Средства анализа в «Дозор-Джет»

При анализе содержимого документов, особенно автоматическом, существует задача выделять устойчивые, регулярно применяющиеся ключевые последовательности, интересные в контексте контроля утечек, работы с персональными данными, анализом взаимосвязей в информационных потоках.

Примерами таких последовательностей могут быть персональные данные, номера кредитных карт, адреса e-mail, номера телефонов, финансовые классификаторы.

Возможность обнаружения

Как правило, последовательности идентификаторов обладают теми или иными характеристиками, позволяющими точно определять их присутствие. Например, номера кредитных карт и номера ИНН РФ включают в себя контрольные цифры.

Эта особенность позволяет автоматически проверять наличие таких или подобных идентификаторов и, что не менее важно, делать это с малым количеством ложных срабатываний. До недавнего времени в рамках комплекса «Дозор-Джет» поиск таких последовательностей требовал описания свойств и правил поиска вручную, с применением регулярных выражений и списков терминов.

С помошью нового модуля поиска идентификаторов IDID проверка на наличие идентификаторов разных типов стала быстрым и несложным в освоении и применении методом анализа данных. При этом возможность сделать собственные правила поиска сохраняется.

В настоящий момент модуль позволяет выделять несколько классов идентификаторов: финансовые – кредитные карты, БИК номера, ИНН номера; общеупотребительные – номера телефонов, адреса e-mail, IP, URL.

Модуль позволяет также определять наличие характерных персональных данных, т.к. включает в себя детекторы карт медицинского страхования (СНИЛС), словари имен и фамилий, детектор данных паспортов РФ.

Модуль позволяет регулировать точность сравнения, возможен поиск похожих данных нужного класса, что снизит количество ложных срабатываний.

Чем более точное совпадение потребует администратор, тем большее количество проверок система будет производить для каждого обнаруженного срабатывания, отбрасывая те случаи, которые проверки не проходят. Например, подсчет значений ключевых цифр, наличие значения в словаре, а также присутствие и отсутствие в тексте возле найденного идентификатора слов из уточняющих словарей.

Кроме того, эта технология позволяет учитывать количество срабатываний того или иного детектора при проверке содержимого документа, позволяя классифицировать инциденты по объему защищаемых данных. Возможен учет как всех срабатываний, так и только уникальных, когда один и тот же идентификатор, несколько раз встречающийся в тексте, будет учтен как единичное срабатывание.

Пример использования

Наличие модуля идентификаторов IDID позволяет использовать такие правила при обработке сообщений:

• если в документе есть какие-либо данные, похожие на персональные, разместить документ в архиве;
• если в документе есть более 5 номеров кредитных карт (в точном режиме поиска и уникальных совпадений) и более 5 имен, то пометить документ как конфиденциальный;
• если более 50 номеров кредитных карт и имен, то немедленно уведомить администратора безопасности и остановить доставку документа.

Подобная политика безопасности не требует от администратора усилий на написание регулярных выражений или ручного описания возможных вариантов, например, для кредитных карт из 14 или 16 знаков.

Политика может применяться на этапе обработки сообщений (фильтрации), перед укладкой в архив. Это позволяет применять эти условия как в активном режиме, с возможностью блокировки передачи сообщения, так и в режиме архива – с разметкой результатов. Ранее накопленные данные также можно проанализировать на наличие идентификаторов.

Сценарии использования

Классификация документов
Модуль позволяет эффективно определять финансовые документы, т.к. они, как правило, содержат номера ОКПО, ОКАТО, ИНН, БИК. Их присутствие в документе, скорее всего, означает ту или иную финансовую документацию.

Контроль работы с персональными данными
Модуль позволяет эффективно определять передачу списков персонала, данных клиентов, а также препятствовать распространению информации, однозначно идентифицирующей пользователя – номера паспортов, номера страховых свидетельств, номера социального страхования (например, US SSN), телефонов. На этапе внедрения средств защиты персональных данных требуется проведение исследований процессов и данных с целью идентификации всех персональных данных, а также мест и способов их обработки. Система может быть использована для обнаружения персональных данных во внутренних потоках документов и затем для контроля соблюдения установленных процессов и регламентов.

Аудит содержимого на предмет легальных и репутационных рисков
Модуль позволяет определять наличие тех или иных терминов по своим словарям. В настоящий момент модуль содержит словари обсценной лексики, лексики экстремистской направленности, словарь финансовых терминов (отчетности) и некоторые другие. Словари будут обновляться и в дальнейшем.

Выгоды

Модуль идентификаторов позволяет значительно повысить точность обнаружения различных идентификаторов внутри сообщений и документов. Это избавляет персонал отдела безопасности от составления сложных условий и регулярных выражений и от последующего «отсеивания» ложных срабатываний. Это, в свою очередь, положительно сказывается на нагрузке и качестве работы.

Цифровые отпечатки документов – возможность искать «похожие»

Основная проблема, с которой сегодня сталкивается офицер безопасности в своей работе, – это огромные массивы информации. Первая задача – собрать информацию – успешно решается. Следом возникла необходимость в собранном массиве данных эффективно искать важные события. Эффективно – значит с максимальной точностью и разумными затратами человеческих сил.

На помощь приходят различные инструменты – алгоритмы анализа данных. Эффективность или неэффективность алгоритмов анализа зависит от многих параметров, включая организацию бизнес-процессов, форматы основных документов и так далее.

В настоящее время одной из передовых технологий нечеткого анализа данных является работа с цифровыми отпечатками. Данная технология реализована в модуле цифровых отпечатков DiFi «Дозор-Джет».

Модуль цифровых отпечатков DiFi «Дозор-Джет»

Цифровые отпечатки позволяют обнаруживать утечку конфиденциальных документов в тех случаях, когда прямое сравнение текстов или ключевых слов не приносит результатов. Эта технология позволяет находить цитаты исходного документа. Цитаты могут быть как полными, так и частичными: фрагмент текста либо отредактированный текст.

Для работы с модулем требуется только определить конфиденциальные документы, утечка которых недопустима, и собрать их электронные копии.

Что такое «цифровые отпечатки»

Цифровым отпечатком называется множество характерных элементов документа, по которому его можно быстро и с высокой вероятностью обнаружить в потоке данных. Отпечаток снимается с эталонного документа и помещается в базу отпечатков.

Технология цифровых отпечатков DiFi позволяет сравнивать текстовые, графические и табличные документы.

Отпечатки с текстовых документов позволяют обнаруживать полностью скопированные документы или их отдельные фрагменты. Модуль также может обнаруживать отредактированные фрагменты оригинального текста, например, если в нём были удалены имена и подписи.

Характерные особенности изображений, с которых снимается отпечаток, сохраняются даже после преобразований.

В случае графического изображения, соответствие эталону можно установить, например, после поворота на любые углы, трансформации, изменения чёткости. Это позволяет находить отредактированные копии и заново отсканированные документы.

Например, на рисунке 1 приведено сравнение изменённого сканирования (справа) и эталона (слева). Несмотря на то, что изменённый документ повёрнут, и в нём закрашены некоторые фрагменты, DiFi точно определяет характерные области этого документа, совпадающие с соответствующими им областями эталона. Эти характерные области выделены на рисунке зелёными кругами. Отпечатки с табличных документов позволяют обнаружить комбинацию строк из таблицы-эталона и даже одну единственную строку. Для снижения нагрузки на сотрудников безопасности и увеличения точности поиска можно выделить группы столбцов, совместное использование которых представляет ценность. Например, списки имён и фамилий могут отправляться адресатам вне компании в ходе повседневной деятельности сотрудников, а список фамилий и телефонов в почтовой переписке очень похож на утечку персональных данных. При использовании модуля DiFi достаточно один раз провести настройку, и система будет срабатывать всякий раз, когда за пределы компании будет отправляться подобный список.

Рис. 1. Поиск совпадений в графических документах

Технология цифровых отпечатков позволяет сравнить проверяемый документ с эталоном и вычислить величину совпадения. Дальнейшие действия системы зависят от величины совпадения в процентах и настраиваются в политиках безопасности.

Они могут включать в себя архивирование сообщений для создания доказательной базы с установкой различных пометок и уведомление сотрудника безопасности. При установке системы «в разрыв» возможны активные действия, например, блокировка отправки сообщения или отправка сообщения, но только после удаления из него запрещённых к рассылке данных из конфиденциальных документов. При этом у отправителя может быть запрошено подтверждение отправки, а офицеру безопасности может быть отправлено соответствующее уведомление.

Рис. 2. Пример условия с использованием цифровых отпечатков

Модуль DiFi определяет процентную величину совпадения проверяемых сообщений с эталонами. Благодаря этому возможно ранжировать инциденты по значимости и настраивать разные типы уведомлений для разных процентов совпадения.

Например:

• совпадение до 10% расценивается как шум. Копия сообщения с пометкой «Маловероятное нарушение политики ИБ» будет помещена в архив без уведомления сотрудников безопасности;
• совпадение от 10% до 30% расценивается как возможная утечка информации. Копия сообщения с отметкой «Возможное нарушение политики ИБ» будет отправлена в архив. В отдел информационной безопасности будет отправлено уведомление об инциденте;
• совпадение от 30 до 70% расценивается как вероятная утечка информации. Копия сообщения с отметкой «Вероятное нарушение политики ИБ» пойдет в архив, в отдел ИБ будет отправлено уведомление;
• совпадение от 70% до 95% расценивается как достоверная утечка. Сообщение будет заархивировано с пометкой «Серьёзное нарушение политики ИБ», в отдел ИБ будет отправлено уведомление;
• совпадение более 95% расценивается как однозначная утечка. Сообщение пойдет в архив с пометкой «Критическое нарушение политики ИБ». При этом будет отправлено уведомление руководителю отдела ИБ.

Сценарии использования

Обнаружение конфиденциальных документов и их фрагментов
Служба безопасности, используя комплекс «Дозор-Джет» совместно с модулем цифровых отпечатков, может обнаруживать и пресекать утечки конфиденциальных документов, а также утечки их частей и даже утечки изменённых частей этих документов.

• Для текстовых документов: модуль способен распознать текст, изменённый текст
  и часть текста. Таким образом, если в базу DiFi загрузить текстовые документы, имеющие значение для компании – устав, приказы, типовые договоры, тендерные документы и т.д., то модуль будет способен распознать как оригиналы, так и части этих документов, а также их изменённые версии в потоке данных. Таким образом, будет возможен контроль их распространения.
• Для табличных документов: модуль может распознать наличие определённых комбинаций ячеек из эталонной таблицы. Например, политикой может быть задана реакция на встретившееся сочетание имени, фамилии и номера паспорта, при этом простое упоминание фамилии утечкой считаться не будет. Таким образом, можно контролировать базу договоров или персональные данные.
• Для графических документов: модуль может сравнить с эталоном отсканированный документ, чертёж, изображение, фотографию и любую другую графическую информацию, даже если изображение было отредактировано или пересылается его фрагмент. Это позволит контролировать не только утечки отсканированных документов и факсов, но и других данных, контроль которых иными способами затруднён. Это конструкторская документация, дизайнерские материалы, иные графические схемы.
• Для форм и анкет: система позволяет отличить отправляемые клиентам пустые формы и анкеты от заполненных. Заполненные формы могут содержать конфиденциальные данные, и их перемещение можно контролировать

Рис. 3. Примеры грифов, распознаваемых модулем DiFi

Обнаружение маркеров доступа
Модуль DiFi может идентифицировать отправляемые документы по стандартным признакам.

Такими признаками могут быть:

• «Шапки» ГОСТ и документов внутреннего стандарта. Большинство документов оформляются в соответствии с принятыми в компании стандартами. В их качестве могут быть стандартная шапка – бланк, окончание с реквизитами, различные элементы оформления по ГОСТ. Система позволяет обнаруживать в документе наличие таких стандартных элементов и идентифицировать, таким образом, класс документа.
• Печать-гриф («Конфиденциально», «Копия», «Для служебного использования»). Система позволяет распознать сканированные документы, проверить права доступа отправителя и получателя к таким документам, заблокировать отправление. Также система позволяет отправить сообщение, удалив при этом его часть, содержащую конфиденциальную информацию и уведомить при этом сотрудника безопасности.
• Элементы фирменного стиля. Примером такого элемента может послужить фирменный логотип компании. Исследуя элементы фирменного стиля, можно отличить личную переписку от служебной. Отправка документов с фирменным стилем наиболее важных контрагентов на адреса, не принадлежащие этим контрагентам, может быть признаком утечки конфиденциальных данных.
• Подпись. Система может распознавать подписи как графические элементы. В качестве эталона в базу DiFi может быть загружен образец подписи топ-менеджера или главного бухгалтера. Таким образом, можно отслеживать передачу копий подписанных договоров.

Соответствие требованиям законодательства (Compliance)
Требования законодательства и регуляторов, такие как Федеральный Закон № 152 «О защите персональных данных» (ЗПД) или PCI DSS, обязывают уделять большое внимание безопасности данных о клиентах.

Такая информация, как правило, хранится в специализированных базах данных и после выгрузки имеет вид таблицы. Система может применяться для контроля утечек персональных данных с использованием её специальных возможностей работы с табличной информацией.

Система может быть настроена на срабатывание, если в потоке данных встречается табличная информация, по совокупности относящаяся к персональным данным: различные комбинации из ФИО, номера паспорта, контактных данных, биометрической информации, информации о здоровье и религиозной принадлежности.

На этапе внедрения средств защиты персональных данных требуется проведение исследований процессов и данных с целью идентификации всех персональных данных, а также мест и способов их обработки. Система может быть использована для обнаружения персональных данных во внутренних потоках документов и затем для контроля соблюдения установленных процессов и регламентов.

Ведение базы отпечатков

Перед помещением в базу все документы переводятся в формат цифровых отпечатков. Восстановление самих документов из цифровых отпечатков невозможно. Поэтому даже в случае кражи базы DiFi злоумышленник не сможет восстановить исходные документы и использовать в своих целях конфиденциальные данные, содержащиеся в них.

Кроме того, это даёт возможность разграничить права доступа самих сотрудников ИБ к конфиденциальной информации. Например, руководитель ИБ может передать своим подчиненным документы, уже переведенные в формат цифровых отпечатков. Подчиненные, таким образом, не узнают содержимое этих документов.

Для удобства работы отпечатки, снятыес эталонов, можно объединить в группы, например, по важности или по категориям документов, с которых они были сняты. В условиях проверки можно указать любой набор групп эталонов, с которыми производится сравнение. Это даёт возможность удобно настраивать политики, подключая к ним документы не по одному, а сразу целыми группами.

Рис. 4. Группы DiFi

Выгоды от внедрения

Использование DiFi позволяет снизить нагрузку на отдел безопасности. Сотрудники ИБ будут проверять вручную меньше подозрительных сообщений и смогут работать только с явными инцидентами.

Разумность применения цифровых отпечатков становится видна после проведения аудита. Если было четко определено множество конфиденциальных документов (например, существующая база финансовых документов) или сформированы и применяются стандартные формы документов, то модуль цифровых отпечатков будет полезен. Если нет – стоит продолжить поиск и обратить внимание на другие модули расширения, например, модуль извлечения идентификаторов IDID.

Контроль коммуникаций, защищённых HTTPS, – увидеть невидимое

Защищённые коммуникации используются нами повседневно. Номера кредитных карт, авторизационная информация, персональные данные как и любая другая частная информация, передаются по защищённым каналам. Необходимо это для того, чтобы никто, кроме отправляющей и получающей сторон, не имел возможности прочитать или изменить передаваемую информацию.

Что такое SSL и TLS?

Secure Sockets Layer (SSL) – это стандарт безопасности, который был создан для предоставления защищенных соединений в среде Интернета. Transport Layer Security (TLS) представляет собой дальнейшее развитие этого стандарта, но и для современных версий часто используется старое название – SSL.

В частности, по данному протоколу работают защищенные соединения с веб-сайтами (протокол HTTPS).
SSL реализует три основных функции криптографической защиты:

1. обеспечение конфиденциальности данных через шифрование: без использования протокола SSL все данные передаются между клиентом и веб-сайтом в открытом виде, таким образом, любой злоумышленник мог бы перехватить их как в локальной сети клиента, так и в транзитных сетях интернет-провайдера (включая сеть, где установлен сервер);
2. обеспечение целостности данных – защиту от умышленного искажения;
3. подтверждение аутентичности взаимодействующих сторон. На практике обычно это означает, что сервер (значительно реже – еще и клиент) имеет сертификат, подписанный удостоверяющим центром (Certificate Authority), известным клиенту. Система публичных удостоверяющих центров является международной. Таким образом, имея публичный ключ удостоверяющего центра (любой веб-браузер имеет базу таких публичных ключей), клиент может подтвердить соответствие сервера доменному имени, зарегистрированному на организацию или аутентичность корпоративного интранет-сервера.

Существует также практика использования «самоподписанных» (self-signed) сертификатов; в этом случае сертификат можно сохранить после первого сеанса связи и в последующих применениях сравнивать сертификат, предоставленный сервером, с сохраненным образцом.

Рис. 5. Использование HTTPS

Риски, связанные с SSL

У безопасности, которую даёт использование SSL, есть обратная сторона: SSL трафик в организации остаётся неконтролируемым.

• Невозможно защитить пользователя от мошенничества и вирусных атак. Злоумышленники знают о сложности контроля SSL и используют эту возможность для распространения вредоносного кода и кражи данных.
• Невозможно защитить организацию от утечки данных. Использование SSL соединения позволяет легко нарушить политику безопасности, просто отправив информацию через защищённую с помощью SSL почтовую службу (такую как Google mail). Пользователи могут установить «туннель» с домашним компьютером через HTTPS и неограниченно пересылать любые данные. Единственное, что будет видно, это наличие трафика с неизвестным сайтом.
• Невозможно управлять защищённым SSL трафиком, запрещая трафик определённой категории или регулируя полосу в канале.

Способы защиты от угроз

Большинство технических средств неспособно контролировать трафик внутри SSL соединения. Единственным существующим решением является использование SSL Proxy – специального решения, которое позволяет «заглянуть внутрь» SSL – трафика.

SSL Proxy работает по принципу «man in the middle» («человек посередине»): оно взаимодействует с клиентскими машинами как сервер и с сервером как клиентская машина, разворачивая и заново криптуя передаваемые данные.

После установки SSL Proxy вы получаете следующие возможности в отношении защищённого SSL – трафика:

• «видеть» полноценные URL'ы всех запрашиваемых пользователями объектов, размеры получаемых объектов, типы их данных и все остальное, что может видеть администратор в случае обычных HTTP запросов;
• анализировать содержимое получаемых пользователем страниц и объектов;
• использовать правила (политики), аналогичные правилам обработки обыкновенного HTTP-трафика.

Рис. 6. Возможности интеграции комплекса защиты от утечек информации «Дозор-Джет» и HTTPS Proxy (SSL Proxy для работы с HTTP)

Возможности контроля

Большинство SSL Proxy имеют возможности по контролю за передаваемой информацией гораздо меньшие, чем специализированные продукты по контролю за утечками (DLP-решения). Закономерным является интеграция таких решений в единый комплекс, чтобы использовать лучшие стороны обоих продуктов.

Расскажем о возможностях интеграции комплекса защиты от утечек информации «Дозор-Джет» и HTTPS Proxy (SSL Proxy для работы с HTTP).

«Дозор-Джет» взаимодействует с HTTPS Proxу по протоколу ICAP методом REQMOD. По этому протоколу раскрытый HTTPS-трафик передаётся в ICAP-сервер системы «Дозор-Джет».

В настоящий момент производится только анализ передаваемых по ICAP данных без возможности влияния на отправку – система не препятствует прохождению трафика пользователей.

Полученная от HTTPS Proxy информация передаётся и обрабатывается основными модулями системы «Дозор-Джет» в соответствии с заданной политикой.

ICAP сервер обеспечивает производительность, достаточную для обработки тысяч соединений параллельно.

«Дозор-Джет» осуществляет глубокий анализ отправляемых по HTTPS сообщений и файлов, проверяет сообщения на соответствие положениям политики использования информационных ресурсов, реагирует на нарушения этой политики согласно заданным сценариям, а также обеспечивает ведение архива сообщений и управление им. Таким образом, появляется возможность контролировать сообщения:

• передаваемые по каналам электронной почты;
• передаваемые через службы веб-почты и социальных сетей;
• передаваемые по протоколам IM.

Выгоды от внедрения

Контроль защищённых коммуникаций – насущная проблема для большинства подразделений информационной безопасности. Задача одновременно обеспечить бизнесу сохранность конфиденциальных данных и свободу коммуникации может быть решена только с использованием специальных средств.