研究机构Gartner在其发布的《2022年数据安全技术成熟度曲线》报告中，提出了一种新的数据安全方案——数据安全态势管理（DSPM）。根据Gartner给出的定义，DSPM需要为企业组织提供数据安全可见性，以便深入了解敏感数据的位置、访问权限、如何被利用以及如何存储等安全状况态势信息。企业安全团队如果想从应用DSPM中获得更大的好处，就需要对这项技术进行深入了解。

我们已经生活在基于云的数字时代，那些能够从数据中获取最大价值的组织将成为最后的赢家。在数字化转型和数据民主化的发展背景下，企业开展数据安全保护工作也具有以下特点和挑战：

云上数据安全现状表明，一半以上的企业组织需要与至少两家云服务提供商（CSP）打交道。复杂的云计算基础设施架构很容易让数据安全和治理专业人员觉得困扰，他们需要处理多家配置各异的云计算平台，而多云基础设施建设还在不断发展，这让云计算的应用管理具有很大挑战性。

开发人员和数据分析师经常因为工作原因，在短时间内创建新的数据存储系统，却没有经过企业统一的授权批准。因此，企业组织会大量产生出所谓的“影子数据”，这主要是指那些不受规范治理、未规范上报给安全团队的数据。据调查数据显示，有82%受访人对影子数据的潜在危害表示担忧。

随着云计算的广泛应用，企业组织的传统安全边界已不复存在。网络上的任何人都有可能以合规或违规的方式访问数据，这使得企业的敏感数据更加容易被非法攻击者窃取。

在DevOps开发模式下，开发人员现在完成应用系统软件的开发可能只需几天甚至几小时，而不是以前的几个月。开发团队只需点击几下鼠标或键盘，就可以改变应用系统的环境，而安全团队常常并不知情。

所有这些因素共同构成了一个新的“数据安全攻击面”，这是一种新的威胁途径。传统数据攻击面取决于企图利用漏洞以便非法访问受保护信息的外部人员，而相比之下，这种新型数据安全攻击面更多是源自组织内部人员在使用数据推动创新时造成的大量非持续性意外风险。Gartner认为，这种新型攻击面的出现促使企业组织需要新一代DSPM解决方案。

DSPM方案可以自动识别和确认整个环境中的数据泄露风险，从而帮助企业实现数据风险可视化、事件响应和合规性监控。企业组织部署DSPM会有以下诸多好处：

DSPM能够查找并发现所有已知数据和影子数据，实现企业所有数据资产的可见性，有助于企业识别放置错误的数据、配置错误的数据资产以及过于宽松的访问权限，从而识别暴露的敏感数据。

DSPM能够识别和修补任何违反数据安全管理要求的行为，精简过时数据，并确保企业符合PCI、GDPR和CCPA等现有法规要求，这些做法可以在允许数据增长的同时降低数据风险。

DSPM还可以给开发人员和数据分析师提供帮助，因为它可以自动验证和执行现有的安全策略。在此模式下，数据分析师可以更自由地利用数据，同时数据会受到更适当的保护。

CDMC、GDPR、COPAA及其他数据安全法规经常会让数据安全专业人员感到责任艰巨，一旦违规企业将会面临财务和商誉上的多重损失。DSPM可以通过发现云端数据，对数据进行分类，然后帮助企业符合数据安全策略，从而帮助安全团队减轻合规压力。

在当前经济环境下，采取适当的行动措施来减少企业运营成本至关重要。合适的DSPM方案拥有相应的功能，可以帮助数据安全专业人员识别那些冗余、过时、琐碎（ROT）的数据，因而降低数据管理和使用费用。

成熟的DSPM解决方案应该具备四个关键要素：数据发现、优先级评估、安全防护和监控，这样才能识别所有已知和未知的数据，并根据数据量、暴露情况和安全态势确定安全隐患的风险级别，报告违规行为，同时提供补救指导。近日，专业机构StartupStash评选出2023年度最热门的14款DSPM工具，以帮助企业组织加强数据安全的管理和保护。

Sentra是一款出色的数据安全态势管理工具，可以与当前主流的云数据安全方案集成。Sentra有一个云原生数据分类系统。这意味着，当企业的数据在云环境中传输时，该工具会自动化的发现、分类和监控这些数据。它还可以利用机器学习和元数据集群来检测错误配置、合规违规、加密类型等信息。

主要特征：

• 采用纯API方法的无代理工具，可以快速连接到多云环境；

• 不会对云上工作负载性能造成干扰；

• 可实现数据安全的透明度和可见性；

• 可以无缝集成到安全自动化平台中；

• 可以定制安全策略。

传送门：

https://www.sentra.io/

Flow Security是一款流行的DSPM工具，可保护应用程序系统内、外部的数据。该工具可以识别从应用程序环境流向第三方和SaaS的敏感数据。这有助于检测由人为错误引起的有害数据流。

主要特征：

• 根据应用程序的使用情况控制访问和更改权限；

• 通过完整的上下文或补救措施自动检测以数据为中心的风险；

• 可定制且易于使用的界面；

• 具有完整的集成套件，可实现顺畅的协作和补救；

• 映射数据在云端、本地和外部服务内外的存储和流动。

传送门：

https://www.flowsecurity.com/

Polar是一种专门设计的数据安全态势管理工具，用于帮助从事数据安全、合规和治理的专业人员。它可以有效映射不同云平台上大量混乱和难以管理的数据，并将它们分类为高级、普通和潜在等风险类别。它还可以给企业提供关于如何在未来减轻各种数据安全风险的建议。

主要特征：

• 自动映射云原生数据存储和Saas应用数据；

• 跨区域和云账户的数据持续可见性；

• 自动数据标记以减少手动工作；

• 无代理和非侵入性，不会对性能产生影响。

传送门：

https://www.polar.security/

Saasment是一种基于Saas的DSPM工具，适用于电商平台、初创型企业、咨询公司、零售商和律师事务所。该工具可以详细记录所有用户活动，突出数据权限过高、异常数据查询。有了这些信息，它就可以全面覆盖针对Shopify和Wix等在线商店的威胁。Saasment与其他DSPM工具的不同之处在于，它还可以帮助企业根据所发现的风险构建适合其业务需求的安全策略。

主要特征：

• 兼容于目前40多个主流应用程序；

• 零知识的无代理数据安全模式；

• 持续监控和缓解风险。

传送门：

https://saasment.com/

Cyera是一款功能较全面的DSPM工具，可让企业全面发现并了解所有数据，以便准确识别敏感数据的位置、使用方式、暴露时间以及配置信息等。Cyera可以帮助安全团队高效保护和管理敏感信息。

主要特征：

• 分钟级的快速设置；

• 跨IaaS、PaaS和SaaS环境的工作模式；

• 基于数据、访问和身份的细节的情境化数据风险评估；

• 没有代理，没有开销。

传送门：

https://www.cyera.io/

Securiti是一款较热门的DSPM工具，已经得到了Forbes和Gartner等专业机构的认可。该工具通过可以主动式地控制各种复杂的安全、隐私和合规风险，使企业能够安全地发挥数据和云的更大价值。

主要特征：

• 可以跨云、SaaS和IaaS工作；

• 可以提供优先级排序和补救策略；

• 用于监视和控制数据资产的集中仪表板；

• 可定制的警报方式；

• 集成数百个符合隐私法规的内置插件。

传送门：

https://securiti.ai/

Dig可为企业组织提供端到端的数据安全防护解决方案，它的特点是将数据安全态势管理 (DSPM)、云DLP和数据检测与响应 (DDR) 的关键功能结合在一个统一的解决方案平台上。

主要特征：

• 识别每个数据资产的上下文以及敏感度级别、数据分类、访问审计、权限分析和数据流；

• 基于真实攻击数据库的广泛威胁模型；

• 快速发出有关安全违规的警报；

• 可为利益相关者和外部审计师生成安全报告。

传送门：

https://www.dig.security/

Laminar是一个较强大的DSPM工具，可用于分析、分类和消除各种类型数据的风险。Laminar会持续查找所有被遗弃的、孤立的和冗余的数据，以及相关的上下文信息，以便企业轻松做出删除或优化决定，停止为未知和未使用的数据支付管理或存储费用。

主要特征：

• 自动化和持续发现本地及云上数据；

• 检测托管资产、影子系统以及嵌入式虚拟实例中的敏感数据；

• 以数据为中心的风险模型；

• 提供具体的风险改善建议；

• 360度数据访问监控。

传送门：

https://laminarsecurity.com/

Concentric是一种无代理DSPM工具，主要基于API的部署模式，可帮助安全团队管理各种类型的数据访问。它易于集成和使用，还可以使用机器学习技术来自动扫描和分类数据，并进行快速、准确的数据发现和分类。

主要特征：

• 无需人工配置策略即可快速轻松地识别隐私和业务敏感信息；

• 基于语义的发现，可通过上下文理解数据；

• 无需复杂的配置；

• 可以在云端、本地处理结构化和非结构化数据。

传送门：

https://concentric.ai/

Normalyze是一种基于云的DSPM管理工具。它也是一个无代理模式的机器学习扫描平台，可生成数据和用户之间的访问和信任关系图，并实时防止数据信息泄漏。

主要特征：

• 云数据攻击面的快速发现和可视化；

• 安全态势的实时可见和管控；

• 无代理部署，并集成机器学习能力；

• 可跨云持续扫描和发现敏感数据和访问路径。

传送门：

https://normalyze.ai/

Wiz可帮助企业持续维护数据安全并轻松与第三方服务集成。Wiz无需代理即可扫描云环境的每一层，以提供对云上数据的完整可见性。它可以通过API连接到 AWS、Azure、GCP、OCI、阿里云等主流云平台，并兼容虚拟机、容器、无服务器存储模式。

主要特征：

• 可以扫描存储桶、RDS和数据卷以对数据进行分类；

• 可以进行深入的云分析并将数据风险与其他云风险相关联；

• 可以自动架构匹配以了解数据沿袭和流程。

传送门：

https://www.wiz.io/

Varonis是一个较出色的DSPM工具，它可以为企业提供全方位的数据安全服务。它整合了数百个数据安全威胁应对用例，可以为企业构建单一的数据优先级风险视图，帮助企业主动、系统地消除内部数据安全威胁和网络攻击带来的数据风险。

主要特征：

• 敏感数据的自动分类；

• 识别可疑的访问行为并发出警报；

• 映射和分析每个用户的访问权限；

• 隔离已暴露的敏感文件。

传送门：

https://www.varonis.com/?hsLang=en

Symmetry Systems可以有效检测企业当前和历史异常数据访问、使用情况，并及时准确地向安全团队发出警报。安全团队可以使用该工具尽快调查潜在的数据泄露、勒索软件攻击和其他数据安全威胁。

主要特征：

• 无代理扫描云上所有类型的数据；

• 识别未使用或异常的数据；

• 量化访问账户的潜在数据威胁半径；

• 集成合规审计能力；

• 可优先保护敏感数据。

传送门：

https://www.symmetry-systems.com/

Protecto可为传统网络安全方案提供以数据为中心的运营方法。该工具让安全团队可以通过映射了解谁有权访问数据以及谁在使用数据。它会自动扫描数据结构、数据内容和数据更改，及时识别和阻断异常行为以降低数据安全风险。

主要特征：

• 通过风险评分确定优先级；

• 自动化查找过度暴露的敏感数据资产；

• 删除和归档未使用的数据资产；

• 集成 AI、风险建模和隐私工程，改善数据安全状况。

传送门：

https://www.protecto.ai/

https://www.cybersecurity-insiders.com/the-data-security-teams-guide-to-data-security-posture-management-dpsm/

https://startupstash.com/data-security-posture-management-dspm-tools/