实施，避免任何保护损失。好处在于一旦过渡完成，持续的管理开销会显著下降。但对于大型企业来说，要达到这个阶段，一个全球性的企业项目可能跨越数周或数月。

市场竞争

市场上的新解决方案常常面临来自已在传统 DLP 和 DSPM 工具上投入巨资的组织的阻力。对于新兴供应商来说，这一挑战尤为严峻，他们必须清晰地展示其价值主张，突出其独特的特性和能力，以证明转向其平台的合理性。

结论

数据防泄露正在进入一个决定性的新阶段。曾经主导市场的规则繁重、以Agent为中心的平台，如今在应对云蔓延、混合工作以及由生成式 AI 驱动的工作流的不可预测性时举步维艰。当今的安全领导者需要的不是又一次“拆除替换”，而是一个能与他们已拥有的控制措施（无论是 Microsoft E5 DLP 功能、SASE 检查点还是小众 SaaS 连接器）无缝融合的智能层，并将它们提升到一个一致的、具备情境感知能力的水平。

这种智能层正通过 DSPM 和 DLP 的融合而到来。通过发现和分类静态数据，DSPM 提供了策略性 DLP 长期以来在动态数据上所缺乏的业务上下文——谁拥有数据、其敏感度如何、它流向哪里。当两者协同工作时，策略决策从脆弱的模式匹配转变为基于风险的判断，显著降低了误报噪音，同时加强对真正高风险传输的防范。

人工智能加速了这一融合。大语言模型现在能够为非结构化内容生成“指纹”、在多云存储库中绘制谱系图，并近乎实时地预测用户意图。将 AI 部署为策略大脑而非附加功能，它能持续优化分类、自动生成细粒度规则，并优先处理值得人工审查的事件——从而将 DLP 从永无止境的调整活动转变为自优化的控制措施。

Cyera 是这一现代发展轨迹的典范。其平台从广泛的、无代理的发现开始，应用 AI 对数据风险进行分类和评分，然后将这些洞察反馈给客户运行的任何现有 DLP技术栈中。通过这种方式，Cyera 将遗留部署从钝器转变为自适应、零信任的执行者。同时，其朝向完整数据谱系、终端级防护和更深层生成式AI 保障的路线图，使其能够跟上数据实际被创建、共享和消费的方式。

对安全领导者的启示很明确：2025 年及以后，有效的 DLP 将取决于统一的发现能力、AI 驱动的上下文和分布式执行——而不是更大的网关或更长的正则表达式列表。拥抱这一模式的企业，不仅能削减运营阻力和告警疲劳；它们还将建立一个有弹性的数据安全架构，准备好迎接未来十年带来的任何创新——和风险。

原文链接

Building the Intelligence Layer for the Next Wave of Data Loss Prevention (DLPs): https://softwareanalyst.substack.com/p/building-the-intelligence-layer-for

引用链接

[1] The State Of Data Security, 2024: https://www.globenewswire.com/Tracker?data=ADZ2nshDF87UVIIN7GWSER9sXAaFCvbd6d0U2QGeb9WZ0LcRhU72qhc9Jx5RzbsE7p--qJUBWROMu-_SybWdKlLsmGVpem7T9p3YCsLdvxXMWN-90rxO_Zn4et06SYmYo7KIRXdzKKZyy1wQMSzxWBRspdlx2K_BUMajM5dBZNrxjz9mW07uif5YmiOBRbLRUAY-HPi2MNbdEN8FrDDKqHjfNJf2KhnZ2cEBYMB73pg=[2] How CISOs Are Spending Their New Budgets: https://news.crunchbase.com/cybersecurity/ciso-budgets-rising-generative-ai-ellis-yl-ventures/[3] Cyera Acquires Trail to Revolutionize Data Loss Prevention in the Era of AI: https://www.cyera.com/blog/cyera-acquires-trail-to-revolutionize-data-loss-prevention-in-the-era-of-ai