DeviceLock DLP
2 595

Как устроена технология, которая защищает сканы документов от утечек

Одна из базовых для DLP-систем задач - это обнаружение в потоке передаваемых данных различных государственных документов, удостоверяющих личность (паспорта, свидетельства о рождении, водительские удостоверения и т.п.), и предотвращение их несанкционированного распространения.

В закладки

Если документы представлены в виде текстовых данных в электронных таблицах, базах данных и т.п., то обычно это не вызывает никаких проблем при условии, что DLP-система поддерживает контентную фильтрацию в принципе.

Однако, что делать, если речь идет о сканах документов?

Хочу на примере комплекса DeviceLock DLP показать, как можно создать DLP-политику, запрещающую печать на принтерах, отправку по электронной почте (SMTP) и заливку в облачные файловые хранилища сканов паспортов.

Особенность DeviceLock DLP состоит в том, что оптическое распознавание символов (OCR) производится непосредственно на компьютере пользователя резидентным OCR-модулем в составе DLP-агента, т.е. встроенный OCR позволяет извлекать текст из графических файлов и затем проверять его правилами, построенными на анализе содержимого передаваемых файлов и данных, непосредственно в момент совершения пользователем действий с этими файлами, без их передачи на сторонний OCR-сервер. Такая архитектура позволяет DeviceLock DLP быстро принимать решение о запрещении или разрешении пользовательской операции.

Отдельно хочу отметить, что агентская реализация DLP-системы принципиально исключает необходимость передачи пользовательских данных за пределы защищаемого компьютера для любого типа анализа, в том числе OCR, что позволяет успешно эксплуатировать DeviceLock DLP в странах с очень жестким законодательством в сфере охраны прав работников, например, в Германии и Франции.

В качестве тестового образца будем использовать этот скан российского паспорта в формате JPG.

Для начала создадим составное правило контентной фильтрации. «Ловить» сканы паспортов мы будем по характерным для российского паспорта словам из встроенного в DeviceLock DLP словаря и по номерам, причем интерес для нас представляют только графические файлы (всего поддерживается более 30 графических форматов).

Затем применим правило контентной фильтрации к SMTP-протоколу, облачным хранилищам и принтерам. Согласно поставленной выше задаче – выставим запреты на отправку по сети и печать попавших под правило файлов. Дополнительно включим протоколирование действий пользователей, чтобы видеть в логах попытки передачи и печати сканов паспортов.

Теперь попробуем залить скан паспорта на Яндекс.Диск.

При этом в логе аудита создалась запись об этой неудачной попытке.

При попытке распечатать скан паспорта DeviceLock DLP остановит печать в момент отправки задачи на принтер и покажет вот такое сообщение.

Неудача нас постигнет и в момент отправки скана по SMTP.

В логе аудита можно увидеть все следы.

В заключении хочу добавить, что DeviceLock DLP поддерживает оптическое распознавание символов (OCR) для всех основных языков, включая русский, английский, немецкий, китайский, японский и т.д. Текст может извлекаться из отсканированных документов, сфотографированных под углом до 90 градусов к фотографируемой поверхности документов, а также скриншотов документов.

Автор: Ашот Оганесян

{ "author_name": "DeviceLock DLP", "author_type": "editor", "tags": [], "comments": 26, "likes": 21, "favorites": 2, "is_advertisement": false, "subsite_label": "devicelock", "id": 56940, "is_wide": true, "is_ugc": false, "date": "Wed, 30 Jan 2019 12:17:38 +0300" }
{ "id": 56940, "author_id": 245337, "diff_limit": 1000, "urls": {"diff":"\/comments\/56940\/get","add":"\/comments\/56940\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/56940"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 245337, "last_count_and_date": null }

26 комментариев 26 комм.

Популярные

По порядку

Написать комментарий...
2

А что будет, если положить этот jpeg в архив с паролем и попытаться загрузить куда-то?

Ответить
2

Загрузится без вопросов.

Ответить
1

сразу видно спеца!

Ответить
1

определиться как архив с паролем и будет заблокирован, если задано соответствующее правило

Ответить
0

Есть множество контейнеров, куда это жепег можно положить и которые никто не распознает. Да что говорить, можно жепег в жепег положить, а при желании потом ещё в один жепег)
Жепег в жепег в жепег.

Ответить
–1

Даже это не нужно, так как это защита уровня ОС(а ниже и нельзя) , а значит есть куча вариантов обхода. 100% защиты не будет в принципе. И дюая защита - компромисс между свободами работника, его совестностью и важностью объекта защиты.

Ответить
2

"интерес для нас представляют только графические файлы (всего поддерживается более 30 графических форматов)"
Значит можно паспорт.jpg переименовать в паспорт.txt и всё?

Ответить
0

переименовать можно, на результат работы DLP-системы это разумеется никак не повлияет.

Ответить
1

Год рождение заглавной фото должен быть 06.01.0001г

Ответить
1

Начнем издалека - откуда вообще на компьютере пользователя сканы документов, которые нельзя никуда отправлять?

Если рабочий процесс требует доступа к таким документам, то это должно производиться через обращение к базе с обязательной записью информации оь обращении.

А если у вас на сетевом диске в общем доступе лежит миллион сканов паспортов, то метод их утащить найдут и подобная софтина не спасет.

Ответить
0

Как по мне - бесполезная вещь. Способов обхода 105005050. Плюс я что-то не понял - а как это работает? Софт должен быть установлен на каждом компе, как я понимаю, или где? И почему бы мне этот софт просто не устанавливать себе?

Ответить
1

То, что софт не устанавливать - так не выйдет, потому как ваш рабочий комп вам админ организации настраивает, и у вас нет прав что-то там менять или удалять. Ведь речь в статье про организации идет, я так понимаю.

Ответить
0

А, ну только если так. Да и то, кому надо - тот так и так прокинет скан)

Ответить
0

В дополнении к варианту смены формата и запароленному архиву

А если раздробить каждый графический файл? Банально резать, как купюры для банкоматов — только от обратного. На фотки котов/сисек добавляем части исходного файла, после пересылки простенький скрипт соберет все обратно

Или вариант расшарить рабочий стол любим сервисом для стрима и там поочередно открывать нужные файлы.

ПС. Не доебаться ради, а любопытства для. Понятно, что например стрим блочить должна СБ клиента

Ответить
0

Да по-моему можно банально его в base64 перекодировать, "вынести" с помощью email или чего угодно, а потом обратно "собрать".

Ответить
0

Скриншот или фотоснимок?

Ответить
0

Например, приходит в банк посетитель и говорит, что он иванов с номером паспорта 123456, показывает соответствующий паспорт и просит выдать деньги с депозита. В таком случае будет полезно дать оператору возможность посмотреть на скан паспорта, который снимали при открытии депозита, чтобы сравнить фотки.

Ответить
0

Уважаемые разработчики DL! Почему ваша программа намертво подвешивает компьютер на 30-40 секунд каждый раз при закрытии приложения Word и Excel? Что такого она делает при закрытии офисного приложения? Почему мне приходится держать Excel все время "прогретым", лишь бы не комп не фризился? Реально бесит.

Ответить
0

544137 номер паспорта )) хорошо закрыли молодцы.
тут вот в чем вопрос
Это настоящий паспорт ? если да то данные все равно (номер) видно
Если это копия, то это подделка документов ))

Ответить
0

А что будет, если телефоном сфоткать монитор с фотографией паспорта?

Ответить
0

Примерно то же самое, что и при использовании поставляемых вместе с остальными частями тела мозга и глаз. Информация уйдет налево.

Другой вопрос, что для массового слива такие способы неприменимы. Также есть вероятность потери качества

Ответить
0

Ну, смотря что считать массовым сливом. Если задаться целью, знаете ли... )
Я просто к тому, что все равно найдется способ обойти эту защиту.

Ответить
0

Способы найдутся на любую защиту=)

Но по статье создается впечатление, что это защита от дурака, а не от слива. Это да

Ответить
0

Вот у меня то же ощущение. Причем настраивать и админить ее сложнее, чем обойти )

Ответить
0

будет фотка экрана, на котором фотка паспорта

Ответить
–1

Ну то есть ваша система вот так легко обходится.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Команда калифорнийского проекта
оказалась нейронной сетью
Подписаться на push-уведомления
{ "page_type": "default" }