Фотосъемка – запрещена, или как «СёрчИнформ КИБ» помогает распознать смартфон в руках инсайдера?

Фотосъемка – запрещена, или как «СёрчИнформ КИБ» помогает распознать смартфон в руках инсайдера?

Больше трети утечек происходят через смартфоны. Сотрудники используют гаджеты как флешку или фотографируют с их помощью экран компьютера, например, с открытой клиентской базой. Если первую проблему можно решить с помощью блокировки передачи данных, то вторая долгое время оставалась «слепым пятном». В этом году наша DLP-система «СёрчИнформ КИБ» научилась детектировать случаи, когда сотрудники наводят смартфоны на монитор. Делает она это с помощью нейросетей под капотом.

КИБ включает веб-камеру по расписанию или по условиям (например, при запуске критичного процесса). Если «видит» в руках у сотрудника смартфон – сигнализирует об этом ИБ-специалисту.

Итак, чтобы обнаружить угрозу утечки на телефон, нам потребуется совершить четыре действия:

1. Первое – настраиваем обязательную съемку через веб-камеру при запуске определенных процессов/сайтов или просто по расписанию с заданным интервалом. Например, можно настроить снимки при открытии презентации формата .PPT. Теперь КИБ распознает смартфон в руках пользователя на снимке.


2. Идем смотреть результаты распознавания телефонов. Система собирает все результаты, где смартфон обнаружился даже предположительно. С помощью специального фильтра можно задать процент схожести распознавания. Мы рекомендуем ставить показатель больше 90, и результаты выдачи с самыми высокими показателями будут означать, что DLP точно «увидела» на снимке телефон.


3. Чтобы облегчить себе работу, автоматизируем распознавание и настроим политику безопасности. Для этого нужно выбрать поиск по базам данных CameraController и в перечне атрибутов, по которым можно настроить политику, указываем «обнаружение съемки экрана на телефон». Запускаем проверку по политике. Таким образом мы увидим все инциденты, где DLP распознала в руках у пользователя предмет, похожий на смартфон.


4. Но найти тех, кто фотографирует экран ПК на смартфон только полдела. Теперь важно узнать, что именно снимали.

Сопоставим время снимка с тем, что происходило на экране. Информацию можно получить в модуле MonitorController: выбираем ПК, который фотографировали на телефон и время, в которое, как мы уже знаем, была сделана фотография.

Например, представим, что менеджер Петров только что сделал фото на телефон – видим, что в этот момент он открывал клиентскую базу.


Недостаток этого способа в том, что съемка монитора должна быть настроена так же часто, как и веб-камерой. В противном случае мы не сможем достоверно сказать, что было на экране ПК сотрудника в нужный нам момент.

Если изображение все-таки утекло в интернет, то установить виновника ИБ-специалисту помогут водяные знаки. Благодаря водяным знакам можно однозначно определить источник слива и расследовать инцидент. Подробнее об этом функционале КИБ мы расскажем в следующем посте.

А если хотите протестировать распознавание, то переходите по ссылке.

информационная безопасность DLP СёрчИнформ утечка данных
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.