主要观点：

• 数据始终在移动，传统安全工具在动态数据环境中面临挑战，需要专门的数据安全解决方案 DSPM。
• DSPM 可识别敏感数据、显示访问权限及相关风险，但只是提供快照，不能修复问题，存在诸多局限性。
• 存在“库存陷阱”，数据环境变化快，DSPM 地图更新不及时，不能有效保护数据。
• 认为 DSPM 能发现一切是危险假设，有很多数据类型和场景无法监测。
• 仅靠监控不足，DDR 虽能追踪数据流动但仍依赖警报且存在局限性，AI 工作负载带来新风险。
• 很多泄露不会触发警报，应改变目标，通过脱敏使数据对攻击者无意义。
• 脱敏可限制数据泄露范围，平衡速度和安全，预防数据盗窃演变为严重 breach，虽实施复杂但很重要。
• 现实中加密和令牌化实施困难，企业安全架构虽复杂但数据本身仍易受攻击，应注重数据保护而非仅系统保护。

关键信息：

• DSPM 功能及局限性，如发现和分类数据、映射访问权限等，但不修复问题、易受环境变化影响等。
• 库存陷阱导致 DSPM 地图更新不及时，不能有效应对快速变化的数据环境。
• AI 工作负载带来新风险，如 invisible copies、autonomous movement、encoded leaks 等，DSPM 和 DDR 无法有效监测。
• 很多泄露情况不会触发警报，应通过脱敏使数据无用，防止数据盗窃演变为 breach。
• 加密和令牌化实施复杂，但可平衡速度和安全，预防数据泄露后果。

重要细节：

• DSPM 工具可在结构化和非结构化格式中发现数据，用模型和规则分类，映射访问权限等。
• 如在云环境中，数据变化快，库存更新不及时，DSPM 地图易过时。
• AI 系统如 RAG、LLM、Agentic AI 会以不同方式存储和处理敏感数据，带来新风险。
• 脱敏的两种技术：加密使可读数据变为编码数据，令牌化用假值或参考令牌替换敏感数据。
• 实施加密和令牌化需大量前期投资和架构改变，复杂且成本高。
• 企业安全架构包含多种组件，但数据本身仍易受攻击。