De verwarring begint al bij de afkorting zelf. Want staat DLP nu voor Data Leakage Prevention, of toch voor Data Loss Prevention? De term 'extrusion prevention' komt eigenlijk nog dichter bij wat DLP beoogt: voorkomen dat bedrijfsgegevens in ongeautoriseerde handen terechtkomen. Dat kan met eeuwenoude middelen als encryptie en het blokkeren van poorten. Belangrijk is dat de beveiligingsmaatregelen worden toegepast daar waar de gegevens zich bevinden. Dat kan dus zijn in de e-mail, instant messaging of FTP (de 'data in motion'), maar ook op USB-sticks of een smartphone (de 'data at rest').

McAfee versus Symantec

De leveranciers geven echter een verschillende invulling aan DLP, vaak ingegeven door de gepleegde overname. Dat kwam duidelijk naar voren tijdens een dubbelinterview dat het Amerikaanse InfoWorld voerde met de CEO's van Symantec en McAfee. "McAfee en Symantec hebben DLP duidelijk heel verschillend ingevuld", merkte David DeWalt van McAfee op. "Volgens Symantec is monitoring van het netwerkverkeer de toekomst. (…) Onze filosofie is om alle endpoints te beschermen, inclusief alle soorten mobiele devices en verwijderbare opslagmedia."

Symantec betrad de DLP-markt via de overname van Vontu waarmee Symantec volgens CEO John Thompson de DLP-marktleider in huis heeft gehaald. McAfee investeerde in Onigma en het Nederlandse SafeBoot. DeWalt van McAfee: "Onze technologie is niet te vergelijken met die van Vontu. Vontu is vooral een network gateway-appliance die naar de regels kijkt. Er is geen host die naar de content kijkt, maar alleen een appliance die kijkt naar dataverlies. Dat is totaal verschillend dan SafeBoot dat volledige diskencryptie biedt voor mobiele apparaten. Symantec heeft helemaal geen encryptietechnologie in zijn portfolio."

IronPort

Naast Symantec en McAfee was er in 2007 nog een hele reeks aan bedrijven die zich al dan niet via overnames op de DLP-markt begaven. Zo heeft Cisco-divisie IronPort encryptietechnologie – afkomstig van PostX – verwerkt in het AsyncOS-besturingssysteem dat wordt geleverd op de security-appliances van IronPort.

"Maar encryptie is natuurlijk maar één factor van DLP", weet ook Sales Manager Benelux Kris Van den Bergh van IronPort. Andere factoren zijn compliance en contentinspectie. "We kunnen in bijna alle soorten attachments kijken en dus ook controleren wat er naar buiten wordt gestuurd." Volgens Van den Bergh krijgen we ook te maken met malware die vertrouwelijke gegevens naar buiten stuurt. "Die malware kunnen we tegenhouden met onze Web Security Appliance."

Toch lijkt de DLP-blik van IronPort zich nog voornamelijk te concentreren op e-mailencryptie. Gartner voorspelt in zijn 'Magic Quadrant for Email Encryption, 2007' echter dat IronPort met bredere DLP-initiatieven op de proppen komt die zich niet alleen richten op de endpoints en het netwerk (de 'data in motion'), maar ook op data die zich bevinden op filesystemen, databases en opslagmedia (de 'data at rest'). Een voorspelling die Van den Bergh nog niet kan bevestigen: "We hebben net een stevige release achter de rug."

Trend Micro

Trend Micro had al DLP-gateways op de markt en breidde het aanbod vorig jaar verder uit via een overname van Provilla. Het beveiligingsbedrijf had hierbij het geluk dat Provilla op het punt stond om een nieuwe versie van zijn vlaggenschip op de markt te brengen. LeakProof 3.0 voorkomt dat data via bijvoorbeeld mobiele opslagapparaten, webmail, FTP of instant messaging weglekken. Het product zet daarvoor de technologie DataDNA, clientsoftware, encryptie en scanning van vertrouwelijke gegevens in. Gegevens die volgens de policies niet het netwerk mogen verlaten, worden geblokkeerd.

Markt in beweging

Vooralsnog lijkt het erop dat Trend Micro de DLP-markt aanvoert met het meest complete aanbod. De markt is echter te veel in beweging om nu al leiders aan te gaan wijzen. Zo heeft Websense, dat vorig jaar PortAuthority overnam, aangekondigd in 2008 een DLP-portfolio uit te gaan rollen. Verizon Business mengt zich in het tweede kwartaal van dit jaar op de DLP-markt en gooit het over een compleet andere boeg. Het bedrijf gaat DLP als een beheerde dienst aanbieden via het internet.

Verizon gaat zich met de DLP-dienst vooral richten op het monitoren van de verkeersstromen, zodat goed te zien is welke gegevens het netwerk verlaten. Daarvoor wordt in kaart gebracht hoe het verkeer in elkaar zit, wat de kwetsbaarheden zijn en wat de 'assets'. "Het gaat dan om de vraag: verlaten data de organisatie die dat niet zouden moeten doen", vertelt Kerry Bailey, bij de beveiligingsdivisie van Verizon Business vice-president voor technologie. "We gaan ons niet bezighouden met statische data op bijvoorbeeld USB-sticks. Het gaat ons echt om de data die in beweging zijn."

Volgens Bailey heeft DLP-markt nu nog veel weg van de IDS-markt toen die net op kwam zetten. "De grote bedrijven die nu al met DLP werken, lopen allemaal tegen hetzelfde probleem aan: er zijn te veel data. Daarbij is niet duidelijk waar de data vandaan komen, van wie ze zijn en hoe er op moet worden gereageerd. En wat je ook zag bij IDS: de technologie aanschaffen lukt wel, maar dan moet je ook nog de andere operaties hierop afstemmen en het geheel tunen."

Bron: Techworld