Category: технологии

white

DLP Как это работает? Часть 2. Веселые картинки

В прошлый раз мы обсудили, какие технологии в составе DLP-системы позволяют защищать информацию, представленную в виде простого текста. Сегодня мы расскажем о защите изображений. Традиционно для работы с отсканированными документами используют технологию преобразования картинок в текст (OCR), с которым DLP давно научились работать. Но что делать, если объект защиты – именно изображения?



Научить искусственный интеллект поиску по картинкам – дело хлопотное. Задача становится еще более сложной, если приходится искать не полное изображение, а его фрагменты. Поисковые системы не «заморачиваются» в этом отношении, а нам приходится.

Злоумышленник, задумавший украсть из родной организации чертежи или топографические карты, скорее всего, будет их пересылать по частям. Возможно, он перекодирует файл, сохранит изображение в другом формате, изменит его. Наша задача – сделать так, чтобы DLP точно и безошибочно «узнавала» исходный документ в потоке трафика и сообщить об утечке.

Самый простой способ – создать обучающую коллекцию изображений с положительными и отрицательными примерами. Данную технологию можно использовать для предотвращения утечек отсканированных личных документов, таких как паспорт или права.

Можно попросить систему реагировать на конкретные детали изображения. К примеру, эталонную печать. Такой печатью можно помечать документы, которые ни при каких условиях не должны передаваться вовне. Система будет искать не документы в целом, а элементы изображения печати, что немного проще.

Помимо этого, широко применяется копирайтный анализ (цифровые отпечатки) для картинок. В данном подходе используется заранее заданный образец картинки, и если перехваченный объект совпадает с эталоном, то утечка предотвращается. Про детектирование утечек сканов или фотографий кредитных карт мы не упоминаем. Это, как говорится, «семечки».

Главное, на анализ изображений в нашей DLP системе формат исходных файлов никак не влияет. Исходное изображение может быть изменено до неузнаваемости – отражение, поворот, наличие помех, шума, кроп, масштаб, разделение на фрагменты, - мы его все равно обнаружим.

Дальнейшим развитием в этом направлении может стать создание технологий анализа для ещё не затронутых форматов, которые в настоящее время могут быть проанализированы лишь как набор бит. Например, это могут быть технологии анализа видео. К сожалению, мощности современных процессоров не хватает для анализа видео в realtime режиме, но это вопрос 3-5 лет.

Ещё одним направлением развития технологий анализа является анализ внутренних взаимосвязей между данными внутри текста. Примерами таких технологий могут служить технология детектирования утечек выгрузок из баз данных и технология анализа заполненных форм.
white

Только через меня

Из курьёзов Chatroulette.
Такая задача была поставлена довольно давно – предотвратить обмен контактами между абонентами чата, видеочата или переписки. Чтоб не могли перейти на альтернативный канал общения.

Многие системы типа соцсетей крайне ревнивы и желают, чтобы их участники общались бы только через эти системы. И никогда – в обход. Иногда такое желание основано на бубновом интересе, поскольку сеть имеет комиссию с оказываемых услуг и заключаемых сделок. Пользователи – наоборот, норовят законтачиться напрямую и обмануть посредника (а иногда – ещё и друг друга).

Умные применяют для этого организационные и финансовые механизмы. Например, Ии-бэй, который в качестве посредника гарантирует честность сделки и возврат денег в случае чего. Не очень умные – полагаются на технические меры, например, выявляют в сообщениях и блокируют адреса электронной почты и телефонные номера. Технологии те же самые, что в DLP-системах, хотя реализация часто хромает.

К счастью, типичные приёмы видеочатеров ориентированы на передачу очень коротких сообщений, которые для DLP не актуальны. Актуален общий принцип: сделать так, чтобы инсайдер сам не пожелал искать альтернативных каналов.

white

Терминаторы идут

По мировым СМИ разошлась новость.
«Корея продаёт в ОАЭ первый в мире автономный боевой робот "Super Aegis II", состоящий из 12,7-мм пушки с системой мониторинга и наведения с радаром и инфракрасной камерой. Эдакий примитивный Терминатор, который пока ещё не может передвигаться самостоятельно. Дальность поражения целей – 1,2 км, дальность обнаружения и распознавания – до 2,5 км, вес около 200 кг.»
Думаю, всем понятно – будущее за автоматизированным оружием.

Однако не идёт из памяти "Обитаемый остров" Стругацких. Там огромные площади были засажены подобными автоматическими турелями и прочим смерторносным железом. А выкорчёвывать всю эту нечисть отправляли каторжников, даже не солдат. И они, как ни странно, справлялись. Почему? Потому что человек всегда обманет робота, действующего по алгоритму.

Робот вместе с человеком – вот это действительно сила! Человек уступает машине не только в скорости вычислений и в реакции. Человек слаб прежде всего своим инстинктом самосохранения. И всякими вредными идейками типа "поражения своего правительства в империалистической войне". Антивирус ему в мозги не поставишь, весовой коэффициент на инстинкты не введёшь. Поэтому на опасных участках солдата следует заменить автоматизированной системой. Не из соображений гуманности, но надёжности.

Итак, тенденция введения боевых роботов очевидна. Следовательно, возрастает роль чисто информационного воздействия. Её пока что не осознали. Во всяком случае, не осознали генералы, которые по традиции мыслят в категориях рубильников и кнопок. Нужен прецедент выхода из повиновения управляемого оружия. Чтоб не просто отказ наведения или отключение связи. Чтобы роботизированный боевой аппарат открыл огонь по своим. И не в силу случайности, а по приказу противника. Лишь тогда специалисты по ИБ займут достойные места в структуре вооружённых сил.

white

Хак реальности

Когда ваш покорный слуга работал в Московском университете, познакомился среди прочих интересных людей с человеком, который единолично держал в своих руках судьбу всего мира. Он мог начать глобальную ядерную войну по своему собственному решению и даже без посторонней помощи.

В те времена все советские ракеты-носители ЯО летали на топливе гептил-тетраоксид азота. В факеле такой ракеты имелась спектральная линия, крайне удобная для дистанционного обнаружения: яркая, слабопоглощаемая атмосферой и, главное, уникальная. Никакие иные виды топлива такой линии не давали. Естественно, все вражеские спутники раннего предупреждения имели детекторы именно на эту линию. Излучение на данной частоте однозначно идентифицировалось как запуск ядерной ракеты. Со всеми ответно-встречными последствиями.

По заданию Минобороны наш учёный разработал мощный газовый лазер, излучающий ровно на той частоте. Каких-нибудь пары-тройки киловатт вполне хватало, чтоб с поверхности земли ослепить (если не выжечь нафиг) все чувствительные детекторы на всех спутниках. Даже при не очень точном наведении. А в соответствии с договорами и военными доктринами, нападение на средства раннего предупреждения приравнивается к полноценному ядерному нападению. Одномоментное ослепление всех вражеских спутников – как раз и есть крайняя форма такого нападения.

Некоторое время наш герой имел в своём фактически бесконтрольном распоряжении действующий лазер нужной мощности и полную возможность навести его и нажать кнопку.

Очень слабое (по сути, чисто информационное) воздействие может иметь сильные последствия. Но только там, где принятие решения в атакуемой системе предельно автоматизировано. Именно такие места должны считаться уязвимыми, независимо от того, известен ли способ "взлома" или нет.

Антивирусы – самый "независимый" от человека вид кибероружия. Потому что любой антивирус (может быть, кроме чисто серверных) рассчитан на эксплуатацию в отсутствие администратора. (Пользователь типа "домохозяйка американская", разумеется, не считается.) Антивирус принимает решения автоматически, без участия человека. Иные средства защиты информации имеют немного меньшую степень автономности. Наша любимая DLP-система используется в двух режимах – полностью автоматическом или с участием оператора. Причём, автоматический режим DLP придуман не из-за отсутствия квалифицированного персонала, а по требованию законодательства, чтоб не нарушать право на тайну связи.

И там, где квалифицированный специалист отсутствует, не допущен или не успевает вмешаться – там возможны разрушительные кибернападения: атака второго рода и некоторые другие.

white

Не можешь обуздать - возглавь

Товарищ sandr1x подогнал мне небольшую статью на тему «IM и утечки». За что ему спасибо. Цытато:
«74% опрошенных руководителей признают, что технологии IM повышают производительность труда;
72% блокируют IM по соображениям безопасности»

Хотя ничего принципиально нового ваш покорный слуга там не вычитал, но прочтение индуцировало интересную мысль.

Мы уже давно приладили свою DLP для контроля сообщений по протоколу ICQ (OSCAR). Но если бы сейчас мы начинали с нуля, возможно, пошли бы немного иным путём – написали бы собственного ICQ-клиента, заточенного под корпоративное использование. При этом было бы не только проще проверять исходящие сообщения на предмет конфиденциальной информации. Можно было бы встроить ряд "корпоративных" функций. Таких как пересылка внутренних сообщений через локальную сеть, прозрачное шифрование сообщений между "своими" абонентами, принудительное задание стойкого пароля, централизованное логирование присутствия работника на рабочем месте, централизованные офисные напоминары о запланированных мероприятиях и прочее.

За деньги такой клиент не продашь, а вот в качестве приложения к DLP-системе он пойдёт успешно.


white

Автоматизация необратима

Знаменитые три закона робототехники Азимова были обеспечены аппаратно. Самой конструкцией позитронного мозга. Изменить их программно было невозможно. В случае их принудительного нарушения мозг выходил из строя. А производитель позитронных мозгов был в мире единственный. Без этих придуманных писателем логических подпорок не срасталось. Все перечисленные условия далеки от текущей действительности, так что принудить кого бы то ни было к соблюдению законов робототехники невозможно.

Вместо азимовских законов в законодательстве чётко прослеживается альтернативный, но направленный в ту же сторону принцип: роботы могут выполнять любые действия, но принимать решения должен человек. Хотя бы принципиальные решения. Хотя бы решения, касающиеся других людей. Например, в хорошо изученном (оттого и привожу в качестве примера) нашими читателями законе "О персональных данных" этот принцип выражен так (ст.16):
«Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия...»

Ну а реальность такова: компьютерам (т.е. программам) передаётся право на принятие решения всё чаще, всё в большем количестве областей. Делается это как бы вынужденно. Тот, кто будет слишком рьяно придерживаться антропократических принципов, рискует проиграть. Как в рыночной конкуренции, так и на поле боя.

При стрельбе по низколетящим целям, которые находятся в зоне поражения всего 1-2 секунды, решение на открытие огня принимается программой ещё с 1980-х. Кто не доверится компьютеру – покойник.

Решения на покупку-продажу на фондовых рынках на огромные суммы принимаются программами. Кто надеется на быстроту собственного ума и пальцев – банкрот.

Летать и ездить на ручном управлении человек ещё может себе позволить. Но лишь потому, что скорость доставки – не самое главное конкурентное преимущество.

При создании программ сроки работ имеют существенное значение. Так что здесь автоматизация надвигается столь же необратимо. А дыры в программе, созданной полуавтоматически, лучше искать вручную. И наоборот.