Benchmarkizamos o DeviceLock DLP da Acronis e o ManageEngine DLP Plus em VMs idênticas do Windows Server 2022 com 28 cenários: 23 testes de vazamento de dados (incluindo 12 arquivos de evasão adversariais), 3 testes de segurança do agente e 2 testes sob alto consumo de CPU e memória.
Para os outros produtos DLP, Netwrix Endpoint Protector, Sophos Intercept X, Teramind DLP e Trellix DLP, revisamos seus recursos.
Resultados do benchmark DLP
Implantamos cada produto em infraestrutura idêntica: 3 instâncias Contabo Cloud VPS 10 (4 vCPU, 8 GB RAM, 150 GB SSD) executando Windows Server 2022 Datacenter com Active Directory.
- Acronis vence no geral com uma vantagem de 10 pontos impulsionada por inspeção de conteúdo mais profunda, integração completa com SIEM, preservação de evidências de cópia sombra e uma biblioteca de modelos de política mais rica.
- Um usuário que copia dados de SSN de uma planilha e os cola em qualquer formulário da web (Pastebin, Google Translate) contorna completamente o ManageEngine. Alterar o formato do SSN de 578-12-3364 para 578 12 3364 também o contorna. Acronis bloqueia ambos.
- Ambos os produtos passaram em todos os testes de adulteração do agente. O agente DLP não pode ser parado, encerrado ou desinstalado por uma conta de usuário padrão.
- Ambos os produtos continuaram bloqueando uploads sob carga de CPU de 100% e durante transferências em massa de arquivos. Esta categoria é documentada, mas não pontuada, já que o desempenho sob carga não foi um fator diferenciador.
- Nenhum dos produtos detectou dados de SSN codificados em base64. Ambos bloquearam a falsificação de extensão, arquivos compactados criptografados e a detecção de SSN único em documentos grandes.
A pontuação geral é uma soma ponderada de 8 categorias. Veja nossa metodologia de benchmark DLP para os pesos e a fundamentação da pontuação.
Testes de prevenção de vazamento de dados
✓: DLP bloqueou a tentativa, ✗: DLP deixou passar
O ManageEngine bloqueou 16 de 23 cenários (70%). Acronis bloqueou 19 de 23 cenários (83%). Ambos os produtos bloqueiam os canais padrão de exfiltração (uploads de arquivos, e-mail, transferências web). As diferenças surgem na colagem da área de transferência, variantes de formato de SSN, exfiltração entre clientes e canais de impressão.
Mapeamento para OWASP top 10
Nossos cenários de vazamento mapeiam para categorias de vulnerabilidade bem documentadas. A referência principal é A02:2021 Falhas Criptográficas, anteriormente denominada "Exposição de Dados Sensíveis". Esta categoria cobre SSN e PII, deixando o endpoint em texto simples sem criptografia ou tokenização, que é o modo de falha que cada cenário de exfiltração em nosso conjunto de testes visa. A04:2021 Design Inseguro cobre lacunas arquitetônicas como falta de inspeção da área de transferência ou indexação entre clientes que não podem ser corrigidas apenas por configuração.
Nossos testes adversariais (codificação em base64, variantes de formato de SSN, texto oculto HTML, divisão por fórmula entre células) alinham-se com as técnicas de injeção codificada e evasão de filtro documentadas no Guia de Testes de Segurança Web OWASP e na Folha de Truques de Evasão de Filtro XSS. As técnicas diferem em propósito (exfiltração de dados vs injeção de payload), mas compartilham o mesmo padrão subjacente: ofuscar conteúdo sensível para que filtros baseados em assinatura e regex falhem em reconhecê-lo.
Testes de segurança do agente DLP
Ambos os produtos protegeram contra as três tentativas de adulteração. Parar o serviço do PowerShell foi recusado. O processo do agente não pôde ser encerrado do Gerenciador de Tarefas. A desinstalação de Programas & Recursos falhou sem privilégios administrativos. Usuários padrão não podem desabilitar o agente DLP em nenhum dos produtos.
Comportamento sob alto consumo de CPU e memória
Ambos os produtos continuaram bloqueando sob carga de CPU de 100% sem degradação. Uploads em massa também foram bloqueados corretamente. Esta categoria é documentada para referência, mas excluída da pontuação, já que nenhum produto mostrou degradação e não produziu diferenciação entre eles.
Produtos DLP benchmarkados
As duas seções de produto abaixo documentam o benchmark completo de mãos dadas. Ambos foram instalados em VMs idênticas do Windows Server 2022 e testados com os mesmos 23 cenários de vazamento, 3 testes de segurança do agente e 2 cenários de alto consumo de CPU e memória.
1. Acronis DeviceLock DLP
Instalação
O Acronis DeviceLock exigiu um servidor SQL como pré-requisito para instalação, e instalamos o SQL Server 2022 Express.
Após o banco de dados estar pronto, a configuração do DeviceLock retomou com um certificado autoassinado e configuração de conexão de banco de dados. A implantação do agente usou um arquivo MSI de 164 MB copiado via compartilhamento de rede.
Painel & UI
O DeviceLock é administrado por meio de aplicativos nativos do Windows, em vez de um console web. A interface principal é um complemento MMC (Microsoft Management Console) com navegação em árvore. Acronis também entrega um complemento DeviceLock Group Policy Manager para ambientes gerenciados por AD e um DeviceLock Enterprise Manager separado para redes não-AD, todos compartilhando as mesmas convenções de UI.
O painel esquerdo tem três ramificações: DeviceLock Service (configurações do agente), Enterprise Server (gerenciamento central) e Content Security Server (motor de análise de conteúdo). O console MMC conecta-se a um cliente por vez, mas o módulo DeviceLock Reports fornece relatórios gráficos em toda a frota, incluindo Gráficos de Atividade do Usuário, Gráficos de Relações, Dossiês de Usuário e relatórios de dispositivos plug-and-play.1
A vantagem arquitetônica: cada dispositivo e protocolo se divide em perfis Regular (online) e Offline (desconectado). Um laptop pode ter regras estritas no escritório e regras relaxadas na estrada. O ManageEngine não oferece essa distinção.
Configuração de política
O Banco de Dados de Conteúdo do DeviceLock contém 50+ grupos de conteúdo pré-construídos com 90+ modelos regex e 160+ dicionários de palavras-chave. A análise morfológica suporta 7 idiomas para correspondência de palavras-chave.
O grupo integrado "Social Security" é do tipo Palavras-chave (procura pela frase "social security"), não do tipo Padrão. A abordagem correta: Adicionar Grupo > Padrão com a validação integrada "US Social Security Number", que usa verificação estilo Luhn. Este padrão validado é o motivo pelo qual o Acronis detectou todas as 8 variantes de formato de SSN, enquanto o ManageEngine pegou apenas o formato com hífen.
O Acronis suporta dois caminhos de distribuição centralizados: Política de Grupo do Active Directory (o complemento DeviceLock GPO) e DeviceLock Enterprise Server, que entrega políticas aos agentes por meio de push (iniciado pelo servidor) ou pull (agendado pelo agente ou sob demanda). Em nosso laboratório, usamos exportação de arquivo .dls por cliente através do Console de Gerenciamento, que é o caminho manual; a abordagem de produção é a entrega via GPO ou Enterprise Server.
Testes de vazamento
O Acronis bloqueou 19 de 23 cenários (83% de taxa de bloqueio). Os resultados de destaque:
Colagem da área de transferência bloqueada: Dados de SSN colados no pastebin.com e enviados via "Create New Paste" retornaram ERR_CONNECTION_RESET. O DeviceLock inspecionou o corpo do HTTP POST, encontrou conteúdo de SSN e matou a conexão. O mesmo teste no Google Translate: colar um SSN completo (212-64-6345) acionou "Erro de tradução". Remover os últimos quatro dígitos permitiu a tradução. A regra dispara em padrões de SSN válidos, não no site em si.
Variantes de formato de SSN detectadas: Acronis bloqueou todas as 8 representações: espaçado (578 12 3364), pontilhado (612.34.8876), sem separadores (334721198), grupos invertidos e formatos mistos. O motor de validação integrado reconhece o número independentemente da formatação.
Exfiltração entre clientes bloqueada: ssn_data.xlsx retirado da pasta compartilhada e enviado via WeTransfer de uma máquina diferente foi bloqueado. Acronis escaneia o conteúdo no ponto de exfiltração, não no ponto de criação.
Exclusão de arquivo bloqueada: O ManageEngine permitiu que usuários excluíssem arquivos sensíveis da área de trabalho. Acronis impediu isso. Isso significa que o Acronis protege contra destruição de dados, não apenas exfiltração de dados.
Bypass de impressão: Impressão não bloqueada em nosso teste (limitação de configuração). A impressão de confidential_report.docx do WordPad teve sucesso porque as Regras Sensíveis ao Conteúdo foram configuradas apenas sob Protocolos. A arquitetura de duas camadas do DeviceLock exige uma regra separada sob Dispositivos > Regras Sensíveis ao Conteúdo para impressoras; com a regra do lado Dispositivos em vigor, o bloqueio de impressão também seria ativado. Isso não é uma capacidade ausente, mas é um passo extra que os administradores precisam lembrar ao cobrir canais de rede e físicos.
Controle de acesso & AD
O DeviceLock oferece integração nativa com Active Directory baseada em GPO. Ele adiciona seu próprio complemento (DeviceLock Group Policy Manager) ao Console de Gerenciamento de Política de Grupo, permitindo distribuição de política através da infraestrutura padrão do AD. A diferenciação baseada em OU é tecnicamente suportada: diferentes OUs podem receber políticas DeviceLock diferentes.
Em nosso laboratório, usamos distribuição de arquivo .dls em vez dos caminhos de produção GPO/Enterprise Server. Também vimos o console solicitar reautenticação ao vincular usuários/grupos do AD a Regras Sensíveis ao Conteúdo em clientes remotos, o que tratamos como um artefato de cache de credencial de nosso pequeno ambiente de teste. Como alternativa ao AD GPO, o DeviceLock Enterprise Server entrega políticas por meio de modos push ou pull, que se adequam a ambientes não-AD e implantações ad-hoc.
Integração
O Acronis lidera em integração com três canais de exportação SIEM (Syslog, SNMP, SMTP) suportando formatos de log CEF e JSON. A cópia sombra preserva uma cópia completa de cada arquivo bloqueado ou monitorado no servidor para resposta a incidentes. O Content Security Server inclui um módulo de Descoberta que escaneia endpoints, NAS e compartilhamentos de arquivos em busca de dados sensíveis mal posicionados.
RBAC tem três níveis (Acesso Total, Alteração, Somente Leitura) com um alternador de Acesso a Dados Sombrios separado em cada nível. A integração programática é construída em torno do encaminhamento SIEM (Syslog/SNMP/SMTP) e entrega de log sombra para um servidor central, em vez de uma API REST pública.
Segurança do agente
O Acronis protegeu contra todos os três testes de adulteração como usuário padrão. Stop-Service no serviço DeviceLock retornou acesso negado. O Gerenciador de Tarefas recusou-se a encerrar o processo do agente. A desinstalação de Programas & Recursos exigiu elevação administrativa e foi bloqueada sem ela.
Para defesa contra adulteração em nível de administrador, o Acronis oferece a lista de Administradores do DeviceLock. Quando configurada, apenas contas na lista podem desinstalar, modificar ou parar o agente. Mesmo administradores locais fora da lista são bloqueados.
Comportamento sob alto consumo de CPU e memória
Sob carga de CPU de 100% (4 trabalhos PowerShell de loop infinito), o Acronis continuou bloqueando uploads sem degradação. 100 arquivos enviados consecutivamente foram todos escaneados e bloqueados corretamente. Esta categoria não foi pontuada.
Análise de conteúdo
A análise de conteúdo é a área mais forte do Acronis. O padrão de SSN validado com detecção independente de formato é o recurso mais impactante que testamos. Além do regex, o Acronis documenta vários recursos2
Registro & alertas
O DeviceLock fornece três visualizadores de log separados: Log de Auditoria (todas as tentativas de acesso e alterações de política), Log Sombra (cópias de arquivos bloqueados/monitorados) e Log UAM (monitoramento de atividade do usuário com capturas de tela e uso de aplicativos).
Canais de alerta incluem SMTP, SNMP Traps e Syslog. Quatro categorias de alerta são configuráveis: acesso a dispositivo/protocolo, violações de Regras Sensíveis ao Conteúdo, regras de firewall e alterações administrativas. A exportação de relatórios suporta HTML, PDF e RTF.
A cópia sombra é o recurso de destaque para resposta a incidentes. Quando uma transferência de arquivo é bloqueada, o conteúdo completo do arquivo é preservado no servidor. O ManageEngine registra o evento, mas descarta o arquivo. Nenhum dos produtos possui um fluxo de trabalho completo de incidentes (atribuição, escalonamento, rastreamento de status).
Escolha o DeviceLock DLP da Acronis para uma solução integrada, incluindo backup, recuperação de desastres e gerenciamento de endpoints.
Visite o site2. ManageEngine DLP Plus
Instalação
O ManageEngine DLP Plus instala a partir de um assistente padrão do Windows. Nenhum banco de dados externo necessário. Todo o processo, servidor mais dois agentes de cliente, levou cerca de 15 minutos.
O instalador do agente falhou silenciosamente no Cliente 1 com um conflito na porta 8383 que não produziu nenhuma mensagem de erro visível. O problema só foi descoberto verificando o status do serviço manualmente. A instalação da extensão do navegador também é necessária para bloqueio de upload e deve ser configurada separadamente para cada navegador (Chrome, Edge, Firefox, Brave).
Painel & UI
O ManageEngine abre em um navegador web. O painel exibe status da política, incidentes recentes e visão geral de dispositivos com gráficos e diagramas. A navegação usa uma barra lateral esquerda. Criação de política, gerenciamento de dispositivos e relatórios são acessíveis em 2-3 cliques.
Todos os clientes são visíveis em uma única tela. Comparado ao console MMC do Acronis, a interface parece moderna e funcional. O ManageEngine não oferece o modo de perfil duplo Offline/Regular.
Configuração de política
O ManageEngine fornece um Banco de Dados de Conteúdo com regras pré-construídas para PCI-DSS, HIPAA, GDPR e padrões específicos de país. As categorias incluem números de cartão de crédito (Visa, Mastercard, Amex), SSN, ID fiscal para 20+ países, IBAN, números de passaporte e dados de seguro de saúde. Regras regex personalizadas podem ser criadas.
Um problema operacional: toda alteração de política exige uma reinicialização do PC do cliente antes de entrar em vigor. A primeira tentativa custou 30 minutos de solução de problemas antes que o requisito de reinicialização fosse descoberto na documentação. O status de implantação da política ficou em 0% até que o cliente fosse reiniciado manualmente. Em um ambiente de produção com centenas de endpoints, isso é um sério ônus operacional.
Testes de vazamento
O ManageEngine bloqueou 16 de 23 cenários (70% de taxa de bloqueio). As principais descobertas:
Impressão bloqueada automaticamente: A impressão de confidential_report.docx do WordPad foi bloqueada. Print-to-PDF também bloqueado. Ao contrário do Acronis, o ManageEngine cobre a impressão sob a mesma política que uploads. Nenhuma regra de dispositivo separada necessária.
Bypass de colagem da área de transferência: Dados de SSN copiados de uma planilha e colados no pastebin.com foram enviados com sucesso. O ManageEngine não inspeciona texto colado em formulários web. O colagem no Google Translate também foi contornada.
Após alternar o Acesso a Arquivos para o modo "Permitir Dentro de Aplicativos Confiáveis", o bypass da área de transferência foi fechado porque os usuários não podiam mais abrir arquivos sensíveis com aplicativos não confiáveis. Esta é uma mitigação indireta que limita fluxos de trabalho legítimos, não uma inspeção direcionada da área de transferência.
Variantes de formato de SSN contornadas: O ManageEngine detectou apenas o formato padrão com hífen (XXX-XX-XXXX). Variantes espaçadas, pontilhadas e sem separador passaram.
Captura de tela bloqueada: O ManageEngine detectou e bloqueou a captura de tela enquanto um arquivo sensível estava aberto.
Upload de imagem SSN bloqueado: ssn_image.png (um arquivo de imagem contendo números de SSN) foi bloqueado durante o upload. Esta é detecção baseada em metadados/classificação, não OCR.
Bypass de exclusão de arquivo: Arquivos sensíveis podiam ser excluídos da área de trabalho do cliente sem qualquer intervenção DLP. Acronis bloqueou a exclusão de arquivo.
Bypass de exfiltração entre clientes: Uma captura de tela tirada no Cliente 1, copiada para o compartilhamento de rede e enviada do Cliente 2 via WeTransfer passou. O agente do Cliente 2 nunca havia indexado este arquivo.
Controle de acesso & AD
A integração AD funciona: o console descobriu o domínio dlptest.local e sincronizou usuários e OUs automaticamente após inserir credenciais. Políticas baseadas em grupo foram testadas criando dois grupos de computador manuais (Finance-Clients e IT-Clients) com regras diferentes. O Cliente 1 (Finance) tinha restrições estritas de acesso a arquivos, enquanto o Cliente 2 (IT) não tinha bloqueio. A diferenciação funcionou corretamente.
Grupos de usuários do AD não podiam ser mapeados diretamente para grupos de computador. O sistema espera grupos de computador do AD, não grupos de usuários. Isso significa que a atribuição de política baseada em grupo requer agrupamento manual de computadores em vez de puxar grupos do Active Directory.
Integração
O ManageEngine Endpoint DLP Plus não tem integração nativa com SIEM. A documentação oficial de ajuda3 , página de recursos e guia do usuário não mencionam Syslog, CEF ou encaminhamento SIEM. Outros produtos ManageEngine (DataSecurity Plus, ADAudit Plus, Endpoint Central) suportam Syslog, mas o DLP Plus como produto autônomo não.
RBAC está disponível e é mais granular que o Acronis: 4 funções pré-definidas (Administrador, Gerente de Endpoint DLP, Técnico, Convidado), funções personalizadas com permissões em nível de módulo (Controle Total, Gravar, Ler, Sem Acesso), atribuição baseada em escopo (restringir administradores a grupos de computador específicos) e suporte 2FA (Email OTP ou Google Authenticator). Apesar de melhor RBAC, a pontuação geral de integração é menor porque SIEM e cópia sombra estão ausentes.
Segurança do agente
O ManageEngine protegeu contra todos os três testes de adulteração como usuário padrão. Stop-Service no serviço do agente DLP retornou acesso negado. O Gerenciador de Tarefas não terminou o processo do agente. A desinstalação de Programas & Recursos exigiu elevação administrativa e foi recusada sem ela.
Diferentemente do Acronis, o ManageEngine não oferece uma lista nomeada de administradores para restringir a desinstalação no nível de administrador. Qualquer conta com direitos de administrador local pode desinstalar o agente de Programas & Recursos. Para implantações de produção, isso significa que os direitos de admin de endpoint devem ser rigorosamente controlados através da associação de grupo do Active Directory e política de admin local, já que não há restrição em nível de produto.
Comportamento sob alto consumo de CPU e memória
Sob carga de CPU de 100%, o ManageEngine continuou bloqueando uploads sem degradação. Todos os 100 arquivos em um teste de upload em massa foram escaneados e bloqueados corretamente.
Análise de conteúdo
A análise de conteúdo do ManageEngine é baseada em regex e palavras-chave. Ele analisa corretamente vários formatos de arquivo (xlsx, docx, csv, json, html, py, log) e escaneia dentro de comentários de código, entradas de log e campos de dados estruturados. A falsificação de extensão não o engana. Arquivos ZIP criptografados são bloqueados a partir de análise de metadados/cabeçalho.
As limitações: apenas o formato padrão de SSN com hífen (XXX-XX-XXXX) é detectado. Sem decodificação base64, sem escaneamento de PDF criptografado. O ManageEngine oferece impressão digital de documento e OCR via Endpoint Central, mas o motor regex não inclui validação de SSN independente de formato como o Acronis. A biblioteca de regras é rica (20+ países, múltiplos frameworks de conformidade).
Registro & alertas
A página Auditoria de Arquivo Sensível registra eventos com detalhes úteis: nome do computador, usuário logado, tipo de evento, nome do arquivo, domínio web, aplicativo empresarial, status do evento e a regra de classificação específica que acionou. Este nível de detalhe é suficiente para investigação.
O ManageEngine tem um recurso útil de relatório de falso positivo: quando um arquivo é bloqueado, o usuário vê a opção "Relatar este bloqueio como falso positivo". O relatório aparece na página Auditoria de Substituição do console de admin. O Acronis lida com exceções por meio de regras do lado do admin e escopo de usuário/grupo no Console de Gerenciamento, em vez de um botão voltado para o usuário final.
Canais de alerta são limitados a e-mail SMTP. Não há encaminhamento SNMP ou Syslog. A exportação de relatórios suporta apenas CSV e PDF. Relatórios agendados estão disponíveis. Não há cópia sombra ou coleta de evidências. Sem fluxo de trabalho de incidentes.
Metodologia e ambiente de benchmark DLP
Provisionamos 3 instâncias Contabo Cloud VPS 10 executando Windows Server 2022 Datacenter.
Active Directory: Domínio dlptest.local com duas OUs (Finance, IT), quatro usuários de teste (user.finance1, user.finance2, user.it1, user.it2) e uma pasta compartilhada em \vmi3184661\share.
Teste sequencial: O ManageEngine foi instalado primeiro, testado em todas as 8 categorias pontuadas, depois totalmente desinstalado. O Acronis foi instalado nas mesmas VMs e testado com cenários e arquivos idênticos. Ambos os produtos enfrentaram o mesmo ambiente. Todos os testes foram realizados pela mesma pessoa.
Conjunto de dados de teste
8 arquivos base e 12 arquivos de evasão adversariais, todos contendo Números de Seguro Social dos EUA (SSN) como o principal tipo de dado sensível:
Arquivos base: ssn_data.xlsx (planilha SSN), credit_cards.csv (números de cartão de crédito), confidential_report.docx (SSN com palavra-chave "CONFIDENTIAL"), health_records.docx (dados HIPAA), source_code.py (credenciais no código), ssn_image.png (SSN em imagem para OCR), confidential_archive.zip (arquivo criptografado), normal_file.docx (arquivo limpo para controle de falso positivo).
Arquivos adversariais (12): Arquivo de log com SSN incorporado, CSV com nome inocente com coluna SSN oculta, JSON com SSN em campos de dados, comentários Python com SSN, 8 variantes de formato de SSN (espaçadas/pontilhadas/sem separador), SSN codificado em base64, HTML com SSN de texto oculto, SSN dividido por fórmula entre células de planilha, falsificação de extensão (.txt para .jpg, .xlsx para .png), ZIP protegido por senha, agulha no palheiro (1 SSN em 80 linhas de texto limpo).
Exemplos de teste de vazamento
Cada teste segue o mesmo padrão: tentar exfiltrar um arquivo sensível através de um canal específico e registrar se o agente DLP bloqueia ou permite.
Teste básico de vazamento (upload): Abrir um navegador no cliente, navegar para o WeTransfer, selecionar ssn_data.xlsx da área de trabalho, clicar em upload. Se o agente DLP bloquear o upload, o navegador exibe um erro ou a conexão é redefinida. Se permitir, o arquivo é enviado com sucesso para o WeTransfer.
Teste de evasão de canal (área de transferência): Abrir ssn_data.xlsx no Notepad, selecionar todo o texto, copiar (Ctrl+C). Abrir um navegador, navegar para pastebin.com, colar (Ctrl+V) na área de texto, clicar em "Create New Paste". Um produto DLP com inspeção de área de transferência mata o HTTP POST antes que ele seja concluído. Um produto sem inspeção de área de transferência permite a colagem porque os dados nunca saíram como arquivo.
Teste de evasão de conteúdo (variantes de formato): Criar um arquivo de texto contendo 8 representações diferentes de SSN: padrão (578-12-3364), espaçado (578 12 3364), pontilhado (578.12.3364), sem separador (578123364), invertido (3364-12-578) e formatos mistos. Fazer upload do arquivo para o WeTransfer. Um produto DLP com padrões de SSN validados reconhece todos os formatos. Um produto apenas regex detecta apenas os formatos que seu regex cobre.
Teste de vazamento indireto (entre clientes): No Cliente 1, tirar uma captura de tela de dados sensíveis exibidos na tela. Salvar a captura de tela. Copiá-la para o compartilhamento de rede (\server\share). No Cliente 2, puxar o arquivo do compartilhamento e enviá-lo para o WeTransfer. Um produto que escaneia no momento do upload bloqueia independentemente de onde o arquivo se originou. Um produto que depende de pré-indexação perde arquivos que nunca viu.
Teste de carga de CPU: Executar 4 trabalhos PowerShell de loop infinito para saturar todos os 4 vCPUs: 1..4 | ForEach-Object { Start-Job { while($true){} } }. Confirmar que a CPU está em 99-100% no Gerenciador de Tarefas. Enquanto a CPU estiver fixada, tentar fazer upload de ssn_data.xlsx para o WeTransfer. Se o agente DLP ainda bloquear o upload sob carga total, o comportamento sob carga é aceitável. Limpar com Get-Job | Stop-Job; Get-Job | Remove-Job.
Pontuações de categoria de benchmark DLP
Cada categoria tem uma pontuação máxima igual ao seu peso atribuído. Os pesos somam 50 e o total bruto é escalado para 100 para a pontuação final. As pontuações são inteiros ligados diretamente a resultados medidos ou recursos documentados, não classificações subjetivas.
Registro & alertas contribui com a maior lacuna única (+6). O Acronis exporta para SMTP, SNMP e Syslog, executa três visualizadores de log (Auditoria, Sombra, UAM) e preserva o conteúdo completo do arquivo via cópia sombra. O ManageEngine tem apenas SMTP, um único log de auditoria e sem cópia sombra. A integração adiciona mais +3 através do suporte SIEM do Acronis, módulo de descoberta e perfil duplo offline, nenhum dos quais existe no ManageEngine DLP Plus autônomo. A configuração de política adiciona +2 através dos 90+ modelos pré-construídos do Acronis e análise morfológica de palavras-chave em 9 idiomas. Testes de vazamento adicionam +1, refletindo diretamente a taxa de bloqueio de 83% vs 70%.
O ManageEngine recupera +2 da instalação, +4 do painel (UI web moderna com gráficos vs complemento MMC sem painel) e +1 do controle de acesso (2FA, funções personalizadas, admin baseado em escopo). A segurança do agente empatou em 6 cada após todos os três testes de adulteração serem aprovados.
Metodologia de pontuação (fundamentação dos pesos)
8 categorias pontuadas em escalas inteiras proporcionais ao seu peso. A pontuação máxima possível de cada categoria é igual ao seu valor de peso. Os pesos somam 50 e o total bruto é escalado para 100 para a pontuação final. Os pesos foram atribuídos pelo revisor sênior com base em quais categorias produzem diferenciação significativa e quais se correlacionam diretamente com operações diárias de DLP.
Toda pontuação é derivada de resultados medidos (taxas de bloqueio de teste de vazamento) ou da matriz de recursos documentada na seção Comparação de Recursos, não de avaliação subjetiva. O comportamento sob alto consumo de CPU e memória foi testado separadamente, mas excluído da pontuação, já que ambos os produtos se comportaram de forma idêntica sob carga.
Comparação de recursos
Configuração & implantação
O ManageEngine implanta 6x mais rápido e não requer dependências externas. O Acronis requer SQL Server e um certificado, mas entrega um kit de ferramentas de implantação mais amplo (complemento de Política de Grupo, push/pull do Enterprise Server, exportação manual .dls).
Registro & evidências
A cópia sombra é a maior lacuna. Quando o Acronis bloqueia uma transferência de arquivo, o conteúdo completo do arquivo é preservado no servidor para revisão forense. O ManageEngine registra os metadados do evento, mas descarta o arquivo real. Nenhum dos produtos possui um fluxo de trabalho completo de incidentes (atribuição, escalonamento, rastreamento de status).
Capacidades de análise de conteúdo
O Acronis tem análise de conteúdo mais profunda em todos os métodos. Os 90+ modelos regex e 160+ dicionários de palavras-chave com análise morfológica em 9 idiomas lhe dão uma superfície de detecção mais ampla. O ManageEngine oferece OCR via plataforma Endpoint Central e impressão digital de documento através de seu módulo de classificação, mas o Acronis publica números específicos (33 idiomas OCR, 5.300+ tipos de arquivo) enquanto o ManageEngine não. Nenhum dos produtos usa aprendizado de máquina ou NLP para classificação.4 5 6 7
Limitações
Dois produtos benchmarkados de mãos dadas: O benchmark cobre ManageEngine DLP Plus e Acronis DeviceLock DLP. Os outros quatro produtos cobertos (Netwrix, Sophos, Teramind, Trellix) não foram re-testados sob a mesma metodologia de 28 cenários; suas seções refletem revisões de recursos anteriores. As pontuações comparativas (76/100 e 66/100) são, portanto, entre os dois produtos testados de mãos dadas apenas, não em todos os seis.
Sem teste de USB ou mídia removível: O controle de dispositivo USB é um dos casos de uso DLP mais comuns. Ambos os produtos suportam, mas nossa infraestrutura (instâncias cloud VPS) não tem portas USB físicas. Bloqueio de USB, aplicação de criptografia e lista branca de dispositivos não foram testados.
Apenas padrões SSN testados: Todos os testes de vazamento usaram Número de Seguro Social dos EUA como o tipo de dado sensível. Detecção de cartão de crédito (validação Luhn), padrões HIPAA e regras específicas de GDPR não foram testadas separadamente, embora ambos os produtos incluam modelos pré-construídos para estes.
Produtos DLP revisados anteriormente
Tivemos acesso de teste aos quatro produtos abaixo em um ciclo de pesquisa anterior. As descobertas refletem cobertura de recursos e testes na época, não um re-teste de 2026. As capturas de tela são do ambiente de revisão original. Onde os fornecedores enviaram atualizações após a revisão original, essas são sinalizadas na linha.
Netwrix Endpoint Protector
O Netwrix Endpoint Protector é uma solução DLP pesada em canais construída em torno de controle de dispositivo, Inspeção Profunda de Pacotes e eDiscovery. A revisão cobriu seu fluxo de trabalho de criação de política, cobertura de periféricos e recursos administrativos.
Recursos eficazes: Controle granular sobre 30+ tipos de dispositivo, Inspeção Profunda de Pacotes para transferências de arquivos de rede, políticas pré-definidas e personalizadas, direitos eficazes para criação de política, eDiscovery para dados em repouso, criptografia USB, notificações e alertas para ações bloqueadas, notificações de cliente personalizáveis, rastro de auditoria e proteção contra adulteração.
Recursos ineficazes: Sem gerenciamento de dispositivo (MDM é oferecido como um add-on, não incluído no teste básico).
Cobertura de canais: O Endpoint Protector permite controle granular sobre 30+ tipos de dispositivo, incluindo dispositivos USB, dispositivos Bluetooth, smartphones e muito mais. Os administradores podem configurar controle de acesso para dispositivos específicos para permitir ou bloqueá-los de se conectar a computadores clientes. A Inspeção Profunda de Pacotes permite que o administrador gerencie transferências de arquivos de rede em webmail, unidades e aplicativos de terceiros. Quando ativado, as configurações de Proteção Sensível ao Conteúdo (CAP) e controle de dispositivo funcionam em conformidade com as varreduras DPI.

Classificação de dados: A Proteção Sensível ao Conteúdo inclui políticas pré-definidas em três grupos com base no sistema operacional do cliente (Windows, Mac, Linux). Existem 86 políticas pré-definidas para Windows cobrindo transferências de arquivos por tipo de conteúdo (gráficos, arquivos, programação), conformidade HIPAA e conformidade GDPR. Políticas personalizadas podem ser definidas com base em pontos de saída de política, usuários e ação de política escolhida. O eDiscovery detecta dados sensíveis em repouso e permite criptografia, descriptografia e exclusão no destino.

Administração: Direitos eficazes permitem criação de política com base em um usuário, dispositivo ou tipo de arquivo específico. Direitos globais são direitos de controle de dispositivo que se aplicam em geral, e os administradores podem definir direitos de acesso diferentes para dispositivos diferentes. Para criar uma política, o administrador seleciona entre opções pré-definidas ou personalizadas, e as políticas podem ser ordenadas por prioridade. Classes personalizadas permitem atribuir um "Dispositivo Confiável (TD)" com base em informações do dispositivo, como número de série e tipo.
Notificações e alertas: Quando um administrador tenta anexar um arquivo .xlsx com o nome "Confidencial" contendo informações de número de seguro social no WhatsApp, o Endpoint Protector bloqueia a ação e notifica o administrador. Os logs de evento são visíveis na janela Relatório Sensível ao Conteúdo com detalhes incluindo evento, hora, usuário, dispositivo, destino e arquivo.
Outros recursos: A sincronização com Microsoft AD e Microsoft Entra ID é suportada. Notificações de cliente podem ser personalizadas. Listas de negação e permissão ajudam a definir conteúdo sensível através de tipos de arquivo, conteúdo personalizado, localizações de arquivo, localizações de varredura, padrões regex, domínios, URLs e domínios de e-mail. A criptografia de dispositivo USB pode ser automatizada.
Escolha o Endpoint Protector da Netwrix para uma solução DLP abrangente com recursos robustos de controle de dispositivo
Visite o siteSophos Intercept X
O Sophos Intercept X fornece capacidades DLP como parte de uma suíte de segurança de endpoint mais ampla. A revisão focou na configuração de política personalizada, proteção contra adulteração e na experiência administrativa através do Sophos Central.
Recursos eficazes: Proteção eficaz de e-mail, periféricos e aplicativos, proteção contra adulteração funcionando, integração Active Directory, classificação de dados personalizável, pesquisa de arquivo e tags com hashes, rastro de auditoria abrangente.
Recursos ineficazes: Alguns recursos como proteção de periféricos exigem políticas personalizadas em vez de funcionar prontamente. Sem análise de comportamento do usuário e sem gerenciamento de dispositivo.
Cobertura de canais: Tanto em periféricos quanto em e-mail, as políticas base padrão não pararam transferências de arquivos. A equipe de revisão conseguiu bloqueá-los usando políticas personalizadas. O recurso de controle de aplicativo restringiu a transferência de arquivo para outras plataformas como Google Drive. Os usuários podem ser incluídos ou excluídos diretamente das políticas via e-mail ou exceções baseadas em IP. Nove tipos de dispositivos removíveis podem ser monitorados e controlados, menos que concorrentes como Endpoint Protector.
Classificação de dados: A classificação de dados automatizada foi ineficaz, classificando e-mails de risco como de baixa severidade. Parâmetros de personalização estão disponíveis e detalhados. Dados classificados são verificáveis através de uma lista de arquivos abrangente com status de classificação.
Administração: A proteção contra adulteração restringiu dispositivos de adulterar o software do agente e exigiu uma senha para desinstalar o arquivo do agente. Este recurso funcionou durante os testes de revisão. O Sophos Central registrou com sucesso logs de auditoria de atividades do usuário. Hashes de arquivo são oferecidos através do recurso de descoberta para identificar arquivos de risco.
Nota Shadow AI: Desde janeiro de 2026, a Sophos adicionou Proteção de Workspace para governança de Shadow IT e Shadow AI. A Proteção de Workspace é adjacente aos recursos de endpoint DLP cobertos aqui, não uma substituição para eles.8
Teramind DLP
O Teramind DLP é uma solução DLP orientada por política com forte posicionamento de análise de comportamento. A revisão focou na cobertura de canais, profundidade de personalização e sobrecarga administrativa.
Recursos eficazes: Proteção eficaz para periféricos, e-mail e aplicativos, personalização detalhada de classificação de dados, rastro de auditoria abrangente, integração Active Directory, pesquisa de arquivo.
Recursos ineficazes: A classificação de dados lutou para distinguir dados confidenciais de não confidenciais. Políticas personalizadas são difíceis de gerenciar. Sem proteção contra adulteração, sem OCR no teste grátis.
Cobertura de canais: Políticas de bloqueio USB foram eficazes, mas também bloquearam arquivos não confidenciais de serem copiados para dispositivos periféricos. Os tipos de dispositivos não foram mencionados nas políticas de dispositivos removíveis. Políticas de e-mail são eficazes, mas impedem que usuários internos enviem e-mails como efeito colateral. A política de proteção de aplicativo restringe todas as transferências de dados para aplicativos como Google Drive. E-mails ou domínios específicos podem ser excluídos das políticas.
Classificação de dados: A classificação de dados foi ineficaz porque não conseguia distinguir entre dados confidenciais e não confidenciais nos testes de teste. Opções de personalização são detalhadas, mas exigem familiaridade com a plataforma. Dados classificados são verificáveis.
Administração: A proteção contra adulteração foi ineficaz, pois os usuários podiam adulterar o arquivo do agente. A atividade de cada usuário foi monitorada com alertas enviados para o e-mail do admin. A identificação de dados OCR não está incluída no teste grátis.
Atualização do agente Mac. A partir de janeiro de 2026, o agente Mac Teramind suporta gravação de tela apenas quando uma regra de comportamento é violada, reduzindo o uso de armazenamento e melhorando a privacidade enquanto captura evidências relevantes.9
Trellix DLP
O Trellix DLP (anteriormente McAfee Total Protection for DLP) cobre uma ampla gama de canais de endpoint e rede, mas mostra inconsistência em certas áreas. A revisão focou na cobertura de canais, políticas pré-definidas vs personalizadas e capacidades administrativas.
Recursos eficazes: Ampla cobertura de canais, proteção abrangente de e-mail e aplicativo, regras de dados personalizáveis, rastro de auditoria, proteção contra adulteração, filtragem web.
Recursos ineficazes: Sem integração Active Directory no teste, sem pesquisa de arquivo, sem análise de comportamento do usuário, sem suporte completo OCR para detecção e prevenção web.
Cobertura de canais: O Trellix pode detectar quando um usuário configura o Outlook para enviar arquivos sensíveis através de contas de e-mail pessoais e pode colocar em quarentena e-mails contendo informações sensíveis. Liberar e-mails em quarentena pode ser trabalhoso, exigindo aprovação manual do remetente, do gerente do remetente ou do proprietário dos dados através de notificações por e-mail em vez de um fluxo de trabalho automatizado. O Trellix não suporta totalmente a filtragem de dados sensíveis sincronizados para dispositivos móveis através do ActiveSync para certos grupos de usuários.

O monitoramento e controle de dispositivos periféricos são possíveis, mas o Trellix não suporta uma política unificada em todos os canais, o que limita a flexibilidade em ambientes com múltiplos tipos de dispositivos periféricos. Os administradores podem configurar controles de acesso para dispositivos USB e outros periféricos, mas a implementação da política pode ser inconsistente em canais mais recentes, como dispositivos móveis.
Suporte avançado como criptografia de dispositivo USB requer assinaturas adicionais. Para aplicativos, o Chrome não é totalmente suportado e os usuários podem contornar políticas DLP em certos cenários, como ao fazer upload de arquivos de uma rede Wi-Fi pública.
Classificação de dados: As políticas pré-definidas do Trellix cobrem frameworks regulatórios comuns, incluindo PCI DSS e GDPR, embora os modelos de política sejam menos abrangentes e precisos que os dos concorrentes, criando possíveis lacunas de detecção.
O administrador pode criar políticas personalizadas usando palavras-chave, expressões regulares e impressão digital de arquivo. O Trellix não suporta recursos avançados como aprendizado de máquina ou proteção baseada em risco comportamental. OCR é limitado a documentos gráficos para descoberta, não para prevenção.
Administração: Os administradores podem atribuir direitos com base em usuários ou grupos, mas o Trellix carece de administração delegada baseada em função, limitando a capacidade de atribuir funções específicas para gerenciamento de política e tratamento de incidentes. Criptografia USB e aplicação de política de endpoint DLP são padrão, mas opções avançadas como proteção adaptativa a riscos e análise de comportamento nativa são limitadas ou exigem integração de terceiros.
Alertas são gerados para transferências de dados sensíveis via e-mail, mas personalização de relatórios limitada e capacidades de gerenciamento de incidentes podem exigir supervisão manual adicional.

O que o software DLP faz?
O software DLP monitora e controla o fluxo de dados sensíveis em endpoints, rede e serviços em nuvem de uma organização. Ele previne transferências de dados não autorizadas através de canais como uploads de arquivos, anexos de e-mail, copiar e colar da área de transferência, impressão, unidades USB e captura de tela.
Produtos DLP geralmente combinam três métodos de detecção: inspeção de conteúdo (escaneando conteúdo de arquivo em busca de padrões como SSN ou números de cartão de crédito), análise de contexto (avaliando o canal, usuário e destino) e aplicação de política (bloqueando, alertando ou registrando com base em regras).
Capacidades comuns de DLP
Conclusão
Para equipes que precisam de integração SIEM, evidência de cópia sombra ou detecção de SSN multi-formato, o Acronis é o produto mais forte. Ele bloqueou 83% dos cenários de vazamento, previne exclusão de arquivo, encaminha eventos para Syslog/CEF e preserva o conteúdo completo do arquivo para revisão forense através de cópia sombra.
Para equipes que priorizam implantação rápida e UI utilizável, o ManageEngine instala em 15 minutos sem dependências. O custo: sem integração SIEM, sem cópia sombra, sem inspeção de área de transferência e 13 pontos percentuais menores na taxa de bloqueio.
Perguntas frequentes
O DeviceLock da Acronis detectou dados de SSN colados no Pastebin e no Google Translate inspecionando corpos HTTP POST. O ManageEngine DLP Plus não inspeciona colagem da área de transferência. Habilitar o modo "Permitir Dentro de Aplicativos Confiáveis" indiretamente fecha esta lacuna restringindo quais aplicativos podem abrir arquivos sensíveis.
Não. Ambos os produtos protegem contra parada de serviço, morte de processo e tentativas de desinstalação por usuários padrão. Todos os três testes de adulteração passaram em ambos. Para defesa contra contas de administrador local, o Acronis oferece a lista de Administradores do DeviceLock para restringir quem pode desinstalar, parar ou modificar o agente. O ManageEngine não tem mecanismo equivalente em nível de produto, então os direitos de admin devem ser controlados através do Active Directory.
O Acronis detectou SSNs com espaços, pontos e sem separadores. O ManageEngine detectou apenas o formato padrão com hífen (XXX-XX-XXXX).
Disponibilidade de teste do fornecedor. ManageEngine e Acronis DeviceLock DLP forneceram testes funcionais no Windows Server 2022 dentro de nossa janela de pesquisa. Os outros quatro produtos (Netwrix, Sophos, Teramind, Trellix) exigiram aprovações de demonstração lideradas por vendas que não foram concluídas a tempo, então confiamos nas revisões de recursos anteriores para esses. À medida que novos testes se tornam disponíveis, reexecutaremos o benchmark completo de 28 cenários nesses produtos e atualizaremos as descobertas abaixo.
Cite este benchmark
Escolha o formato adequado ao local onde você vai publicar. Colar a versão com link no seu CMS preserva o backlink.
@misc{sar2026,
author = {Sarı, Ekrem},
title = {{Benchmark de Software DLP}},
year = {2026},
month = apr,
howpublished = {\url{https://aimultiple.com/dlp-review}},
note = {AIMultiple. Acessado em 30 Abril 2026}
}
























Seja o primeiro a comentar
Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios. Os comentários são deixados em seu idioma original.