Как настроить «умное» распознавание объектов в DLP
Чтобы защититься от компрометации корпоративных аккаунтов и утечек через фото на смартфоны.
Привет! Продолжаем серию постов о том, как решать ИБ-задачи при помощи систем «СёрчИнформ». В первом выпуске говорили о контроле внешних юзеров во внутренней сети. Теперь расскажем, как распознавать лица пользователей и смартфоны, которыми фотографируют экран. Это нужно, чтобы выявлять попытки «неконтролируемых» сливов и случаи, когда инсайдеры уносят данные с ПК или из-под учеток коллег.
Обе задачи решаются в DLP-системе «СёрчИнформ КИБ» схожим образом: с использованием алгоритмов машинного обучения.
Как работает распознавание лиц и смартфонов?
Для распознавания лиц и телефонов система использует искусственный интеллект, но в зависимости от задачи делает это немного по-разному:
При распознавании лиц КИБ сравнивает две фотографии. Первая – эталон из Карточки пользователя или профиля сотрудника в Active Directory. Вторая – с веб-камеры, которая снимает пользователя на ПК. Система сравнит два снимка и, если обнаружит несовпадения, зафиксирует инцидент;
При распознавании телефонов система делает фотографии по заданным параметрам и анализирует их. Если система обнаружит объекты, похожие на смартфоны, то ИБ-специалист получит соответствующее уведомление. Степень схожести система определяет благодаря обученной нейросети «под капотом»: она достоверно отличает смартфон от внешних жестких дисков (соответствие по размеру, форме) и других предметов. При этом именно смартфоны, даже замаскированные или спрятанные, определяются с высокой точностью. Распознавание работает вне зависимости от цвета, размера, модели, производителя устройства.
Далее рассмотрим, как устанавливать, включать и правильно настраивать эти функции.
0. Что нужно сделать предварительно?
Нужно установить модуль, ответственный за распознавание лиц и телефонов. Сделать это можно при помощи специального установочного пакета, который доступен заказчику по запросу в техническую поддержку «СёрчИнформ». Важно учесть, что ИИ-модуль работает только при наличии лицензии на CameraController и потребляет больше ресурсов сервера.
После установки ИИ-модуля нужно добавить изображения сотрудников в Карточки пользователей. Для этого нужно перейти в соответствующую вкладку в Консоли аналитика и выбрать «Добавить фото» в меню опций. Если в Active Directory уже есть фототека сотрудников, КИБ «подтянет» ее автоматически, распределив изображения по Карточкам в соответствии с профилями AD.
Карточка пользователя с фото
1. Включите функции распознавания
Для этого перейдите в настройки модуля СameraСontroller, зайдите во вкладку «Распознавание» и проставьте галочки напротив пунктов «Распознавание лиц» и «Обнаружение съемки экрана на телефон».
Активация распознавания
Далее в «Настройках изображения» нужно задать условия активации камеры:
Для распознавания лиц нужно разрешить системе делать снимки при входе пользователя и при снятии блока сессии;
Для распознавания телефонов нужно выбрать процессы и сайты, запуск которых будет активировать камеру и/или выставить расписание съемки с нужным интервалом.
Настройки правил съемки с веб-камеры
Чтобы фотографии пользователей и телефонов в перехвате не занимали много памяти в хранилище перехвата, можно:
создавать снимки в градациях серого;
выбрать формат и размер изображений (рекомендуем JPG, меньше качество – больше риск помарок в распознавании, но ниже нагрузка на систему);
увеличить интервал создания снимков (чем больше интервал, тем больше вероятность упустить возможного нарушителя);
отключить снятие снимков, когда нет активных сессий.
2. Проверьте работу модуля СameraController
Возвращаемся в Консоль аналитика, чтобы проверить корректность работы модуля. Выбираем вкладку WebCam и сортируем результаты. По умолчанию система покажет все сделанные снимки. Чтобы упростить задачу, включите фильтры.
Для распознавания лиц доступны следующие условия:
одно лицо;
несколько лиц (потенциально кто-то подглядывает в экран);
лица не обнаружены (например, кто-то залогинился удаленно);
камера ПК повреждена или заклеена (пользователь пытается уйти от контроля);
распознавание отключено.
Проверка работы модуля – распознавание лиц
Для распознавания телефонов доступны другие параметры:
обнаружение съемки экрана на телефон;
камера заклеена;
распознавание отключено.
Проверка работы модуля – распознавание телефонов
Также для распознавания телефонов есть параметр «Вероятность». Он показывает, насколько КИБ уверен в том, что обнаруженный на снимке объект похож на телефон. Советуем ставить процент не менее 90, чтобы система показывала наиболее точные совпадения.
Работа с фильтрами в Консоли аналитика
3. Автоматизируйте работу
Чтобы облегчить себе задачу, можно настроить автоматический поиск инцидентов с попытками сфотографировать экран или «чужаками» за ПК сотрудников. Для этого заходим в AlertCenter и создаем политику безопасности:
выбираем поиск по базам данных – CameraController; в перечне атрибутов указываем нужные параметры поиска, например, «Распознавание лиц», и точное условие (перечень см. выше – он аналогичен условиям в Консоли аналитика).
Настройка условий поиска в политике безопасности
4. Узнайте, что происходило за ПК в момент съемки
Найти тех, кто сидит под чужими учетками или фотографирует экран – это только полдела. Теперь важно узнать, что именно возможный нарушитель делал за чужим ПК или с телефоном в руках. Для этого нужно сопоставить дату и время инцидента с информацией из других модулей. Действенный способ – это использовать модуль MonitorController, он показывает, что происходит на экране пользователя в тот или иной момент.
Чтобы проверить, что конкретно «чужак» или пользователь с телефоном делали за ПК в момент, когда это зафиксировала система, нужно:
узнать время снимка CameraController, на котором обнаружено нарушение (вся информация о времени, ПК, учетной записи и др. условиях, в которых был сделан снимок, отображена в таблице результатов поиска);
выделить нужный результат в Консоли аналитика и выбрать «Все результаты»;
перейти к необходимым модулям (чаще всего это будет MonitorController) и выбрать временной интервал для поиска.
Алгоритм расследования возможного нарушения
Далее, например, вы увидите, что в момент, когда пользователь попытался сфотографировать экран, там была открыта смета важного проекта или «чужак» просматривал базу клиентов коллеги, учеткой которого воспользовался. Эти находки могут служить доказательствами нарушения при служебном расследовании инцидента.
Что в итоге?
С помощью «умного» распознавания КИБ решает проблему, которая долгое время оставалась «слепым пятном» в других DLP. Теперь функционал позволяет расследовать случаи, когда необходимо достоверно установить «авторство» нарушения (если владелец учетки, от имени которой зафиксирован инцидент, отрицает, что был за ПК). И вовремя узнавать об угрозе слива корпоративных данных уже за ИТ-периметром: в виде фото с телефона сотрудника. Как правило, даже осведомленность о таком нарушении позволяет ИБ-службе оперативно принять меры защиты.
Дополнительно усилить контроль за фото экрана, даже если они уже покинули компанию на смартфоне сотрудника, помогают защитные водяные знаки, которые проявятся на утекших снимках. Подробнее о них мы расскажем в следующей ИБ-инструкции. Следите за обновлениями в блоге и на нашем YouTube канале.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.