Алексей Дрозд, начальник отдела информационной безопасности
Больше трети утечек происходят через смартфоны. Сотрудники используют гаджеты как флешку или фотографируют с их помощью экран компьютера, например, с открытой клиентской базой. Если первую проблему можно решить с помощью блокировки передачи данных, то вторая долгое время оставалась «слепым пятном». В этом году наша DLP-система «СёрчИнформ КИБ» научилась детектировать случаи, когда сотрудники наводят смартфоны на монитор. Делает она это с помощью нейросетей под капотом.
КИБ включает веб-камеру по расписанию или по условиям (например, при запуске критичного процесса). Если «видит» в руках у сотрудника смартфон – сигнализирует об этом ИБ-специалисту.
Итак, чтобы обнаружить угрозу утечки на телефон, нам потребуется совершить четыре действия:
1. Первое – настраиваем обязательную съемку через веб-камеру при запуске определенных процессов/сайтов или просто по расписанию с заданным интервалом. Например, можно настроить снимки при открытии презентации формата .PPT. Теперь КИБ распознает смартфон в руках пользователя на снимке.
2. Идем смотреть результаты распознавания телефонов. Система собирает все результаты, где смартфон обнаружился даже предположительно. С помощью специального фильтра можно задать процент схожести распознавания. Мы рекомендуем ставить показатель больше 90, и результаты выдачи с самыми высокими показателями будут означать, что DLP точно «увидела» на снимке телефон.
3. Чтобы облегчить себе работу, автоматизируем распознавание и настроим политику безопасности. Для этого нужно выбрать поиск по базам данных CameraController и в перечне атрибутов, по которым можно настроить политику, указываем «обнаружение съемки экрана на телефон». Запускаем проверку по политике. Таким образом мы увидим все инциденты, где DLP распознала в руках у пользователя предмет, похожий на смартфон.
4. Но найти тех, кто фотографирует экран ПК на смартфон только полдела. Теперь важно узнать, что именно снимали.
Сопоставим время снимка с тем, что происходило на экране. Информацию можно получить в модуле MonitorController: выбираем ПК, который фотографировали на телефон и время, в которое, как мы уже знаем, была сделана фотография.
Например, представим, что менеджер Петров только что сделал фото на телефон – видим, что в этот момент он открывал клиентскую базу.
Недостаток этого способа в том, что съемка монитора должна быть настроена так же часто, как и веб-камерой. В противном случае мы не сможем достоверно сказать, что было на экране ПК сотрудника в нужный нам момент.
Если изображение все-таки утекло в интернет, то установить виновника ИБ-специалисту помогут водяные знаки. Благодаря водяным знакам можно однозначно определить источник слива и расследовать инцидент. Подробнее об этом функционале КИБ мы расскажем в следующем посте.
А если хотите протестировать распознавание, то переходите по ссылке.
Больше трети утечек происходят через смартфоны. Сотрудники используют гаджеты как флешку или фотографируют с их помощью экран компьютера, например, с открытой клиентской базой. Если первую проблему можно решить с помощью блокировки передачи данных, то вторая долгое время оставалась «слепым пятном». В этом году наша DLP-система «СёрчИнформ КИБ» научилась детектировать случаи, когда сотрудники наводят смартфоны на монитор. Делает она это с помощью нейросетей под капотом.
КИБ включает веб-камеру по расписанию или по условиям (например, при запуске критичного процесса). Если «видит» в руках у сотрудника смартфон – сигнализирует об этом ИБ-специалисту.
Итак, чтобы обнаружить угрозу утечки на телефон, нам потребуется совершить четыре действия:
1. Первое – настраиваем обязательную съемку через веб-камеру при запуске определенных процессов/сайтов или просто по расписанию с заданным интервалом. Например, можно настроить снимки при открытии презентации формата .PPT. Теперь КИБ распознает смартфон в руках пользователя на снимке.
2. Идем смотреть результаты распознавания телефонов. Система собирает все результаты, где смартфон обнаружился даже предположительно. С помощью специального фильтра можно задать процент схожести распознавания. Мы рекомендуем ставить показатель больше 90, и результаты выдачи с самыми высокими показателями будут означать, что DLP точно «увидела» на снимке телефон.
3. Чтобы облегчить себе работу, автоматизируем распознавание и настроим политику безопасности. Для этого нужно выбрать поиск по базам данных CameraController и в перечне атрибутов, по которым можно настроить политику, указываем «обнаружение съемки экрана на телефон». Запускаем проверку по политике. Таким образом мы увидим все инциденты, где DLP распознала в руках у пользователя предмет, похожий на смартфон.
4. Но найти тех, кто фотографирует экран ПК на смартфон только полдела. Теперь важно узнать, что именно снимали.
Сопоставим время снимка с тем, что происходило на экране. Информацию можно получить в модуле MonitorController: выбираем ПК, который фотографировали на телефон и время, в которое, как мы уже знаем, была сделана фотография.
Например, представим, что менеджер Петров только что сделал фото на телефон – видим, что в этот момент он открывал клиентскую базу.
Недостаток этого способа в том, что съемка монитора должна быть настроена так же часто, как и веб-камерой. В противном случае мы не сможем достоверно сказать, что было на экране ПК сотрудника в нужный нам момент.
Если изображение все-таки утекло в интернет, то установить виновника ИБ-специалисту помогут водяные знаки. Благодаря водяным знакам можно однозначно определить источник слива и расследовать инцидент. Подробнее об этом функционале КИБ мы расскажем в следующем посте.
А если хотите протестировать распознавание, то переходите по ссылке.