Как устроена технология, которая защищает сканы документов от утечек
Одна из базовых для DLP-систем задач - это обнаружение в потоке передаваемых данных различных государственных документов, удостоверяющих личность (паспорта, свидетельства о рождении, водительские удостоверения и т.п.), и предотвращение их несанкционированного распространения.
Если документы представлены в виде текстовых данных в электронных таблицах, базах данных и т.п., то обычно это не вызывает никаких проблем при условии, что DLP-система поддерживает контентную фильтрацию в принципе.
Однако, что делать, если речь идет о сканах документов?
Хочу на примере комплекса DeviceLock DLP показать, как можно создать DLP-политику, запрещающую печать на принтерах, отправку по электронной почте (SMTP) и заливку в облачные файловые хранилища сканов паспортов.
Особенность DeviceLock DLP состоит в том, что оптическое распознавание символов (OCR) производится непосредственно на компьютере пользователя резидентным OCR-модулем в составе DLP-агента, т.е. встроенный OCR позволяет извлекать текст из графических файлов и затем проверять его правилами, построенными на анализе содержимого передаваемых файлов и данных, непосредственно в момент совершения пользователем действий с этими файлами, без их передачи на сторонний OCR-сервер. Такая архитектура позволяет DeviceLock DLP быстро принимать решение о запрещении или разрешении пользовательской операции.
Отдельно хочу отметить, что агентская реализация DLP-системы принципиально исключает необходимость передачи пользовательских данных за пределы защищаемого компьютера для любого типа анализа, в том числе OCR, что позволяет успешно эксплуатировать DeviceLock DLP в странах с очень жестким законодательством в сфере охраны прав работников, например, в Германии и Франции.
В качестве тестового образца будем использовать этот скан российского паспорта в формате JPG.
Для начала создадим составное правило контентной фильтрации. «Ловить» сканы паспортов мы будем по характерным для российского паспорта словам из встроенного в DeviceLock DLP словаря и по номерам, причем интерес для нас представляют только графические файлы (всего поддерживается более 30 графических форматов).
Затем применим правило контентной фильтрации к SMTP-протоколу, облачным хранилищам и принтерам. Согласно поставленной выше задаче – выставим запреты на отправку по сети и печать попавших под правило файлов. Дополнительно включим протоколирование действий пользователей, чтобы видеть в логах попытки передачи и печати сканов паспортов.
Теперь попробуем залить скан паспорта на Яндекс.Диск.
При этом в логе аудита создалась запись об этой неудачной попытке.
При попытке распечатать скан паспорта DeviceLock DLP остановит печать в момент отправки задачи на принтер и покажет вот такое сообщение.
Неудача нас постигнет и в момент отправки скана по SMTP.
В логе аудита можно увидеть все следы.
В заключении хочу добавить, что DeviceLock DLP поддерживает оптическое распознавание символов (OCR) для всех основных языков, включая русский, английский, немецкий, китайский, японский и т.д. Текст может извлекаться из отсканированных документов, сфотографированных под углом до 90 градусов к фотографируемой поверхности документов, а также скриншотов документов.
Автор: Ашот Оганесян
А что будет, если положить этот jpeg в архив с паролем и попытаться загрузить куда-то?
Загрузится без вопросов.
сразу видно спеца!
определиться как архив с паролем и будет заблокирован, если задано соответствующее правило
Есть множество контейнеров, куда это жепег можно положить и которые никто не распознает. Да что говорить, можно жепег в жепег положить, а при желании потом ещё в один жепег)
Жепег в жепег в жепег.
Даже это не нужно, так как это защита уровня ОС(а ниже и нельзя) , а значит есть куча вариантов обхода. 100% защиты не будет в принципе. И дюая защита - компромисс между свободами работника, его совестностью и важностью объекта защиты.
"интерес для нас представляют только графические файлы (всего поддерживается более 30 графических форматов)"
Значит можно паспорт.jpg переименовать в паспорт.txt и всё?
переименовать можно, на результат работы DLP-системы это разумеется никак не повлияет.
Год рождение заглавной фото должен быть 06.01.0001г
Начнем издалека - откуда вообще на компьютере пользователя сканы документов, которые нельзя никуда отправлять?
Если рабочий процесс требует доступа к таким документам, то это должно производиться через обращение к базе с обязательной записью информации оь обращении.
А если у вас на сетевом диске в общем доступе лежит миллион сканов паспортов, то метод их утащить найдут и подобная софтина не спасет.
Комментарий недоступен
То, что софт не устанавливать - так не выйдет, потому как ваш рабочий комп вам админ организации настраивает, и у вас нет прав что-то там менять или удалять. Ведь речь в статье про организации идет, я так понимаю.
Комментарий недоступен
В дополнении к варианту смены формата и запароленному архиву
А если раздробить каждый графический файл? Банально резать, как купюры для банкоматов — только от обратного. На фотки котов/сисек добавляем части исходного файла, после пересылки простенький скрипт соберет все обратно
Или вариант расшарить рабочий стол любим сервисом для стрима и там поочередно открывать нужные файлы.
ПС. Не доебаться ради, а любопытства для. Понятно, что например стрим блочить должна СБ клиента
Да по-моему можно банально его в base64 перекодировать, "вынести" с помощью email или чего угодно, а потом обратно "собрать".
Скриншот или фотоснимок?
Например, приходит в банк посетитель и говорит, что он иванов с номером паспорта 123456, показывает соответствующий паспорт и просит выдать деньги с депозита. В таком случае будет полезно дать оператору возможность посмотреть на скан паспорта, который снимали при открытии депозита, чтобы сравнить фотки.
Уважаемые разработчики DL! Почему ваша программа намертво подвешивает компьютер на 30-40 секунд каждый раз при закрытии приложения Word и Excel? Что такого она делает при закрытии офисного приложения? Почему мне приходится держать Excel все время "прогретым", лишь бы не комп не фризился? Реально бесит.
544137 номер паспорта )) хорошо закрыли молодцы.
тут вот в чем вопрос
Это настоящий паспорт ? если да то данные все равно (номер) видно
Если это копия, то это подделка документов ))
А что будет, если телефоном сфоткать монитор с фотографией паспорта?
Примерно то же самое, что и при использовании поставляемых вместе с остальными частями тела мозга и глаз. Информация уйдет налево.
Другой вопрос, что для массового слива такие способы неприменимы. Также есть вероятность потери качества
Ну, смотря что считать массовым сливом. Если задаться целью, знаете ли... )
Я просто к тому, что все равно найдется способ обойти эту защиту.
Способы найдутся на любую защиту=)
Но по статье создается впечатление, что это защита от дурака, а не от слива. Это да
Вот у меня то же ощущение. Причем настраивать и админить ее сложнее, чем обойти )
будет фотка экрана, на котором фотка паспорта
Ну то есть ваша система вот так легко обходится.