Gartner发布数据安全态势管理市场指南:将功能扩展到AI的特定数据安全保护是DSPM发展方向
DSPM 解决方案提供对数据资产(尤其是用于 AI 的数据)的必要可视性。它们能够跨来源发现、分类和编目非结构化和结构化数据。网络安全领导者应使用 DSPM 来评估和降低隐私、安全和 AI 相关数据风险。
主要发现
数据安全态势管理 (DSPM) 解决方案能够提供对不断移动和暴露数据的重要可视性,尤其是在越来越多的数据用于人工智能应用的当下。它弥合了数据发现/分类与最终实施自动化修复控制之间的差距。
供应商采用不同的方法来集成附加功能和增值功能,这会让客户感到困惑,因为没有同类产品。然而,大多数 DSPM 产品可以归类为五大主要用例之一: DLP 、隐私和数据治理、授权管理、CSPM 以及用于 AI 的 DSPM 。
DSPM 产品会使用其发现功能创建的元数据填充其内置的专有数据目录。这些数据目录仍然专有,并且不支持 DCAT 或 Dublin Core 等开放标准,从而导致严重的供应商锁定。
组织经常低估实现 DSPM 输出所需的工作量,特别是在大型企业中,因为大型企业的数据量可能非常大,或者部署了多个 DSPM 供应商。
建议
分配充足的人员和资源,及时落实 DSPM 的发现。计划部署至少一款 DSPM 产品,以解决非结构化数据的安全问题。
优先考虑能够评估与数据驻留、未经授权的访问和数据资产中的过度特权相关的风险的供应商,同时还提供符合架构和控制要求的强大安全功能,例如 DAG、DLP 和 DAM。
通过优先考虑支持新兴开放标准并提供广泛集成功能的 DSPM,使 DSPM 解决方案与组织的业务需求和主要用例保持一致。
市场定义
数据安全态势管理 (DSPM) 能够发现本地数据中心和云服务提供商 (CSP) 中先前未知的数据。它还能帮助对先前未知和已发现的非结构化数据和结构化数据进行分类。随着数据的快速增长,DSPM 会评估哪些人有权访问数据,以确定其安全态势以及隐私、安全和 AI 使用相关风险的暴露程度。DSPM 可以作为软件或服务提供。
DSPM工具在帮助组织更有效地分类、管理和保护数据方面发挥着至关重要的作用。通过识别潜在风险(例如与数据驻留、未经授权的访问或过度权限相关的风险),这些工具使组织能够应用适当的安全控制措施并遵守数据保护法规。
DSPM 工具提供数据访问的可视性,使组织能够实施最小权限原则,增强数据安全性并降低数据泄露风险。这种可视性还能帮助组织了解数据依赖关系和影响,从而有助于合规性和数据质量工作。此外,DSPM 工具有助于识别数据所有者,加强问责制,并支持有效的事件响应和根本原因分析。
此外,DSPM 工具还能生成审计跟踪、合规性报告以及针对任何违反政策行为的实时告警。这些功能可帮助组织遵守法规和标准,包括隐私、财务、政府和健康法规。DSPM工具还在保护数据免遭AI流程意外泄露方面发挥着至关重要的作用,确保敏感信息在整个 AI 开发过程中始终安全无虞。
强制功能
数据发现:识别并定位组织数据存储库中的敏感信息。DSPM 工具可以提供以下方面的可见性:
o 托管云数据仓库
o 在本地运行的非托管数据库
o 对象存储,例如文件存储,在本地和云端管理
数据分类:根据类别自动对数据进行分类和标记,例如个人身份信息 (PII)、财务数据、健康信息和知识产权。DSPM 工具使用模式识别、机器学习和上下文分析来标记数据。
数据风险分析和态势管理:根据敏感度、访问模式和暴露程度等因素,为数据分配风险评分。DSPM工具持续监控和分析访问模式、配置以及安全策略合规性,以识别漏洞和错误配置。
通用功能
数据访问分析:通过持续扫描访问权限和监控各个数据存储库中的用户活动来发现谁有权访问数据。
合规:通过持续监控和执行数据安全策略,确保数据处理实践符合监管要求。DSPM 工具提供审计跟踪、生成合规性报告,并对任何违反策略的行为发出实时告警。
访问分析异常检测:持续监控数据访问模式和使用情况,提供实时告警和详细的审计日志,以检测并响应未经授权的活动。异常检测功能使用高级分析和机器学习来识别异常访问行为,帮助快速查明潜在的安全威胁和内部风险。
GenAI政策执行:通过分析数据管道并提供数据访问治理和授权管理,识别流入 GenAI 使用的大型语言模型 (LLM) 的数据。
AI管道中的数据安全:通过检测敏感数据的移动和转换方式,确保敏感数据不会因 AI 管道而暴露。
数据图谱:绘制数据的整个生命周期,追踪其在整个组织中的起源、移动和转换。
市场描述
DSPM 市场(以及其功能和产品)经历了多次迭代和调整,才能真正满足最终客户的实用需求。DSPM目前支持一系列不断发展的数据安全功能。这些迭代范围广泛且影响深远,以至于这些产品的组合功能与DSPM 的先驱供应商的功能如今已大相径庭,导致客户对 DSPM 的真正含义感到困惑。
图 1 展示了 DSPM 支持的数据安全流程,其中 DSPM 发现跨多个环境的数据,对其进行分类以了解敏感度,并分析风险。风险包括访问权限宽松的过度暴露数据、地理位置不合适的数据,或未得到正确保护的数据。基于这些洞察,DSPM 使用内置功能或通过与第三方工具集成来定义和执行策略,并进行监控并将结果反馈到修复和报告中。对于数据源,线条的宽度定性地表示了 DSPM 对基于云的数据和文件共享的常见偏好。
图 1:数据安全态势管理功能
DSPM 是一个全视全感的数据安全神经系统。它能够感知数据漏洞,并在漏洞被利用之前采取缓解措施。
对于一些供应商来说,多次迭代导致产品似乎失去了重点。它们提供的功能超出了组织的实际需求,有时还会添加一些附加的数据发现和洞察功能,导致最终产品过载,而这些功能既不需要,也缺乏相应的人员来操作。
即使是最早的 DSPM,其最基础的功能也是提供快速准确的数据可视性。尽管数据发现和分类在 DSPM 出现时并不新鲜,但使用领先 DSPM 供应商的客户能够以比传统产品更快的速度获得结果。为了实现更高的速度,DSPM 供应商经常利用云数据 API,使其产品能够在云环境中快速扫描数据。然而,这些速度优势无法复制到存储在本地系统中的数据,因为本地系统中没有这些 API。因此,DSPM 产品可能根本无法在本地运行,或者运行速度可能远低于其在云端的性能。
DSPM 产品利用云安全态势管理 ( CSPM ) 功能扫描云基础设施并识别数据资产,从而在资产跨环境移动或扩散时实现更一致的跟踪。这种方法提高了数据分类流程的一致性,并能够更可靠地监控数据驻留和主权,这些功能通常由传统数据分类产品提供。
DSPM 弥合了数据发现/分类与最终实施自动化修复控制之间的差距。例如,它通过与第三方 DLP 产品集成来隔离敏感数据,或强制执行数据保护策略,以防止通过第三方 EDRM 产品进行未经授权的访问。
尽管取得了这些进展,但一个关键的局限性仍然存在:大多数 DSPM 供应商往往缺乏针对其识别的数据风险的自动修复功能。许多供应商正尝试将其解决方案与数据访问治理 (DAG)、数据防泄露(DLP) 以及身份和访问管理 (IAM) 控制集成,以弥补这一缺陷。随着市场的不断发展,DSPM 的真正价值将取决于它能否有效地弥补这一缺陷并提供可操作的自动化响应。
市场方向
目前,人们对包含 DSPM 功能或独立 DSPM 产品的兴趣和接受度正在不断上升。最明显的原因是交钥匙 GenAI 功能的出现,以及随之而来的对非结构化数据的管理和保护需求,这是 DSPM 的关键用例。
面向 AI 的 DSPM扩展了功能,以满足 AI 的特定需求,例如过滤敏感数据的提示和输出,或将代理数据访问活动纳入授权管理报告。表 1 概述了经常增强或扩展到 AI 的 DSPM 功能。除了评估这些功能外,潜在的 DSPM 买家还应确定供应商是否支持特定的 AI 服务和架构,例如 Microsoft Copilot、ChatGPT 或 Claude。
表 1:将 DSPM 功能扩展到 AI
DSPM功能 | 如何扩展到人工智能 |
数据发现和分类 | 扩展以发现提示、输出和矢量数据库(嵌入)中的敏感数据。 |
数据访问分析 | 将代理 AI 和(独立)模型的数据访问纳入数据存储。 |
数据流映射(AI管道中的数据安全) | 例如,映射 AI 管道中的数据流,用于模型训练和第三方 AI API。 |
政策执行 | 可以使用哪些(通用)人工智能,以及可以在哪些地理区域使用。举报未经批准的人工智能使用。 |
一体化 | 将 DSPM 集成扩展到流行的 AI 平台,例如 OpenAI 或 AWS Sagemaker。 |
来源:Gartner
人工智能的 DSPM 通常仅涵盖现成的人工智能应用或功能中的风险。例如,它通常不涵盖定制人工智能部署中的模型安全性,例如模型反转攻击或模型数据泄漏测试。
供应商从其起源开始就朝着三个主要方向发展,纯粹的 DSPM 与传统的数据安全供应商,这决定了他们的工具集将如何发展:
DSPM 本土初创公司继续独立成长。
已被 DLP、SSE、DAG、存储或 DAM 市场的传统供应商收购的 DSPM 原生初创公司。
传统数据安全供应商拥有 DLP、SSE、DAG、存储和 DAM,并在其传统平台中构建了 DSPM 功能。
随着供应商的不断发展,这些市场方向带来了竞争挑战,因为客户通常对这三个子类别都有不同的需求。这带来了困难,因为每个子类别通常有不同的安全产品买家,导致企业不清楚哪个角色应该资助和实施 DSPM。
展望未来,DSPM 市场可能会与相邻的数据和 AI 治理平台进一步融合,这既得益于战略性收购(例如 Collibra 收购 Raito),也得益于供应商将原生 DSPM 功能扩展到更广泛的数据安全和治理套件。DSPM、DSP、数据治理和 AI 治理平台将围绕通用 API 和集成框架进行整合,从而简化部署并加快价值实现速度,因为这些曾经独立的功能将开始融合到涵盖整个数据生命周期的统一控制平面中。对于传统的安全控制而言,所谓的“数据安全单一管理平台”往往是空谈,却难以实现。
市场分析
供应商分类
DSPM 产品包含可操作的安全控制措施,例如,将安全策略或风险洞察付诸实践。然而,产品差异很大,缺乏同质性,最终客户难以从以下五个主要类别中比较和选择 DSPM:
DLP产品将DSPM操作化,以扩展DLP。例如,通过添加防止敏感数据泄露给现成的 AI(例如 Microsoft Copilot)的功能。一些 DLP 供应商已经收购了早期的 DSPM 供应商,以此方式扩展现有的 DLP 产品。
隐私和数据治理产品将DSPM操作化,以支持最终客户,重点关注隐私。。例如隐私报告或主体权利请求。对数据治理感兴趣的客户会发现 DSPM 的这一版本特别有用。
权限管理产品使 DSPM 操作化,以优化权限并限制过度分享。授权管理通常被视为 GenAI 使用数据前准备数据的必要元素。
CSPM将 DSPM 操作化,以促进整体云安全。其中基础设施安全态势和数据安全控制均被用作输入,对由此产生的整体数据风险进行初步分类。这是 Gartner 在2023 年描述的 DSPM 初始用例。
面向AI的DSPM操作化,以保护 AI 和 ML 部署的数据、模型和训练流程。一些供应商称之为“AI 安全态势管理”或“AI SPM”,这存在功能过载的风险,并淡化了市场类别 DSPM 的含义。
采用 DSPM 的好处
DSPM 的核心优势在于数据可视性。这一点始终至关重要,任何组织如果无法清晰地了解数据资产及其安全性,就无法自信地驾驭人工智能时代。这种可视性是采取行动的启动平台,例如根据风险评估和确定数据优先级、弥补第三方供应商提供的安全控制漏洞,或实施自动修复(例如根据检测到的异常阻止访问)。因此,DSPM 能够出色地支持客户将数据视为安全且可管理的资产,而不是被埋没的人工制品。例如:
AI的数据安全:安全使用AI不仅需要数据,还需要数据本身的可识别性、可管控性和安全性。一些 DSPM 产品通过发现 AI 数据管道并围绕这些数据构建产品功能,从而保护现成的 AI 功能(例如 Microsoft Copilot)或定制的 AI 部署(例如内部训练和运行的 AI 模型)。
数据访问异常检测:通过实时监控 AI 和数据产品管道,DSPM 可以自动检测异常访问模式或未经授权的数据流,帮助组织维护数据质量并在整个产品生命周期内实施防护措施。一些 DSPM 数据目录和报告仪表板提供端到端视图,显示哪些数据包含受监管或敏感信息、这些信息的构建方式以及访问人员(也称为数据沿袭),并提供所需的审计信息。
除了围绕数据产品和人工智能的创新用例之外,DSPM 还支持和增强传统用例,例如降低 DLP 的误报率、为隐私管理构建全面的数据目录以及报告或授权管理。
采用 DSPM 的挑战
Gartner 调查数据显示,实施 DSPM 的最终客户面临三个密切相关的主要挑战:
需要许多全职员工和/或临时雇佣人员来验证和处理产品结果。例如Gartner 观察到,一个拥有大约 40,000 名员工的组织可能需要 100 名临时雇员在 100 天的冲刺期内初步验证和分类 DSPM 调查结果,例如 GenAI 的文件权利。
对云原生架构和有限本地支持的SaaS架构的高度依赖。对于数据驻留或合规性要求严格的企业而言,缺乏独立本地部署模型的产品和服务日益令人担忧,甚至可能成为交易的阻碍。同时,即使是本地部署的 DSPM 也经常会将“仅元数据”的洞察反馈回供应商的云端,这引发了数据隐私和监管方面的担忧,而这可能会损害 DSPM 原本旨在提供的保护。
缺乏开放标准和与其他安全工具的集成选项。客户无法为每个 DSPM 产品重复执行耗费资源的操作,但希望在所有数据安全产品中利用数据目录。然而,由于缺乏开放标准和集成选项,客户必须经常在单一功能组之间做出非此即彼的抉择。
对业务所需的DSPM类型的不确定性。由于客户经常必须专注于一种 DSPM 产品,因此他们发现自己正在权衡同样紧迫和重要的数据安全要求。
缺乏自动修复控制。DSPM,尤其是在未建立数据安全程序的组织中实施时,通常会生成大量告警。然而,许多 DSPM 解决方案缺乏自动修复功能来快速处理这些警报。因此,即使 DSPM 与其他数据安全事件响应流程集成,用户也可能会感到警报疲劳。这种局限性导致客户质疑产品的整体价值,并导致许多客户过去放弃了传统的数据库活动监控 (DAM) 工具。
代表供应商
DSPM 市场正在经历两个方面的持续整合:整合到更广泛的平台以及收购独立的 DSPM 供应商。与此同时,新的供应商和初创公司正在进入该市场。表 2 列出了具有代表性的 DSPM 供应商,它们体现了“市场定义”部分中描述的强制功能和产品通用功能。
表 2:代表性 DSPM 供应商
供应商 | 产品名称 |
BigID | |
Concentric AI | Concentric AI Semantic Intelligence Platform |
Cyera | Cyera数据安全平台 |
Forcepoint(Getvisibility) | 数据安全云 |
谷歌(Wiz) | 谷歌云平台 |
IBM(Polar Security) | Guardium DSPM |
微软 | Microsoft Purview |
Palo Alto Networks(Dig Security) | Cortex Cloud DSPM |
Proofpoint(Normalyze) | Proofpoint DSPM |
Rubrik(Laminar Security) | Rubrik DSPM |
Securiti | Data Command Center |
Sentra | |
Symmetry Systems | Symmetry Data+AI Security Platform |
Varonis | Varonis Data Security Platform |
来源:Gartner
市场建议
通过分配资源实施至少一款 DSPM 产品来解决多年的非结构化数据安全债务
许多组织尚未对其非结构化数据进行分类,并且对其安全性和合规性存在不确定性。数据安全债务是一类技术债务,通常在实施生成式人工智能技术的过程中暴露出来。生成式人工智能以一种组织此前并不关心的方式使用非结构化数据,揭示了需要完成的活动,例如数据分类和对可供提取的数据进行敏感度标记。尽早解决数据安全债务可以降低整个生命周期的数据安全风险。
分配资源部署至少一个 DSPM,以便跟上步伐,并对结构化和非结构化数据进行分类和保护,使其达到类似的成熟度水平。数据安全成熟度较高的组织通常会部署多个 DSPM,因为它们需要将 DSPM 用于当前 DSPM 产品几乎不重叠的用例(例如,GenAI 的 DLP 和授权管理)。鉴于 DSPM 数据发现的结果无法在不同产品或供应商之间共享,目前唯一的解决方案是部署两个 DSPM 产品。在这种情况下,Gartner 建议客户优先考虑其主要用例的 DSPM,并推迟部署不太紧急的用例,直至市场进一步发展。
确保 DSPM 产品与优先安全用例保持一致
DSPM 产品创建非结构化数据目录是一项繁琐的工作,而且由于供应商未实施开放标准,因此数据目录仍为专有,并且存在严重的供应商锁定问题。目前,无法跨多个安全产品或 DSPM 产品利用 DSPM 数据目录。就 DSPM 而言,这还会锁定在特定的方法或用例中。
因此,产品的非结构化数据管理和安全方法必须与优先用例、数据安全和管理的成熟度以及非结构化数据的长期规划相一致。例如,虽然组织计划在明年年底前将其 100% 的数据用于 GenAI,但届时流行的用例可能是 DLP。在许多情况下,仅靠单一的 DSPM 产品无法令人满意地实现这一点。
规划充足的人员和资源配置,以实施 DSPM 调查结果
实施 DSPM 不仅仅是一项技术投资;它需要大量的人力资源来验证、分类并根据发现采取行动。组织往往低估了 DSPM 成果落地所需的工作量,尤其是在非结构化数据量巨大的大型企业中。例如,一个拥有 4 万名员工的组织可能需要多达100 名临时员工来处理 DSPM 发现,并在 100 天的冲刺期内纠正其非结构化数据在 GenAI 中的权限。
为确保成功,请规划充足的人员配置,包括内部资源或临时招聘,以管理 DSPM 工具生成的大量洞察和修复任务。建立清晰的流程来确定发现的优先级并进行处理,并分阶段部署以有效管理工作量。主动的资源规划将最大限度地提高 DSPM 投资的价值,并在数据安全态势方面取得显著的改进。
优先考虑具有开放标准和集成功能的 DSPM 解决方案
选择 DSPM 解决方案时,优先考虑支持开放标准(例如数据目录词汇表 (DCAT) 或都柏林核心)的产品,以及能够与现有安全工具和数据目录进行强大集成的产品。DSPM 市场缺乏开放标准,常常导致供应商锁定并形成数据孤岛,难以在多个安全产品之间利用数据目录。选择注重互操作性的解决方案,不仅可以确保投资面向未来,还能使安全生态系统不同部分之间的工作流程更加顺畅。
将 DSPM 与其他安全工具(例如 DLP、隐私管理和授权管理平台)集成,可以实现更全面的数据安全方案。这不仅可以减少冗余的资源消耗活动,还能增强对数据资产的可见性和控制力。从长远来看,此策略将有助于避免昂贵的迁移,并使组织能够随着数据安全需求的变化而快速适应。