研究機構Gartner在其發布的《2022年數據安全技術成熟度曲線》報告中，提出了一種新的數據安全方案——數據安全態勢管理（DSPM）。根據Gartner給出的定義，DSPM需要為企業組織提供數據安全可見性，以便深入了解敏感數據的位置、訪問權限、如何被利用以及如何存儲等安全狀況態勢信息。企業安全團隊如果想從應用DSPM中獲得更大的好處，就需要對這項技術進行深入了解。

新型數據安全攻擊面

我們已經生活在基于云的數字時代，那些能夠從數據中獲取最大價值的組織將成為最后的贏家。在數字化轉型和數據民主化的發展背景下，企業開展數據安全保護工作也具有以下特點和挑戰：

01多云應用常態化

云上數據安全現狀表明，一半以上的企業組織需要與至少兩家云服務提供商（CSP）打交道。復雜的云計算基礎設施架構很容易讓數據安全和治理專業人員覺得困擾，他們需要處理多家配置各異的云計算平臺，而多云基礎設施建設還在不斷發展，這讓云計算的應用管理具有很大挑戰性。

02影子數據激增

開發人員和數據分析師經常因為工作原因，在短時間內創建新的數據存儲系統，卻沒有經過企業統一的授權批準。因此，企業組織會大量產生出所謂的“影子數據”，這主要是指那些不受規范治理、未規范上報給安全團隊的數據。據調查數據顯示，有82%受訪人對影子數據的潛在危害表示擔憂。

03不斷變化的安全邊界

隨著云計算的廣泛應用，企業組織的傳統安全邊界已不復存在。網絡上的任何人都有可能以合規或違規的方式訪問數據，這使得企業的敏感數據更加容易被非法攻擊者竊取。

04更短的開發周期

在DevOps開發模式下，開發人員現在完成應用系統軟件的開發可能只需幾天甚至幾小時，而不是以前的幾個月。開發團隊只需點擊幾下鼠標或鍵盤，就可以改變應用系統的環境，而安全團隊常常并不知情。

所有這些因素共同構成了一個新的“數據安全攻擊面”，這是一種新的威脅途徑。傳統數據攻擊面取決于企圖利用漏洞以便非法訪問受保護信息的外部人員，而相比之下，這種新型數據安全攻擊面更多是源自組織內部人員在使用數據推動創新時造成的大量非持續性意外風險。Gartner認為，這種新型攻擊面的出現促使企業組織需要新一代DSPM解決方案。

DSPM的應用價值

DSPM方案可以自動識別和確認整個環境中的數據泄露風險，從而幫助企業實現數據風險可視化、事件響應和合規性監控。企業組織部署DSPM會有以下諸多好處：

01避免敏感數據暴露

DSPM能夠查找并發現所有已知數據和影子數據，實現企業所有數據資產的可見性，有助于企業識別放置錯誤的數據、配置錯誤的數據資產以及過于寬松的訪問權限，從而識別暴露的敏感數據。

02讓攻擊面更易于管理

DSPM能夠識別和修補任何違反數據安全管理要求的行為，精簡過時數據，并確保企業符合PCI、GDPR和CCPA等現有法規要求，這些做法可以在允許數據增長的同時降低數據風險。

03實現數據利用與保護的平衡

DSPM還可以給開發人員和數據分析師提供幫助，因為它可以自動驗證和執行現有的安全策略。在此模式下，數據分析師可以更自由地利用數據，同時數據會受到更適當的保護。

04降低違規處罰的風險

CDMC、GDPR、COPAA及其他數據安全法規經常會讓數據安全專業人員感到責任艱巨，一旦違規企業將會面臨財務和商譽上的多重損失。DSPM可以通過發現云端數據，對數據進行分類，然后幫助企業符合數據安全策略，從而幫助安全團隊減輕合規壓力。

05降低數據應用成本

在當前經濟環境下，采取適當的行動措施來減少企業運營成本至關重要。合適的DSPM方案擁有相應的功能，可以幫助數據安全專業人員識別那些冗余、過時、瑣碎（ROT）的數據，因而降低數據管理和使用費用。

熱門DSPM工具推薦

成熟的DSPM解決方案應該具備四個關鍵要素：數據發現、優先級評估、安全防護和監控，這樣才能識別所有已知和未知的數據，并根據數據量、暴露情況和安全態勢確定安全隱患的風險級別，報告違規行為，同時提供補救指導。近日，專業機構StartupStash評選出2023年度最熱門的14款DSPM工具，以幫助企業組織加強數據安全的管理和保護。

01Sentra

Sentra是一款出色的數據安全態勢管理工具，可以與當前主流的云數據安全方案集成。Sentra有一個云原生數據分類系統。這意味著，當企業的數據在云環境中傳輸時，該工具會自動化的發現、分類和監控這些數據。它還可以利用機器學習和元數據集群來檢測錯誤配置、合規違規、加密類型等信息。

主要特征：

采用純API方法的無代理工具，可以快速連接到多云環境；

不會對云上工作負載性能造成干擾；

可實現數據安全的透明度和可見性；

可以無縫集成到安全自動化平臺中；

可以定制安全策略。

傳送門：

??https://www.sentra.io/??

02Flow Security

Flow Security是一款流行的DSPM工具，可保護應用程序系統內、外部的數據。該工具可以識別從應用程序環境流向第三方和SaaS的敏感數據。這有助于檢測由人為錯誤引起的有害數據流。

主要特征：

• 根據應用程序的使用情況控制訪問和更改權限；
• 通過完整的上下文或補救措施自動檢測以數據為中心的風險；
• 可定制且易于使用的界面；
• 具有完整的集成套件，可實現順暢的協作和補救；
• 映射數據在云端、本地和外部服務內外的存儲和流動。

傳送門：

??https://www.flowsecurity.com/??

03Polar

Polar是一種專門設計的數據安全態勢管理工具，用于幫助從事數據安全、合規和治理的專業人員。它可以有效映射不同云平臺上大量混亂和難以管理的數據，并將它們分類為高級、普通和潛在等風險類別。它還可以給企業提供關于如何在未來減輕各種數據安全風險的建議。

主要特征：

• 自動映射云原生數據存儲和Saas應用數據；
• 跨區域和云賬戶的數據持續可見性；
• 自動數據標記以減少手動工作；
• 無代理和非侵入性，不會對性能產生影響。

傳送門：

??https://www.polar.security/??

04Saasment

Saasment是一種基于Saas的DSPM工具，適用于電商平臺、初創型企業、咨詢公司、零售商和律師事務所。該工具可以詳細記錄所有用戶活動，突出數據權限過高、異常數據查詢。有了這些信息，它就可以全面覆蓋針對Shopify和Wix等在線商店的威脅。Saasment與其他DSPM工具的不同之處在于，它還可以幫助企業根據所發現的風險構建適合其業務需求的安全策略。

主要特征：

• 兼容于目前40多個主流應用程序；
• 零知識的無代理數據安全模式；
• 持續監控和緩解風險。

傳送門：

??https://saasment.com/??

05Cyera

Cyera是一款功能較全面的DSPM工具，可讓企業全面發現并了解所有數據，以便準確識別敏感數據的位置、使用方式、暴露時間以及配置信息等。Cyera可以幫助安全團隊高效保護和管理敏感信息。

主要特征：

• 分鐘級的快速設置；
• 跨IaaS、PaaS和SaaS環境的工作模式；
• 基于數據、訪問和身份的細節的情境化數據風險評估；
• 沒有代理，沒有開銷。

傳送門：

??https://www.cyera.io/??

06Securiti

Securiti是一款較熱門的DSPM工具，已經得到了Forbes和Gartner等專業機構的認可。該工具通過可以主動式地控制各種復雜的安全、隱私和合規風險，使企業能夠安全地發揮數據和云的更大價值。

主要特征：

• 可以跨云、SaaS和IaaS工作；
• 可以提供優先級排序和補救策略；
• 用于監視和控制數據資產的集中儀表板；
• 可定制的警報方式；
• 集成數百個符合隱私法規的內置插件。

傳送門：

??https://securiti.ai/??

07Dig

Dig可為企業組織提供端到端的數據安全防護解決方案，它的特點是將數據安全態勢管理 (DSPM)、云DLP和數據檢測與響應 (DDR) 的關鍵功能結合在一個統一的解決方案平臺上。

主要特征：

• 識別每個數據資產的上下文以及敏感度級別、數據分類、訪問審計、權限分析和數據流；
• 基于真實攻擊數據庫的廣泛威脅模型；
• 快速發出有關安全違規的警報；
• 可為利益相關者和外部審計師生成安全報告。

傳送門：

??https://www.dig.security/??

08Laminar

Laminar是一個較強大的DSPM工具，可用于分析、分類和消除各種類型數據的風險。Laminar會持續查找所有被遺棄的、孤立的和冗余的數據，以及相關的上下文信息，以便企業輕松做出刪除或優化決定，停止為未知和未使用的數據支付管理或存儲費用。

主要特征：

• 自動化和持續發現本地及云上數據；
• 檢測托管資產、影子系統以及嵌入式虛擬實例中的敏感數據；
• 以數據為中心的風險模型；
• 提供具體的風險改善建議；
• 360度數據訪問監控。

傳送門：

??https://laminarsecurity.com/??

09Concentric

Concentric是一種無代理DSPM工具，主要基于API的部署模式，可幫助安全團隊管理各種類型的數據訪問。它易于集成和使用，還可以使用機器學習技術來自動掃描和分類數據，并進行快速、準確的數據發現和分類。

主要特征：

• 無需人工配置策略即可快速輕松地識別隱私和業務敏感信息；
• 基于語義的發現，可通過上下文理解數據；
• 無需復雜的配置；
• 可以在云端、本地處理結構化和非結構化數據。

傳送門：

??https://concentric.ai/??

10Normalyze

Normalyze是一種基于云的DSPM管理工具。它也是一個無代理模式的機器學習掃描平臺，可生成數據和用戶之間的訪問和信任關系圖，并實時防止數據信息泄漏。

主要特征：

• 云數據攻擊面的快速發現和可視化；
• 安全態勢的實時可見和管控；
• 無代理部署，并集成機器學習能力；
• 可跨云持續掃描和發現敏感數據和訪問路徑。

傳送門：

??https://normalyze.ai/??

11WIZ

Wiz可幫助企業持續維護數據安全并輕松與第三方服務集成。Wiz無需代理即可掃描云環境的每一層，以提供對云上數據的完整可見性。它可以通過API連接到 AWS、Azure、GCP、OCI、阿里云等主流云平臺，并兼容虛擬機、容器、無服務器存儲模式。

主要特征：

• 可以掃描存儲桶、RDS和數據卷以對數據進行分類；
• 可以進行深入的云分析并將數據風險與其他云風險相關聯；
• 可以自動架構匹配以了解數據沿襲和流程。

傳送門：

??https://www.wiz.io/??

12Varonis

Varonis是一個較出色的DSPM工具，它可以為企業提供全方位的數據安全服務。它整合了數百個數據安全威脅應對用例，可以為企業構建單一的數據優先級風險視圖，幫助企業主動、系統地消除內部數據安全威脅和網絡攻擊帶來的數據風險。

主要特征：

• 敏感數據的自動分類；
• 識別可疑的訪問行為并發出警報；
• 映射和分析每個用戶的訪問權限；
• 隔離已暴露的敏感文件。

傳送門：

??https://www.varonis.com/?hsLang=en??

13Symmetry Systems

Symmetry Systems可以有效檢測企業當前和歷史異常數據訪問、使用情況，并及時準確地向安全團隊發出警報。安全團隊可以使用該工具盡快調查潛在的數據泄露、勒索軟件攻擊和其他數據安全威脅。

主要特征：

• 無代理掃描云上所有類型的數據；
• 識別未使用或異常的數據；
• 量化訪問賬戶的潛在數據威脅半徑；
• 集成合規審計能力；
• 可優先保護敏感數據。

傳送門：

??https://www.symmetry-systems.com/??

14Protecto

Protecto可為傳統網絡安全方案提供以數據為中心的運營方法。該工具讓安全團隊可以通過映射了解誰有權訪問數據以及誰在使用數據。它會自動掃描數據結構、數據內容和數據更改，及時識別和阻斷異常行為以降低數據安全風險。

主要特征：

• 通過風險評分確定優先級；
• 自動化查找過度暴露的敏感數據資產；
• 刪除和歸檔未使用的數據資產；
• 集成 AI、風險建模和隱私工程，改善數據安全狀況。

傳送門：

??https://www.protecto.ai/??

參考鏈接：

??https://www.cybersecurity-insiders.com/the-data-security-teams-guide-to-data-security-posture-management-dpsm/??

??https://startupstash.com/data-security-posture-management-dspm-tools/??