• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Фотосъемка – запрещена, или как «СёрчИнформ КИБ» помогает распознать смартфон в руках инсайдера?

Алексей Дрозд, начальник отдела информационной безопасности

Больше трети утечек происходят через смартфоны. Сотрудники используют гаджеты как флешку или фотографируют с их помощью экран компьютера, например, с открытой клиентской базой. Если первую проблему можно решить с помощью блокировки передачи данных, то вторая долгое время оставалась «слепым пятном». В этом году наша DLP-система «СёрчИнформ КИБ» научилась детектировать случаи, когда сотрудники наводят смартфоны на монитор. Делает она это с помощью нейросетей под капотом.

КИБ включает веб-камеру по расписанию или по условиям (например, при запуске критичного процесса). Если «видит» в руках у сотрудника смартфон – сигнализирует об этом ИБ-специалисту.

Итак, чтобы обнаружить угрозу утечки на телефон, нам потребуется совершить четыре действия:

1. Первое – настраиваем обязательную съемку через веб-камеру
при запуске определенных процессов/сайтов или просто по расписанию с заданным интервалом. Например, можно настроить снимки при открытии презентации формата .PPT. Теперь КИБ распознает смартфон в руках пользователя на снимке.

распознавание съемки экрана_1.JPG


2. Идем смотреть результаты распознавания телефонов. Система собирает все результаты, где смартфон обнаружился даже предположительно. С помощью специального фильтра можно задать процент схожести распознавания. Мы рекомендуем ставить показатель больше 90, и результаты выдачи с самыми высокими показателями будут означать, что DLP точно «увидела» на снимке телефон.

распознавание съемки экрана_2.png


3. Чтобы облегчить себе работу, автоматизируем распознавание и настроим политику безопасности. Для этого нужно выбрать поиск по базам данных CameraController и в перечне атрибутов, по которым можно настроить политику, указываем «обнаружение съемки экрана на телефон». Запускаем проверку по политике. Таким образом мы увидим все инциденты, где DLP распознала в руках у пользователя предмет, похожий на смартфон.

распознавание съемки экрана_3.png


4. Но найти тех, кто фотографирует экран ПК на смартфон только полдела. Теперь важно узнать, что именно снимали.

Сопоставим время снимка с тем, что происходило на экране. Информацию можно получить в модуле MonitorController: выбираем ПК, который фотографировали на телефон и время, в которое, как мы уже знаем, была сделана фотография.

Например, представим, что менеджер Петров только что сделал фото на телефон – видим, что в этот момент он открывал клиентскую базу.

распознавание съемки экрана_4.JPG


Недостаток этого способа в том, что съемка монитора должна быть настроена так же часто, как и веб-камерой. В противном случае мы не сможем достоверно сказать, что было на экране ПК сотрудника в нужный нам момент.

Если изображение все-таки утекло в интернет, то установить виновника ИБ-специалисту помогут водяные знаки. Благодаря водяным знакам можно однозначно определить источник слива и расследовать инцидент. Подробнее об этом функционале КИБ мы расскажем в следующем посте.

А если хотите протестировать распознавание, то переходите по ссылке.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!