Как устроена технология, которая защищает сканы документов от утечек

Одна из базовых для DLP-систем задач - это обнаружение в потоке передаваемых данных различных государственных документов, удостоверяющих личность (паспорта, свидетельства о рождении, водительские удостоверения и т.п.), и предотвращение их несанкционированного распространения.

Если документы представлены в виде текстовых данных в электронных таблицах, базах данных и т.п., то обычно это не вызывает никаких проблем при условии, что DLP-система поддерживает контентную фильтрацию в принципе.

Однако, что делать, если речь идет о сканах документов?

Хочу на примере комплекса DeviceLock DLP показать, как можно создать DLP-политику, запрещающую печать на принтерах, отправку по электронной почте (SMTP) и заливку в облачные файловые хранилища сканов паспортов.

Особенность DeviceLock DLP состоит в том, что оптическое распознавание символов (OCR) производится непосредственно на компьютере пользователя резидентным OCR-модулем в составе DLP-агента, т.е. встроенный OCR позволяет извлекать текст из графических файлов и затем проверять его правилами, построенными на анализе содержимого передаваемых файлов и данных, непосредственно в момент совершения пользователем действий с этими файлами, без их передачи на сторонний OCR-сервер. Такая архитектура позволяет DeviceLock DLP быстро принимать решение о запрещении или разрешении пользовательской операции.

Отдельно хочу отметить, что агентская реализация DLP-системы принципиально исключает необходимость передачи пользовательских данных за пределы защищаемого компьютера для любого типа анализа, в том числе OCR, что позволяет успешно эксплуатировать DeviceLock DLP в странах с очень жестким законодательством в сфере охраны прав работников, например, в Германии и Франции.

В качестве тестового образца будем использовать этот скан российского паспорта в формате JPG.

Для начала создадим составное правило контентной фильтрации. «Ловить» сканы паспортов мы будем по характерным для российского паспорта словам из встроенного в DeviceLock DLP словаря и по номерам, причем интерес для нас представляют только графические файлы (всего поддерживается более 30 графических форматов).

Затем применим правило контентной фильтрации к SMTP-протоколу, облачным хранилищам и принтерам. Согласно поставленной выше задаче – выставим запреты на отправку по сети и печать попавших под правило файлов. Дополнительно включим протоколирование действий пользователей, чтобы видеть в логах попытки передачи и печати сканов паспортов.

Теперь попробуем залить скан паспорта на Яндекс.Диск.

При этом в логе аудита создалась запись об этой неудачной попытке.

При попытке распечатать скан паспорта DeviceLock DLP остановит печать в момент отправки задачи на принтер и покажет вот такое сообщение.

Неудача нас постигнет и в момент отправки скана по SMTP.

В логе аудита можно увидеть все следы.

В заключении хочу добавить, что DeviceLock DLP поддерживает оптическое распознавание символов (OCR) для всех основных языков, включая русский, английский, немецкий, китайский, японский и т.д. Текст может извлекаться из отсканированных документов, сфотографированных под углом до 90 градусов к фотографируемой поверхности документов, а также скриншотов документов.

Автор: Ашот Оганесян

0
26 комментариев
Написать комментарий...
Alexander Gorshkov

А что будет, если положить этот jpeg в архив с паролем и попытаться загрузить куда-то?

Ответить
Развернуть ветку
Иван Мартынов

Загрузится без вопросов.

Ответить
Развернуть ветку
Ashot Oganesyan

сразу видно спеца!

Ответить
Развернуть ветку
Ashot Oganesyan

определиться как архив с паролем и будет заблокирован, если задано соответствующее правило

Ответить
Развернуть ветку
Алексис Второй

Есть множество контейнеров, куда это жепег можно положить и которые никто не распознает. Да что говорить, можно жепег в жепег положить, а при желании потом ещё в один жепег)
Жепег в жепег в жепег.

Ответить
Развернуть ветку
Артём А.

Даже это не нужно, так как это защита уровня ОС(а ниже и нельзя) , а значит есть куча вариантов обхода. 100% защиты не будет в принципе. И дюая защита - компромисс между свободами работника, его совестностью и важностью объекта защиты.

Ответить
Развернуть ветку
Руслан Агишев

"интерес для нас представляют только графические файлы (всего поддерживается более 30 графических форматов)"
Значит можно паспорт.jpg переименовать в паспорт.txt и всё?

Ответить
Развернуть ветку
Ashot Oganesyan

переименовать можно, на результат работы DLP-системы это разумеется никак не повлияет.

Ответить
Развернуть ветку
Sergey Kagi

Год рождение заглавной фото должен быть 06.01.0001г

Ответить
Развернуть ветку
Vadim Medvedev

Начнем издалека - откуда вообще на компьютере пользователя сканы документов, которые нельзя никуда отправлять?

Если рабочий процесс требует доступа к таким документам, то это должно производиться через обращение к базе с обязательной записью информации оь обращении.

А если у вас на сетевом диске в общем доступе лежит миллион сканов паспортов, то метод их утащить найдут и подобная софтина не спасет.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Sam Beckett

То, что софт не устанавливать - так не выйдет, потому как ваш рабочий комп вам админ организации настраивает, и у вас нет прав что-то там менять или удалять. Ведь речь в статье про организации идет, я так понимаю.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Руслан Зиганшин

В дополнении к варианту смены формата и запароленному архиву

А если раздробить каждый графический файл? Банально резать, как купюры для банкоматов — только от обратного. На фотки котов/сисек добавляем части исходного файла, после пересылки простенький скрипт соберет все обратно

Или вариант расшарить рабочий стол любим сервисом для стрима и там поочередно открывать нужные файлы.

ПС. Не доебаться ради, а любопытства для. Понятно, что например стрим блочить должна СБ клиента

Ответить
Развернуть ветку
Sam Beckett

Да по-моему можно банально его в base64 перекодировать, "вынести" с помощью email или чего угодно, а потом обратно "собрать".

Ответить
Развернуть ветку
Yuriy S

Скриншот или фотоснимок?

Ответить
Развернуть ветку
Vadim Medvedev

Например, приходит в банк посетитель и говорит, что он иванов с номером паспорта 123456, показывает соответствующий паспорт и просит выдать деньги с депозита. В таком случае будет полезно дать оператору возможность посмотреть на скан паспорта, который снимали при открытии депозита, чтобы сравнить фотки.

Ответить
Развернуть ветку
Roman Andreev

Уважаемые разработчики DL! Почему ваша программа намертво подвешивает компьютер на 30-40 секунд каждый раз при закрытии приложения Word и Excel? Что такого она делает при закрытии офисного приложения? Почему мне приходится держать Excel все время "прогретым", лишь бы не комп не фризился? Реально бесит.

Ответить
Развернуть ветку
Alexander Viktorovich

544137 номер паспорта )) хорошо закрыли молодцы.
тут вот в чем вопрос
Это настоящий паспорт ? если да то данные все равно (номер) видно
Если это копия, то это подделка документов ))

Ответить
Развернуть ветку
Sam Beckett

А что будет, если телефоном сфоткать монитор с фотографией паспорта?

Ответить
Развернуть ветку
Руслан Зиганшин

Примерно то же самое, что и при использовании поставляемых вместе с остальными частями тела мозга и глаз. Информация уйдет налево.

Другой вопрос, что для массового слива такие способы неприменимы. Также есть вероятность потери качества

Ответить
Развернуть ветку
Sam Beckett

Ну, смотря что считать массовым сливом. Если задаться целью, знаете ли... )
Я просто к тому, что все равно найдется способ обойти эту защиту.

Ответить
Развернуть ветку
Руслан Зиганшин

Способы найдутся на любую защиту=)

Но по статье создается впечатление, что это защита от дурака, а не от слива. Это да

Ответить
Развернуть ветку
Sam Beckett

Вот у меня то же ощущение. Причем настраивать и админить ее сложнее, чем обойти )

Ответить
Развернуть ветку
Ashot Oganesyan

будет фотка экрана, на котором фотка паспорта

Ответить
Развернуть ветку
Sam Beckett

Ну то есть ваша система вот так легко обходится.

Ответить
Развернуть ветку
23 комментария
Раскрывать всегда