Pracownik działu kadr potrzebuje dostępu np. do numerów PESEL pracowników, ale czy musi wysyłać je pocztą elektroniczną na zewnątrz organizacji? Celem stosowania DLP jest dopuszczenie takich działań użytkowników, które są niezbędne do wykonywania ich pracy, bez udostępniania im jednocześnie czegokolwiek, co może stworzyć ryzyko wycieku danych.

W testach wzięły udział trzy produkty do zapobiegania wyciekom danych w punktach końcowych sieci: Data Endpoint firmy Websense, LeakProof z Trend Micro i Identity Finder Enterprise Edition firmy Identity Finder. Do testów zaproszono również m.in. Cisco, McAfee, CA, RSA, Symantec, Proofpoint, ale ci producenci nie zdecydowali się wziąć w nich udziału.

Podstawowym celem testów było sprawdzenie mechanizmów identyfikowania różnych typów wrażliwych danych i możliwości powstrzymywania ich wycieków różnymi kanałami: skopiowanie na pamięć USB lub płytkę CD/DVD, wydrukowanie, wysłanie pocztą elektroniczną lub komunikatorem. Ogółem przeprowadzono 588 różnych testów. Pomimo tak wysoko postawionej poprzeczki, testowane produkty wykazały się dużym stopniem wyrafinowania, oferują bogaty zestaw mechanizmów i łatwość użycia.

Zwycięzcą został LeakProof firmy Trend Micro, jako najlepsze narzędzie “endpoint DLP" ogólnego użytku. Jego konfigurowanie nie nastręczało żadnych trudności, wydajność okazała się najlepsza. Narzędzie to było najmniej obciążające dla systemu i wymuszało politykę w całym systemie. Ponadto, opcje instalacyjne fizycznego urządzenia zapewniają dużą elastyczność wdrożenia.

Websense Data Endpoint również bogato wyposażono w różne mechanizmy zapewniające administratorowi korzystanie z dużych sekcji gotowych szablonów polityki, opisów specjalistycznych akcji po wykryciu naruszenia polityki, dostosowania tych akcji do aplikacji i planowania wykonywania skrótów danych (fingerprinting) na plikach we współdzielonej sieci. Data Endpoint, element Websense Data Security Suite, oferuje więcej mechanizmów niż Trend Micro LeakProof i jest dużo tańszy. Ma też jednak kilka niedociągnięć.

Oba produkty są przeznaczone do pilnowania, aby wrażliwe dane nie opuściły punktu końcowego sieci - niezależnie czy jest to działanie zamierzone czy przypadkowe. W praktyce zablokowanie incydentalnych wycieków jest łatwiejsze, ponieważ zdeterminowany użytkownik zawsze może znaleźć sposób obejścia schematów blokowania.

Identity Finder nie próbuje powstrzymywać użytkowników od niewłaściwych działań związanych z danymi wrażliwymi, natomiast próbuje im pomóc chronić takie dane. Jest to podejście całkiem odmienne, zakładające uczciwe postępowanie użytkownika, a nie podejmowanie przez niego niegodziwych czy wręcz przestępczych działań. Narzędzie wynajduje wrażliwe pozycje danych, skupiając się przede wszystkim na informacjach związanych z tożsamością, takich jak: nazwiska, adresy, numery identyfikacyjne, numery kart kredytowych i inne dane osobowe.