Wykrywanie wrażliwej informacji mogą utrudniać: szyfrowanie, steganografia i inne zaawansowane metody kapsułkowania danych, ale produkt może analizować ruch na wielu poziomach, obejmujących źródło i przeznaczenie, typ danych i wiele innych. Tak więc jeżeli baza danych zawierająca np. listę płac pracowników zostanie zaszyfrowana zanim zostanie skopiowana poza ośrodek, NDLP może oflagować duże pliki transmitowane protokołem FTP do dalszej analizy.

Ten mechanizm współgra z jednym z najbardziej innowacyjnych mechanizmów, jakie można znaleźć w zestawie McAfee: możliwości wyszukiwania wstecznego na osi czasu. Ponieważ urządzenie monitorujące w sposób ciągły rejestruje cały ruch, to może zachowywać jego obraz na zdefiniowany przedział czasowy (z opcją zachowania w pamięci sieciowej). Administrator może wtedy poszukiwać dowodów naruszenia polityki w przeszłości, w reakcji na świeżo wykryty incydent. Takie dowody mogą stanowić potem podstawę dla ustawienia filtra na podejrzanego użytkownika.

Sophos nie zapewnia sieciowego DLP, chociaż niektóre elementy testu tego rodzaju DLP były zrealizowane z blokowaniem aplikacji. Blokowanie takich elementów, jak klienty FTP, desktopowe narzędzia wyszukiwania, niezaufane przeglądarki, oprogramowanie P2P czy klienty poczty elektronicznej - pozwala na kontrolowanie tego typów ruchu, które mogą być tworzone w sieci.

McAfee zapewnia kilka dodatkowych typów blokowania w punktach końcowych: zdolność kontrolowania drukowania, przechwytywania ekranu i używania schowka. Są to mechanizmy, które testowano już w produktach dla punktów końcowych, ale McAfee znacznie je udoskonalił. Można w nich było dopuszczać lub zakazywać takich akcji dla całej aplikacji lub całkowicie. W tych testach możliwe było opieranie się na danych, które rzeczywiście były używane. Tak więc np. jeżeli na ekranie nie ma żadnych wrażliwych danych, to kopiowanie ekranu jest dozwolone.

Interesującym mechanizmem w nowej (9.) wersji rozwiązania DLP McAfee, która nie była testowana, jest możliwość podłączania i przeglądania serwerów baz danych i metkowania poszczególnych baz danych, tablic lub kolumn pod kątem monitorowania przez DLP. To poszerza zdolność rozpoznawania plików na bazy danych, i to bez konieczności wiedzy o językach kwerend lub komend bazy danych. Pozwala także na analizowanie danych na miejscu, bez konieczności kopiowania serwerów baz danych do analizy.

Obaj dostawcy obsługują także kontrolowanie urządzeń zewnętrznych w punktach końcowych. Umożliwia to wyłączanie dysków optycznych czy USB, dopuszczanie jedynie pewnych typów, marek czy modeli urządzeń, dopuszczanie jedynie specyficznych urządzeń (np. z określonym numerem seryjnym), ograniczanie wolumenu kopiowanych danych lub wymuszanie szyfrowania danych przemieszczanych na urządzenia zewnętrzne.