Для этого есть модуль контроля использования приложений, с помощью которого можно сформировать белые списки и который не допустит использование неразрешенных приложений.
Статья касается тематики ЕПСК, а используемые там технологии как раз блокируют вредоносные действия. Но, помимо простой блокировки, даже UTM даёт возможности для большой аналитики, о чем мы и пытались рассказать/
Технологии UBA достаточно полезны, но пока лежат за рамками ЕПСК, хотя частично применяются в нашем SOC и активно используются в нашем DLP.
Спасибо за ваш комментарий. Полностью разделяем вашу точку зрения: тема тестирования обновлений действительно заслуживает отдельного внимания и мы планируем поделиться своим опытом в нескольких дальнейших постах. В данном конкретном материале речь о кейсе расследования, а есть множество клиентов, для которых мы реализуем именно патч-менеджмент — вот про этот опыт обязательно расскажем.
На текущий момент нет термина отраслевой центр ГосСОПКА. Но есть корпоративный, который может быть нацелен как на обеспечение безопасности внутренней инфраструктуры и дочерних обществ (например созданный в рамках госкорпорации или крупного бизнеса), так и на оказание коммерческих услуг организациям рынка.
По возможности самостоятельно реагировать и ликвидировать последствия с участием службы ИБ и ИТ компании, при невозможности – просить содействия у вышестоящего центра
Все правила на VNF настраиваются только по согласованию с заказчиком, за исключением каких-либо массовых историй, вроде цископада, когда счёт идёт на минуты. В этом случае заказчик будет уведомлен об изменении правил фильтрации и, если он посчитает, что они излишни, мы всё вернём как было.
Тут есть одна интересная особенность: каждый обученный сотрудник становится на сторону службы ИБ, начинает лучше понимать специфику ее деятельности. Обученные сотрудники расскажут своим коллегам о спаме быстрее ИТ-службы, и сотрудник не только сам не откроет письмо но еще и отговорит коллегу это делать. Помимо этого, сотрудник не пустит в офис постороннего, спрячет секретный документ в ящик стола, сразу уведомит сотрудника охраны о потерянном пропуске, не станет хранить пароль на бумажке под клавиатурой и в целом сделает безопаснее работу свою и окружающих. У любой организации есть 2 пути: путь запретов и ограничений и путь образования и повышения осведомленности. В зависимости от выбранного пути настроение и продуктивность коллектива меняется в целом, а не только в части ИБ.
В среднем каждый 7-й пользователь, который не проходит регулярное обучение киберграмотности, поддается на социальную инженерию: открывает зараженный файл или отправляет свои данные злоумышленникам. Статистика по конкретным подразделениям приведена в посте.
Как показывает практика наших заказчиков, при регулярной тренировке ИБ-навыков сотрудников эффективность социальной инженерии снижается практически в 2 раза: на атаки поддается уже лишь каждый 12-ый пользователь. Разница в результатах до и после начала обучения и регулярных тренировок сильнее всего заметна у сотрудников финансового и юридического департаментов.
Для ИТ и helpdesk действительно настанут черные дни, но на основные бизнес-процессы это все-таки не влияет. Но из практики wannacry — иногда лучше добавить другой способ управления или потерпеть, чем долго и мучительно восстановливать инфраструктуру после влетевшего шифровальщика массового поражения. Как раз в случае petya и wannacry бывало, что заказчики целиком отказывались от работы через SMB до устранения проблемы.
Согласны, что использование OCR в DLP — это не новость, мы хотели осветить именно возможные сложности при использовании OCR в DLP.
Замечания учтем на будущее. Спасибо за ваши комментарии.
Здесь мы можем либо просто пропускать, либо создавать события, либо блокировать сообщения, содержащие такие изображения (зависит от режима работы DLP — пассивный или активный).
Кроме этого есть дополнительные средства анализа документов и сообщений. Например, цифровые отпечатки.
Мы не предъявляем жесткие требования к изображениям, которые необходимо отправлять в систему. Мы выдаём рекомендации для эффективной работы OCR-модуля нашей DLP. В саму систему можно отправлять любые изображения, а обрабатывать их или нет, DLP решает согласно заданной конфигурации.
Именно материалы для распознавания ограничить требованиями достаточно сложно. Как пример, вам придется во всей компании закупить одинаковые сканеры (чтобы все сканы были одинакового качества) и запретить создание любых скриншотов на ПК пользователей (ведь это тоже источник изображений). Но вы действительно хотите описывать для сотрудников правила создания скриншотов?
Плюс у вас все равно останется вариант, когда пользователь что-то сфотографирует и отправит по почте (доступ к корпоративному ящику с телефона).
Другой момент в том, что вы можете использовать DLP, а сотрудники об этом знать не будут, вы просто мониторите почтовый трафик и действия пользователей при помощи агентов на рабочих станциях.
Создавая регламенты\требования\ограничения на материалы для распознавания, вы вызовете у пользователей вопросы.
В целом вопрос ограничения «исходного материала» остается на стороне каждого отдельного заказчика. У кого-то интернет закрыт, кто-то телефоны на входе забирает. Поэтому тут решать вам – создавать требования к «исходному материалу» или нет.
Отвечая на последний вопрос. Изображения могут содержать конфиденциальную информацию и обычным контентным анализом текст из изображения достать не получится. Собственно для этого и нужен OCR. Он помогает получить текст из изображения, а дальше полученная информация отдается обратно на обработку сервису фильтрации, который прогоняет текст по политике и создает события (если есть срабатывания).
1. Да, согласны, что кроме OCR есть и другие технологии. Это распознавание рукопечатного текста, меток, штрих-кодов. Но в целом ICR, OMR можно считать некими надстройками над OCR или расширением его возможностей.
2. Таймауты нужны для корректного взаимодействия сервисов между собой. За фильтрацию отвечает один сервис, за распознавание изображений — другой. Первый делает запрос в OCR и ждёт пока он распознает. В частности, это нужно когда DLP-система работает «в разрыв» для применения активных блокировок и предотвращения утечки информации. Т.е. таймаут нужен, чтобы не ждать бесконечно ответа от сервиса распознавания (OCR).
Внутренняя очередь нужна, чтобы OCR последовательно обрабатывал все поступающие к нему запросы. Тут мы подошли к ещё одной необходимости в таймаутах. Они нужны, чтобы сам движок OCR не пытался бесконечно извлекать текст из изображения и не уходил в бесконечную обработку нескольких изображений, тем самым увеличивая ту самую внутреннюю очередь.
3. Вопрос с автоматизацией можно объединить с п.4. Определенная автоматизация есть, мы «из коробки» устанавливаем рекомендуемые параметры для OCR. Но тут речь идёт об автоматизации в более широком смысле, как я понял. Т.е. учиться распознавать изображения, откидывать мусор, донастраивать систему в автоматическом режиме, без какого-либо вмешательства. Да, нейронная сеть тут может помочь, но и её нужно обучить для начала, потому что трафик у разных заказчиков разный. Т.е. все равно донастройка потребуется, хотя и в меньшей степени.
А вот вопрос с разными изображениями в одном потоке не совсем понял. Вы имеете ввиду, что паспорт не должен утекать во внешний мир, а из-за того, что OCR не смог распознать текст, DLP его пропустила дальше?
Не уверен, что правильно понял вопрос.
Требования к «исходному сырью» могут существовать, а могут и нет. Даже если требования существуют, то все равно возможны ситуации, когда сотрудники пересылают несоответствующие этим требованиям документы. Требованиями можно контролировать финальный вариант документа, который вы будете сдавать руководителю/в бухгалтерию/в кадры, а вот что с документом происходит, пока он готовится и подгоняется под требования — уже другая история.
Часть мусора можно отбросить и не распознавать (задать ограничения в системе), но опять же не все хотят задавать ограничения, а хотят распознавать всё и вся.
По сортировке. По факту она есть. Это как раз системные ограничения, т.е. DLP будет сразу определять, нужно обрабатывать эту картинку или нет.
Да и в целом суть OCR и DLP как таковой в том, чтобы в огромном потоке трафика выявить утечку. А в трафике может быть все, что угодно.
ABBYY FlexiCapture — это решение под Windows. Мы же работаем под Linux и используем ABBYY FineReader Engine, который устанавливается прямо на серверах нашей DLP. Это решение также предоставляет возможности OCR, и это коммерческий продукт. Возможно, тут стоит подумать над интеграцией с FlexiCapture для случаев, когда он уже есть в компании.
Выявление конфиденциальной информации осуществляется согласно политике фильтрации – контентный анализ, цифровые отпечатки и т.д. Здесь OCR помогает получить текст из изображения, а дальше полученная информация отдается обратно на обработку сервису фильтрации, который прогоняет текст по политике и создает события (если есть срабатывания).
С рукописным текстом ситуация другая. Это уже технология ICR (Intelligent Character Recognition). Для распознавания тут требования строже в том плане, что буквы и цифры должны быть написаны по шаблону. Другими словами, если что-нибудь написать не каллиграфическим почерком, сфотографировать и потом попробовать распознать, то результата никакого не будет. Или будет, но нас не удовлетворит.
Задачу нахождения изображений, которые не получилось распознать, можно решить при помощи политики фильтрации DLP-системы и поиску сообщений с изображениями в архиве.
1. Да, вы правы, но из нашей практики крайне редко публикация административных портов в интернет гармонизируется с политиками информационной безопасности. Также стоит учитывать, что при публикации сервисов администраторы часто перевешивают их на нестандартные порты, поэтому скриншот показывает ещё и неполную картину.
2. В корпоративной среде, которая может стать наиболее вероятным источником атаки, RDP включается почти везде.
Да, Вы правы, в части привязки мер к DLP – об этом даже делали ремарку во вступлении, что нет прямой привязки мер и использования DLP. Да и рассмотрение систем в разрезе мер обеспечения безопасности есть практически у всех вендоров.
Но основная мысль текста не в этом, а в том, что необходима защита как каналов передачи информации, так и непосредственно самой БД DLP от:
— изменения/модернизации квалифицированным ИТ персоналом
— использования данных в личных целях.
Без выполнения вышеперечисленного DLP так и останется вспомогательным инструментом расследования, не более.
Технологии UBA достаточно полезны, но пока лежат за рамками ЕПСК, хотя частично применяются в нашем SOC и активно используются в нашем DLP.
Спасибо за ваш комментарий. Полностью разделяем вашу точку зрения: тема тестирования обновлений действительно заслуживает отдельного внимания и мы планируем поделиться своим опытом в нескольких дальнейших постах. В данном конкретном материале речь о кейсе расследования, а есть множество клиентов, для которых мы реализуем именно патч-менеджмент — вот про этот опыт обязательно расскажем.
Все правила на VNF настраиваются только по согласованию с заказчиком, за исключением каких-либо массовых историй, вроде цископада, когда счёт идёт на минуты. В этом случае заказчик будет уведомлен об изменении правил фильтрации и, если он посчитает, что они излишни, мы всё вернём как было.
Как показывает практика наших заказчиков, при регулярной тренировке ИБ-навыков сотрудников эффективность социальной инженерии снижается практически в 2 раза: на атаки поддается уже лишь каждый 12-ый пользователь. Разница в результатах до и после начала обучения и регулярных тренировок сильнее всего заметна у сотрудников финансового и юридического департаментов.
Замечания учтем на будущее. Спасибо за ваши комментарии.
Кроме этого есть дополнительные средства анализа документов и сообщений. Например, цифровые отпечатки.
Именно материалы для распознавания ограничить требованиями достаточно сложно. Как пример, вам придется во всей компании закупить одинаковые сканеры (чтобы все сканы были одинакового качества) и запретить создание любых скриншотов на ПК пользователей (ведь это тоже источник изображений). Но вы действительно хотите описывать для сотрудников правила создания скриншотов?
Плюс у вас все равно останется вариант, когда пользователь что-то сфотографирует и отправит по почте (доступ к корпоративному ящику с телефона).
Другой момент в том, что вы можете использовать DLP, а сотрудники об этом знать не будут, вы просто мониторите почтовый трафик и действия пользователей при помощи агентов на рабочих станциях.
Создавая регламенты\требования\ограничения на материалы для распознавания, вы вызовете у пользователей вопросы.
В целом вопрос ограничения «исходного материала» остается на стороне каждого отдельного заказчика. У кого-то интернет закрыт, кто-то телефоны на входе забирает. Поэтому тут решать вам – создавать требования к «исходному материалу» или нет.
Отвечая на последний вопрос. Изображения могут содержать конфиденциальную информацию и обычным контентным анализом текст из изображения достать не получится. Собственно для этого и нужен OCR. Он помогает получить текст из изображения, а дальше полученная информация отдается обратно на обработку сервису фильтрации, который прогоняет текст по политике и создает события (если есть срабатывания).
2. Таймауты нужны для корректного взаимодействия сервисов между собой. За фильтрацию отвечает один сервис, за распознавание изображений — другой. Первый делает запрос в OCR и ждёт пока он распознает. В частности, это нужно когда DLP-система работает «в разрыв» для применения активных блокировок и предотвращения утечки информации. Т.е. таймаут нужен, чтобы не ждать бесконечно ответа от сервиса распознавания (OCR).
Внутренняя очередь нужна, чтобы OCR последовательно обрабатывал все поступающие к нему запросы. Тут мы подошли к ещё одной необходимости в таймаутах. Они нужны, чтобы сам движок OCR не пытался бесконечно извлекать текст из изображения и не уходил в бесконечную обработку нескольких изображений, тем самым увеличивая ту самую внутреннюю очередь.
3. Вопрос с автоматизацией можно объединить с п.4. Определенная автоматизация есть, мы «из коробки» устанавливаем рекомендуемые параметры для OCR. Но тут речь идёт об автоматизации в более широком смысле, как я понял. Т.е. учиться распознавать изображения, откидывать мусор, донастраивать систему в автоматическом режиме, без какого-либо вмешательства. Да, нейронная сеть тут может помочь, но и её нужно обучить для начала, потому что трафик у разных заказчиков разный. Т.е. все равно донастройка потребуется, хотя и в меньшей степени.
А вот вопрос с разными изображениями в одном потоке не совсем понял. Вы имеете ввиду, что паспорт не должен утекать во внешний мир, а из-за того, что OCR не смог распознать текст, DLP его пропустила дальше?
Требования к «исходному сырью» могут существовать, а могут и нет. Даже если требования существуют, то все равно возможны ситуации, когда сотрудники пересылают несоответствующие этим требованиям документы. Требованиями можно контролировать финальный вариант документа, который вы будете сдавать руководителю/в бухгалтерию/в кадры, а вот что с документом происходит, пока он готовится и подгоняется под требования — уже другая история.
Часть мусора можно отбросить и не распознавать (задать ограничения в системе), но опять же не все хотят задавать ограничения, а хотят распознавать всё и вся.
По сортировке. По факту она есть. Это как раз системные ограничения, т.е. DLP будет сразу определять, нужно обрабатывать эту картинку или нет.
Да и в целом суть OCR и DLP как таковой в том, чтобы в огромном потоке трафика выявить утечку. А в трафике может быть все, что угодно.
Выявление конфиденциальной информации осуществляется согласно политике фильтрации – контентный анализ, цифровые отпечатки и т.д. Здесь OCR помогает получить текст из изображения, а дальше полученная информация отдается обратно на обработку сервису фильтрации, который прогоняет текст по политике и создает события (если есть срабатывания).
С рукописным текстом ситуация другая. Это уже технология ICR (Intelligent Character Recognition). Для распознавания тут требования строже в том плане, что буквы и цифры должны быть написаны по шаблону. Другими словами, если что-нибудь написать не каллиграфическим почерком, сфотографировать и потом попробовать распознать, то результата никакого не будет. Или будет, но нас не удовлетворит.
Задачу нахождения изображений, которые не получилось распознать, можно решить при помощи политики фильтрации DLP-системы и поиску сообщений с изображениями в архиве.
2. В корпоративной среде, которая может стать наиболее вероятным источником атаки, RDP включается почти везде.
Но основная мысль текста не в этом, а в том, что необходима защита как каналов передачи информации, так и непосредственно самой БД DLP от:
— изменения/модернизации квалифицированным ИТ персоналом
— использования данных в личных целях.
Без выполнения вышеперечисленного DLP так и останется вспомогательным инструментом расследования, не более.