Category: технологии

Category was added automatically. Read all entries about "технологии".

white

DLP Как это работает? Часть 2. Веселые картинки

В прошлый раз мы обсудили, какие технологии в составе DLP-системы позволяют защищать информацию, представленную в виде простого текста. Сегодня мы расскажем о защите изображений. Традиционно для работы с отсканированными документами используют технологию преобразования картинок в текст (OCR), с которым DLP давно научились работать. Но что делать, если объект защиты – именно изображения?



Научить искусственный интеллект поиску по картинкам – дело хлопотное. Задача становится еще более сложной, если приходится искать не полное изображение, а его фрагменты. Поисковые системы не «заморачиваются» в этом отношении, а нам приходится.

Злоумышленник, задумавший украсть из родной организации чертежи или топографические карты, скорее всего, будет их пересылать по частям. Возможно, он перекодирует файл, сохранит изображение в другом формате, изменит его. Наша задача – сделать так, чтобы DLP точно и безошибочно «узнавала» исходный документ в потоке трафика и сообщить об утечке.

Самый простой способ – создать обучающую коллекцию изображений с положительными и отрицательными примерами. Данную технологию можно использовать для предотвращения утечек отсканированных личных документов, таких как паспорт или права.

Можно попросить систему реагировать на конкретные детали изображения. К примеру, эталонную печать. Такой печатью можно помечать документы, которые ни при каких условиях не должны передаваться вовне. Система будет искать не документы в целом, а элементы изображения печати, что немного проще.

Помимо этого, широко применяется копирайтный анализ (цифровые отпечатки) для картинок. В данном подходе используется заранее заданный образец картинки, и если перехваченный объект совпадает с эталоном, то утечка предотвращается. Про детектирование утечек сканов или фотографий кредитных карт мы не упоминаем. Это, как говорится, «семечки».

Главное, на анализ изображений в нашей DLP системе формат исходных файлов никак не влияет. Исходное изображение может быть изменено до неузнаваемости – отражение, поворот, наличие помех, шума, кроп, масштаб, разделение на фрагменты, - мы его все равно обнаружим.

Дальнейшим развитием в этом направлении может стать создание технологий анализа для ещё не затронутых форматов, которые в настоящее время могут быть проанализированы лишь как набор бит. Например, это могут быть технологии анализа видео. К сожалению, мощности современных процессоров не хватает для анализа видео в realtime режиме, но это вопрос 3-5 лет.

Ещё одним направлением развития технологий анализа является анализ внутренних взаимосвязей между данными внутри текста. Примерами таких технологий могут служить технология детектирования утечек выгрузок из баз данных и технология анализа заполненных форм.
white

Технологии на службе у кадровика

Новостные ленты взорвало сообщение о сотруднице Sberbank CIB, которой удалось отсудить у своей бывшей компании 4,6 млн долл. в качестве компенсации морального ущерба. Светлана Лохова «подвергалась дискриминации и травле на рабочем месте, пишет Forbes со ссылкой на BBC.



Суд еще в 2013 году установил, что начальник Светланы рассылал коллегам по электронной почте замечания в адрес подчиненной, которые были «оскорбительными и унизительными». Бывшие коллеги в переписке между собой и с клиентами называли ее сумасшедшей и «мисс кокаинисткой» и отмечали, что ей нужно посетить вождей нигерийских племен, чтобы «снять напряжение».

Мы обратили внимание на эту историю по двум причинам. Во-первых, из-за внушительного размера компенсации. Во-вторых, данного инцидента можно было бы избежать, если бы банк использовал современную DLP-систему с лингвистическим механизмом анализа сообщений, которая бы позволила своевременно выявить назревающий конфликт и разрешить его.

Например, неэтичные высказывания коллег во внутренней переписке можно было бы легко отследить. Соответствующим образом настроенная база контентной фильтрации (БКФ) позволяет DLP-системе реагировать на такие сообщения и оперативно уведомлять тех же HR-менеджеров.

Кадровикам можно дать доступ к консоли DLP, где и будут отображаться уведомления и отчеты. На основе анализа событий HR-служба может реагировать на инцидент. Это могут быть какие-либо дисциплинарные взыскания, профилактическая беседа или даже служебное расследование.

Вообще DLP для кадровика – тема не новая, но очень перспективная. Представьте: сотрудник решил поменять работу, стал больше времени проводить на сайтах по поиску вакансий. Получив соответствующее уведомление от системы, менеджер по персоналу имеет все шансы удержать ценного сотрудника, предложить ему лучшую мотивационную схему, разобраться в причинах недовольства работника.

С помощью DLP можно собирать обратную связь от коллектива по «больным» вопросам - о кадровых перестановках, топ-менеджменте, системе мотивации, переезде в новый офис, программах тимбилдинга, социальном пакете, корпоративном обучении и пр., контролировать рабочее время, выявлять факты нецелевого использования корпоративных ресурсов.

В общем, DLP-система для кадровика – это прибор для измерения «температуры» и «давления» внутри коллектива. Подробнее эта тема раскрыта на нашем сайте.
white

DLP Как это работает? Защита текстовых файлов.

В этом блоге мы стараемся рассказывать не только о безопасности «вообще», но и о том, чем занимается InfoWatch. Как вы знаете, наша компания фокусируется на разработке программных продуктов для защиты информации от утечек - Data Leaks/Loss Prevention или DLP. Мы запланировали цикл небольших постов, чтобы познакомить вас с технологиями, которые лежат в основе наших продуктов. Попытаемся проследить их эволюцию, расскажем, как именно современные DLP-системы справляются со своей работой.

Начнём с азов. Когда DLP системы были совсем молодые, с помощью них удавалось предотвращать большинство утечек информации в текстовом виде. Сюда относится неизменяемая и динамически изменяемая информация, и информация, составленная по заданному шаблону. В детектировании таких данных нам помогали такие технологии как цифровые отпечатки, текстовый классификатор и текстовые объекты соответственно.

Если у нас есть документ, который никогда не изменяется – например, долгосрочная стратегия развития компании - с него целесообразно сделать цифровой отпечаток и в случае передачи его за периметр организации DLP-система зафиксирует утечку.

Есть документы, которые постоянно изменяются, но мы точно знаем, какая лексика там присутствует – все договоры, бухгалтерская документация. Такие документы лучше всего пропустить через систему текстовой классификации и выделить категории данных, за которыми будет следить DLP.

Защищать персональные данные и финансовую информацию лучше всего с помощью анализатора шаблонов. Технология поможет выявлять в потоке данных номера кредитных карт, номера паспортов, ИНН, СНИЛС и подобные идентификаторы. Хочется отметить, что только в решении InfoWatch реализована верифицирующая функция для текстовых объектов, позволяющая снизить число ложно положительных срабатываний системы.

Применяя этот небольшой набор технологий удавалось выявить конфиденциальные данные в текстовых документах (пакет MS Office, pdf, txt), в теле письма электронной почты, в сообщениях мессенджеров (ICQ, Skype и т.п), а также в сканах документов, из которых предварительно извлекался текст с помощь технологии OCR.






Основным недостатком данного подхода было ограничение перечня защищаемой информации. Так, невозможно было защитить, например, видеозапись либо фотографию секретного документа.

Дальнейшее развитие технологий перехвата и анализа привело к тому, что кроме текста стало возможным защищать от утечек информацию, представленную в двоичном виде, то есть любой файл. Но об этом в следующем блог-посте серии.

white

"Где родился, там и сгодился"

Так говорили в России во времена отсутствия общественного транспорта, присутствия крепостного права и необходимости получать выездную визу лично у царя.
       

С годами ситуация менялась слабо. И только возникновение массового общественного транспорта в 1920-х радикально расширило радиус трудоустройства гражданина – примерно с 1 километра до 10 (т.е. площадь – раз в сто). В некоторых странах это произошло раньше, чем в России/СССР, в некоторых позже, но везде рынок рабочей силы при таком качественном переходе радикально менялся. Обычно это приводило к технологическому скачку.

Экономисты утверждают, что сложность доступных предприятию технологий зависит от размера области поиска кадров. причём, эта зависимость сильнее, чем линейная. Если вдруг область вырастает в 100 раз – технологический рывок просто неизбежен.

В ближайшие годы рванёт ещё. Теперь – за счёт дистанционной работы, а также других дистанционных сервисов: обучения, продаж, удалённого присутствия. Средний радиус трудоустройства за несколько лет должен подскочить в десятки, если не сотни раз.

А перевод локальных работников на дистанционную работу обещает экономию на офисных площадях и транспорте. Впрочем, компьютеризация нам тоже много всякой экономии обещала. Говорила, продажная девка империализма, что один компьютер будет выполнять работу 10 человек. Обманула, стерва! Такую же самую работу сейчас делают 9 плюс сисадмин, эникейщик, администратор БД и ИТ-начальник. А за владение компьютером всем пришлось прибавить жалованья. Впрочем, прагматичные бизнесмены отказываться от автоматизации не спешат – свою выгоду они получили в другом месте.

Выгода от дистанционной революции тоже будет не в экономии. То, что хозяева сберегут на офисных площадях и транспорте, целиком пойдёт нам – производителям средств защиты от утечек. Наш сегмент рынка рискует треснуть от предстоящих доходов. Только не надо зацикливаться на традиционных DLP и защите периметра. Спрос уйдёт в сторону средств обеспечения удалённой работы.

white

Не поймаешь!

Есть такая форма конкурентной борьбы – противодействие доступу противника к новейшим технологиям. Загоняет конкурента в технологическую зависимость, отбирает у него рынки. Особенно ярко это видно в сфере ИТ, потому что технологии у нас сменяются быстрее.
       

Некоторые думают, что доступ к технологиям – это доступ к информации, а распространение технологий – утечки информации. Действительно, есть такой способ блокировать доступ – объявить информацию коммерческой тайной (ноу-хау) и скрывать ото всех. Однако этот способ не основной, он применяется реже других. Доступ к технологиям обычно пресекается иначе.
  1. Законодательство об интеллектуальной собственности. Авторское право, патентное, товарные знаки, право на селекционное достижение и т.д. Передовые достижения обложены юридическими минами так плотно, что бывает – защитники на своих собственных подрываются.
  2. Кадры. Чтобы обслуживать продвинутую технологию, нужны специально обученные люди. "Но мёд – это очень уж хитрый предмет: если он есть, то его сразу нет." Свежеобученный специалист имеет тенденцию быстро утекать туда, где условия лучше. Только-только научился – и сразу же увольняется. Даже деньгами проблему не решить: капризным кадрам мало одной зарплаты, они хотят тёплого климата, ровных дорог, умного начальника и других несбыточных мечт.
  3. Обслуживание. Высокотехнологичную штуковину недостаточно сделать или купить. Её надо столь же высокотехнологично обслуживать. Если ваш самолёт продвинутый и дешёвый, а у конкурента – устаревший и дорогой, но зато в каждом аэропорту мира имеются к нему механики и запчасти, то покупать будут его, а не ваш. В сфере ИТ всё гораздо глобальнее и космополитичнее, чем в авиации.
  4. Демпинг и другие экономические финты. Тому, кто догоняет, сложнее. Потому что у лидера окупаемость начинается раньше. Пока его конкуренты ещё на взлёте, он уже может позволить себе маневр ценами вплоть до бесплатной раздачи продукта/услуги. А нет денег – нет технологии. Кто же купит клон, который дороже оригинала?
Защита ноу-хау от утечек плетётся в хвосте списка. Зачем тратить чрезмерные усилия на конфиденциальность, если технология и так недоступна противнику? Зачем вбухивать средства в промышленный шпионаж, пока не преодолел четыре предыдущих препятствия?

white

В розницу

Подбросили тут френды ссылочку, вызывающую вопросики. Оказывается, полно в соцсетях наивных обывателей, которые постят фотографии своих банковских карт: полюбуйтесь, дескать, какую гламурненькую кредиточку мне выдали. Некий весёлый тролль все такие фотки собирает и репостит в одном месте. Не иначе, с целью пристыдить простодушных картодержателей и объяснить им элементарные правила безопасности.
       

На самом деле никаких рисков я тут не вижу.

Аттрибуты банковских карт (номер + срок действия + фамилия и имя) обращаются на чёрном рынке по смехотворной цене. Многотысячными лотами в миллионных количествах. Потому что технологии их монетизации - немногочисленны и рентабельны только при определённых объёмах операций. Одну карту вы продать на чёрном рынке не сможете. Реализовать самостоятельно – риск не окупится.

Приведу аналогию. Вы нашли один кусочек железной (или даже золотой) руды, грамм на 100. Сможете продать его на горнообогатительный комбинат? А самостоятельно выплавить металл и потом продать? Нет, не в Майнкрафте, а в реальной жизни. Вот и с кредиткой такая же история.

Глупый американец публикует снимок своей карты и ничего не боится – по неведению. Подготовленный пользователь этого не делает, поскольку знает о кардерах. А продвинутый специалист по ЗИ – снова не боится засветить свою карту. Ваш покорный слуга хотел тут же поместить фотографию собственной кредитки, но обнаружил, что у двух закончился срок действия, а на третьей отсутствует имя; станут упрекать в нечестной игре. Получу новые – тогда посмотрим. А пока принимаю заявки желающих заключить пари на следующих условиях. Если у меня с обнародованной в соцсети карты украдут или хотя бы попытаются украсть денег, то я проиграл и заплачу. Если за год не попытаются, то заплачет мой оппонент.


P.S. Тем не менее, наша DLP все банковские карты умеет распознавать как в текстовом, так и в графическом виде.

white

Смотри, куда кликаешь

Clickjacking или угон кликов – это злохакерская технология, появившаяся в ответ на усиление защиты браузеров от несанкционированных действий. Стимулом для неё явился спрос на спам, накрутку счётчиков и загрузку малвари через веб-страницы.

Когда чёрным шляпам стало невозможно или затруднительно заставить чужой браузер делать что-то без санкции пользователя, злоумышленники обратились к обсуждаемой технологии. Они стали обманом вынуждать пользователя кликнуть на нужном элементе интерфейса, скрывая его или маскируя под другой элемент. Таким образом формально действие являлось санкционированным, но фактически – нет.
       

Взять обманный клик можно несколькими способами:
  • замаскировать ссылку, показав в статусной строке другой адрес;
  • вывести поверх обычной страницы невидимый слой с другой страницей;
  • учесть клик при помощи элемента на Flash;
  • учинить кнопку (в т.ч. невидимую), бегающую за курсором;
  • совершить по одому клику два действия;
  • изменить позицию курсора.

Ради удобства пользователя в веб-интерфейсах давно уже не применяют подтверждения команд. Лайки, ретвиты, покупки, переходы и загрузки происходят в один клик. Угнать этот единственный клик не так уж трудно – именно в силу его единственности. В очередной раз безопасность принесена в жертву удобству.

Применения клик-джекинга бывают разной степени опасности:
  • накрутка счётчиков, в том числе, лайков (лайк-джекинг);
  • рассылка и перепост спама от чужого имени;
  • покупки в некоторых интернет-магазинах;
  • платные подписки;
  • загрузка вредоносного и паразитного ПО;
  • фишинг.

Формально скрипты для клик-джекинга подпадают под определение вредоносной программы из ст.273 УК, поскольку предназначены именно для несанкционированных действий над информацией в форме обхода этапа получения санкции пользователя. К сожалению, на практике в России не привлекают к ответственности за такие программы, поскольку это довольно затратное мероприятие, а процент раскрываемости можно сделать на более лёгких и надёжных делах.

white

По Сеньке и шапка

Проведём небольшой эксперимент. Прочтите пожалуйста это новостное сообщение:
«Почта Швейцарии предложила пользователям оплачивать услуги почтовой связи с помощью СМС... Больше не нужно покупать марку, а можно просто отправить СМС на специальный номер. В ответном сообщении почтовой службы будет указан цифровой код, который нужно написать на конверте в правом верхнем углу. При обработке он служит доказательством оплаты... Срок действия полученного по СМС кода составляет 10 дней.»

       
А теперь поднимите руки те, у кого после прочтения первая мысль была такая: «Можно же на один код отправить несколько писем!»

Да... редкостное единодушие. Только один наш старый читатель-комментатор не тянет руку, он хочет выделиться среди всех.

Теперь ещё одно голосование. Ваша вторая мысль была:

«Эх, я бы сэкономил на марках, будь я в Швейцарии.»
«Ой, как же противодействовать этому мошенничеству?»
     

Я так и знал, 80 на 20.

Понятно, что от первой спонтанной мысли до реальных дел – длинная дорога с препятствиями. Тем не менее, швейцарские почтовики не боятся массовых мошенничеств. А если б вам предложили внедрить подобную систему в России? Имеющиеся технические средства это позволяют. Операторы мобильной связи дадут на столь массовый сервис очень хорошие скидки. Но народ – он скидок на европейскую технологию не делает.

Ваш покорный слуга, пожалуй, отказался бы руководить таким проектом. Верить местным джентльменам на слово нет никакой возможности. А построить надёжную защиту от многочисленных угроз (особенно внутренних) – можно, но получится ещё один виртуальный концлагерь навроде пресловутых госуслуг. Защита съест как всю прибыль, так и всё удобство.

А вы бы взялись?

white

Прячем листья в лесу

Всё прослушивается, всё просматривается, всё контролируется... Любой байт информации, прошедший через Гугл, Фейсбук, Айфон или международные платёжные системы, становится достоянием АНБ. Катастрофа? Нет, новые возможности для защиты!
       

Оно всё прослушивается и просматривается программами. Роботами. Примитивными алгоритмами, которым до высокого звания Искусственного интеллекта ещё пилить и пилить. Те объёмы данных, которыми оперируют скайпы и е-беи, настолько огромны, что человек не в состоянии просматривать даже одну стамиллионную долю. Там всё – строго автоматически.

Таким образом, возникает возможность сохранить конфиденциальность своих документов, в публичных сетях, облачных ресурсах и зарубежных каналах связи. Надо только не позволить вражеским алгоритмам анализа их найти и вычленить из океана Big Data.

Исключить и заменить ключевые слова. Вставить нейтрализующие слова. Назвать вещи не своими именами. Не ставить гриф или уведомление. И ещё десятка два способов, о которых хорошо ведомо SEOшникам. Их работа – поднять ресурс в поисковом рейтинге. Но легко справятся и с противоположной задачей – опустить. Все эти призмы с эшелонами устроены аналогично гуглам и яндексам. Как не существует отдельной военной и гражданской криптографии, так и алгоритмы поиска и категоризации – одинаковы для всех.

Поэтому DLP-система может на периметре ИС вместо принудительного шифрования принудительно редактировать документ, делая его непригодным для автоматического поиска и категоризации. В этой задаче кроме SEOшных и спамерские технологии пригодятся.

white

"Для военных нужд"

Если интересуетесь утечками, то вы, наверное, помните, как в октябре прошлого года ФБР США арестовало группу бывших и нынешних россиян, обвинив в незаконном экспорте электроники двойного назначения (дело Alexander Fishenko и компании "Arc Electronics Inc.").

Тогда официальные лица усиленно намекали, что это секретные военные снабженцы, а электроника нужна России для производства РЛС, ракет, взрывателей и другой военной продукции. Американские микросхемы будут убивать американцев же. Официальные лица РФ, слегка потупившись, говорили, что, дескать, всё до последнего чипа производить самим не получается, какие-то военные мелочи иной раз можно и зарубежные использовать – в общем, не отрицали.
         

Теперь – бац! – выяснилось, что заповедная американская электроника закупалась вовсе не военными и не для военных нужд. Установлено, что потребителем микросхем была в/ч №35533, то есть Исследовательский институт №1 ФСБ, расположенный в г.Железнодорожный Московской области. Он занимается прикладными исследованиями в области ИТ и связи, в частности, имитацией голосов. Передовые технологии без передовой электроники немыслимы.

Итак, нужды – никакие не военные, а сугубо мирные. Исключительно для внутреннего пользования. Данная утечка микросхем другим государствам не угрожает. Громкие заявления ФБР насчёт ракет и взрывателей оказались их фантазиями.

Но почему-то открытием недовольны обе стороны.