Can DLP products detect data pasted into web forms?

Acronis DeviceLock detected SSN data pasted into Pastebin and Google Translate by inspecting HTTP POST bodies. ManageEngine DLP Plus does not inspect clipboard paste. Enabling "Allow Within Trusted Applications" mode indirectly closes this gap by restricting which applications can open sensitive files.

Can the DLP agent be stopped or uninstalled by a standard user?

No. Both products protect against service stop, process kill, and uninstall attempts by standard users. All three tamper tests passed on both. For defense against local administrator accounts, Acronis offers the DeviceLock Administrators list to restrict who can uninstall, stop, or modify the agent. ManageEngine has no equivalent product-level mechanism, so admin rights must be controlled through Active Directory.

Do DLP products detect SSN written in different formats?

Acronis detected SSNs with spaces, dots, and without separators. ManageEngine detected only the standard hyphenated format (XXX-XX-XXXX).

Why are only two of the six products tested hands-on?

Vendor trial availability. ManageEngine and Acronis DeviceLock DLP provided working trials on Windows Server 2022 within our research window. The other four products (Netwrix, Sophos, Teramind, Trellix) required sales-led demo approvals that did not complete in time, so we rely on the prior feature reviews for those. As new trials become available, we will re-run the full 28-scenario benchmark on those products and refresh the findings below.

Sicurezza informatica Sicurezza dei dati Prevenzione della perdita di dati

Recensione DLP: Test comparativi di 6 prodotti DLP

Ekrem Sarı

aggiornato il Apr 30, 2026

Guarda il nostro norme etiche

Sfruttando la mia esperienza ventennale nel campo della sicurezza informatica, ho selezionato il miglior software DLP per proteggere le informazioni sensibili e garantire la conformità alle normative. Ho testato 6 soluzioni DLP per un mese, concentrandomi su caratteristiche chiave come la copertura dei canali, la facilità di implementazione e l'accuratezza della classificazione. I risultati sono riportati di seguito:

Libri	Funzionalità esistenti	Funzionalità mancanti
Netwrix Endpoint Protector	17	0
ManageEngine DLP Plus	16	1
Teramind DLP	14	3
Sophos Intercept X	12	5
Trellix DLP	10	7
Acronis Cyber Protect	6	11

Consulta i risultati del benchmark qui sotto per vedere quali funzionalità sono disponibili e quali mancano:

Risultati del benchmark: confronto delle funzionalità

Abbiamo confrontato questi prodotti in base a quattro dimensioni. Puoi consultare le descrizioni di queste dimensioni o la nostra metodologia di benchmarking . Per aiutare le aziende a scegliere il prodotto DLP più adatto, abbiamo condotto un'analisi comparativa completa di sei soluzioni DLP popolari, tutte con prova gratuita.

Copertura dei canali

* Gli allegati classificati come dati sensibili possono essere bloccati o sottoposti a verifica, e gli utenti interni ed esterni possono essere bloccati dal software.
** Consentire ad applicazioni specifiche di aprire, modificare o acquisire schermate di dati sensibili tramite software.

Amministrazione

Classificazione dei dati

Altre capacità

* Acronis offre un'opzione di filtraggio web come componente aggiuntivo, classificata come "filtraggio URL basato su cloud".

Come scegliere la soluzione DLP più adatta alla tua azienda?

Sebbene tutti gli strumenti DLP testati coprano efficacemente i canali dati primari come periferiche, e-mail e applicazioni, la classificazione dei dati rimane una sfida costante. Una classificazione accurata è fondamentale per prevenire la perdita di dati ed evitare falsi positivi. Sulla base dei nostri risultati, proponiamo le seguenti best practice per testare le soluzioni DLP in modo sicuro ed efficace:

Simula dati realistici : genera set di dati di test per simulare informazioni riservate. Ciò riduce al minimo i rischi e ti consente di valutare le funzionalità dello strumento senza esporre dati aziendali sensibili.
Sfrutta i dati dei dipendenti mascherati : se la creazione di dati di test non è fattibile, utilizza set di dati anonimizzati o mascherati con accesso controllato. Crea un database separato a questo scopo per garantire l'integrità e la sicurezza dei dati.
Limita l'ambito dei dati : testa le soluzioni su un piccolo set controllato di dati dei dipendenti anziché su set di dati di produzione completi per mitigare i rischi e garantire la conformità.
Evitate di utilizzare dati di produzione negli ambienti PoC : i sistemi di prova o di test possono esporre inavvertitamente informazioni sensibili, quindi date la priorità agli ambienti di test privi di dati di produzione reali.

La nostra analisi evidenzia inoltre che, sebbene i classificatori standard possano offrire funzionalità di base, la loro efficacia è spesso limitata. Personalizzare le politiche di classificazione dei dati in base alle esigenze specifiche della propria organizzazione è essenziale per ottenere una protezione ottimale e ridurre i falsi positivi.

netwrix Endpoint Protector

Abbiamo testato Netwrix Endpoint Protector e analizzato le sue funzionalità DLP.

Sintesi dei risultati:

Caratteristiche efficaci:
- Controllo granulare su oltre 30 dispositivi.
- Monitoraggio del dispositivo tramite una dashboard di controllo.
- Ispezione approfondita dei pacchetti per i trasferimenti di file in rete.
- Politiche predefinite e personalizzate.
- Diritti effettivi per la creazione di politiche.
- eDiscovery per l'individuazione di dati sensibili.
- Crittografia USB.
- Notifiche e avvisi per azioni bloccate.
- Notifiche personalizzabili per i clienti.
- Tracciabilità delle operazioni.
- Protezione antimanomissione.
Caratteristiche inefficaci:
- Nessuna gestione dei dispositivi.

Scegli Netwrix Endpoint Protector per una soluzione DLP completa con solide funzionalità di controllo dei dispositivi.

Visita il sito web

1. Copertura del canale

Endpoint Protector consente un controllo granulare su oltre 30 tipi di dispositivi, tra cui dispositivi USB, dispositivi Bluetooth, smartphone e altro ancora.

Dispositivi periferici

Controllo del dispositivo

Gli amministratori possono configurare il controllo degli accessi per dispositivi specifici, consentendo o bloccando la loro connessione ai computer dei client.

Applicazioni

Ispezione approfondita dei pacchetti

Consente all'amministratore di gestire i trasferimenti di file di rete. Gli amministratori possono impostare controlli per webmail , unità e applicazioni di terze parti elencate di seguito. Quando abilitate, le impostazioni CAP e di controllo dei dispositivi funzionano in conformità con le scansioni DPI.

2. Classificazione dei dati

Protezione basata sul contenuto (CAP)

Politiche predefinite

Le policy predefinite sono disponibili in 3 gruppi in base al sistema operativo del client: Windows, Mac e Linux.
Per Windows sono disponibili 86 criteri predefiniti. Questi criteri sono, ad esempio, i seguenti:

Trasferimento di file: il trasferimento di file in base al loro contenuto (grafica, archivi o programmazione) potrebbe essere bloccato.
HIPAA: I trasferimenti di file, in base al loro contenuto, devono essere conformi alla normativa HIPAA; in caso contrario, vengono bloccati.
GDPR: I trasferimenti di file, in base al loro contenuto, devono essere conformi al GDPR, altrimenti vengono bloccati.

Politiche doganali

È possibile definire policy personalizzate in base ai punti di uscita della policy, agli utenti e all'azione della policy scelta.

3. Amministrazione

diritti di accesso

I diritti effettivi consentono la creazione di policy (regole di controllo degli accessi appropriate) basate su uno specifico utente/dispositivo/formato (tipo di file).

I diritti globali sono diritti di controllo del dispositivo che si applicano in generale. È possibile impostare diritti di accesso diversi per dispositivi diversi.

Creazione delle politiche

Per creare una policy, l'amministratore può scegliere tra opzioni predefinite o personalizzate.

L'amministratore può ordinare i criteri in base al livello di priorità (l'amministratore può dare priorità a un criterio rispetto a un altro).

eDiscovery

Rileva i dati sensibili a riposo e consente la crittografia, la decrittografia e la cancellazione sul dispositivo di destinazione. È possibile creare criteri basati sui tipi di file e sul contenuto dei file. Il criterio definisce gli oggetti da analizzare.

L'output della scansione aiuta l'amministratore a individuare la posizione dei dati sensibili e ad adottare le misure necessarie.

Classi personalizzate

Consente la creazione di classi personalizzate e le impostazioni dei dispositivi, permettendo agli amministratori di assegnare un "Dispositivo attendibile (TD)" in base alle informazioni sul dispositivo, come il numero di serie e il tipo.

Il modulo eDiscovery di Endpoint Protector consente di eseguire operazioni di crittografia e decrittografia.

Liste di negazione e autorizzazione

Aiuta a definire i contenuti sensibili. CAP ed eDiscovery hanno come obiettivo il rilevamento. Ti chiede di determinare quali tipi di file, contenuti personalizzati, posizioni dei file, posizioni di scansione, modelli regex, domini, URL e domini di posta elettronica sono consentiti e quali no.

Crittografia USB

Endpoint Protector abilita la crittografia dei dispositivi USB. L'amministratore può automatizzare questa operazione.

Notifiche e avvisi

Quando si tenta di allegare un file .xlsx denominato "Riservato" contenente informazioni relative al codice fiscale tramite WhatsApp, Endpoint Protector blocca l'operazione e notifica all'amministratore il seguente messaggio:

L'amministratore può visualizzare i registri eventi nella finestra Report in base al contenuto. Il registro eventi include dettagli quali evento, ora, utente, dispositivo, destinazione e file.

Altre caratteristiche

Il programma supporta la sincronizzazione degli ID AD e Entra Microsoft.
Le notifiche ai clienti possono essere personalizzate.

ManageEngine Endpoint DLP Plus

Abbiamo sfruttato la prova gratuita di ManageEngine Endpoint DLP Plus. La possibilità per gli utenti di notificare agli amministratori i falsi positivi si è rivelata una funzionalità utile, non offerta da tutti gli altri provider.

Sintesi dei risultati:

Caratteristiche efficaci:
- Classificazione efficace dei dati.
- Protezione efficace per email e applicazioni.
- Regole dati personalizzabili.
- Gli utenti possono segnalare agli amministratori i falsi positivi.
- Possibilità di segnalare i falsi positivi.
- Offre un'integrazione attiva con l'inventario.
- Offre protezione contro le manomissioni.
- Tracciabilità completa delle operazioni.
Caratteristiche inefficaci:
- Nessuna gestione dei dispositivi.
- Nessuna implementazione su cloud.
- Nessuna ricerca file.

1. Copertura del canale in base all'applicazione di politiche selezionate o a verifiche

È possibile aggiungere stampanti, dispositivi USB, applicazioni e altri dispositivi a un elenco di dispositivi o applicazioni attendibili. È possibile specificare un dispositivo inserendo il percorso dell'istanza del dispositivo.

Le stampanti disponibili sono di rete e USB. Per i dispositivi di archiviazione rimovibili, le due opzioni disponibili sono i lettori di dischi e i CD-ROM.

Se un dispositivo o un'applicazione non è considerato attendibile, la comunicazione con esso verrà bloccata. È inoltre possibile scegliere di eseguire un controllo dei dispositivi o delle applicazioni.

ManageEngine Endpoint DLP Plus può essere configurato per proteggere i dati sensibili assegnati bloccandone il caricamento nel browser designato.

In che modo ManageEngine Endpoint DLP Plus blocca i file?

Una volta definiti i dati sensibili nella sezione delle regole sui dati, ManageEngine Endpoint DLP Plus applica le policy specificate.

È stata inclusa per l'utente l'opzione di segnalare i falsi positivi all'amministratore. Questa funzionalità non è presente in tutte le soluzioni DLP.

2. Individuazione e classificazione dei dati

La soluzione consente agli utenti di scegliere tra le regole della libreria o di creare regole personalizzate per l'individuazione di dati sensibili.

Guida dettagliata alla configurazione delle regole dati per l'individuazione di dati sensibili:

La classificazione dei dati si basa su espressioni regolari. AIMultiple non ha riscontrato alcuna capacità di classificazione semantica.

Regola personalizzata basata sull'estensione del file: consente di assegnare i file con estensione (ad esempio) PNG e JPEG alla categoria dei dati sensibili.

Regola personalizzata basata su regex (espressione regolare): consente di contrassegnare come dati sensibili i file contenenti espressioni come "ba".

3. Esperienza amministrativa

Utenti con diversi livelli di accesso:

Dopo l'installazione degli agenti, è possibile utilizzare gruppi di agenti personalizzati per associare le policy in base all'appartenenza al gruppo. La distribuzione delle policy richiede all'utente di fornire un gruppo personalizzato di agenti, la policy desiderata e le regole sui dati.

Le norme sui dati e le relative politiche operano in sinergia. Le norme sui dati definiscono i dati sensibili; di conseguenza, le politiche correlate dovrebbero proteggere tali dati.

L'immagine seguente riassume le unità di processo del programma:

In base ai requisiti di audit dell'agente, ManageEngine prepara report di audit con la frequenza desiderata:

L'interfaccia utente del programma tiene l'amministratore informato sugli eventi di violazione delle policy all'interno dell'abitazione e sui relativi segmenti di report.

Notifiche di falsi positivi

Il programma consente agli utenti di segnalare all'amministratore i falsi positivi. Ciò permette all'amministratore di adeguare le policy in base ai falsi positivi.

Implementazione

La versione gratuita di ManageEngine Endpoint Control Plus è limitata a 30 giorni di utilizzo e non può essere distribuita nel cloud; deve essere installata sul dispositivo dell'amministratore.