Wie das DLP-System und das OCR-Modul Mitarbeiter daran hinderten, Pass-Scans zu fälschen

Erinnern Sie sich an die Geschichte des Verlusts von Passdaten von 500 Millionen Kunden der Marriott Hotelkette? Die Angreifer hätten die Daten finden können, und die Hotelgruppe versprach sogar, die Kosten für die Änderung des Reisepasses an die betroffenen Gäste zu zahlen. Es gibt viele ähnliche Fälle. Es ist klar, warum: Heute speichern mehr als 50% der Unternehmen mehr als die Hälfte ihrer Dokumente in Form von Scans, Screenshots und PDFs. Vor drei Jahren befand sich nicht mehr als ein Drittel dieser Dokumente in Organisationen . Laut einer neuen Umfrage von SearchInform gaben 51% der Unternehmen an, dass die Anzahl der Dokumente im Bildformat gestiegen ist.

In jüngster Zeit werden Lecks in Form von Bildern meist rechtlich relevanten Dokumenten ausgesetzt, beispielsweise Verträgen. An zweiter Stelle in der „Risikogruppe“ stehen Finanzdokumente: Bilanzen, Gewinn- und Verlustrechnungen und so weiter. Der Verlust solcher Daten gefährdet nicht nur das Reputationsrisiko des Unternehmens, sondern kann auch zu einer Unterbrechung der Transaktionen führen. Um wichtige Daten vor Außenstehenden und Eindringlingen zu schützen, sind in den Informationssystemen des Unternehmens DLP- Systeme zur Verhinderung von Informationslecks installiert .

Wir haben bereits auf Habr darüber gesprochen, wie "SearchInform Information Security Circuit" (CIB) und das OCR-Modul auf dem Technologieprodukt ABBYY FineReader Engine basieren. Jetzt haben wir zusammen mit den Mitarbeitern der SearchInform-Produktimplementierungsabteilung vier Artikel über Lecks verschiedener Datentypen in Unternehmens- und persönlichen Postfächern gesammelt. Und wir haben herausgefunden, wie man sie mithilfe des DLP-Systems mit dem OCR-Modul identifiziert.

In einem Reiseunternehmen hat ein Mitarbeiter Dateien im Grafikformat an die persönliche Post gesendet. Mithilfe von ABBYY-Technologien konnte festgestellt werden, dass es sich bei den Anhängen um Scans von Pässen handelte . Dies ist eine grobe Verletzung der Arbeit mit Ausweisdokumenten. Darüber hinaus war dies ein schwerwiegender Verstoß gegen die Sicherheitsrichtlinien dieses Reiseunternehmens.

Wie genau stellte sich heraus, dass es sich bei den Grafikdateien um Scans von Pässen handelte? Mithilfe der integrierten OCR-Technologien erkannte das DLP-System den Text auf dem Scan, analysierte ihn und stellte fest, dass das Dokument eine Passnummer hatte. Es gibt andere Merkmale, die nur für Pässe charakteristisch sind, z. B. das Vorhandensein von Ausdrücken wie „Pass ausgestellt“, „Abteilungscode“ usw. im Dokument. Darüber hinaus verwendet das DLP-System den ABBYY-Klassifikator, um eine Reihe von Dokumenten, einschließlich Pässen, zu erkennen. Er verfeinert die Arbeit der OCR-Technologien, was letztendlich die Genauigkeit des Ergebnisses verbessert.

Spezialisten des IB-Dienstes begannen, den Vorfall zu untersuchen und stellten fest, dass vertrauliche Dateien unter dem Konto des Designers des Unternehmens von seinem Computer übertragen wurden. Alle Dokumente hatten ähnliche Namen - "Scans", "Scans_new", "Scans_1": Die Aufzeichnung vom Monitor der Designer-Workstation im Modus separater Screenshots, die das DLP-Systemmodul MonitorController erstellt, zeigte, dass der Designer in Photoshop mit Pass-Scans gearbeitet hat. Er schnitt Fotos aus ihnen heraus und fügte stattdessen neue ein:

Nach der Analyse aller Aktionen des Designers stellte der Sicherheitsdienst fest, dass der Mitarbeiter Scans von Dokumenten gefälscht hat. Hochwertige Fälschungen können verwendet werden, um sich bei Internetdiensten zu registrieren, wenn ein Angreifer seine wahre Identität nicht „glänzen“ möchte. Für automatische Verifizierungssysteme wäre es schwierig, die Authentizität von Informationen in solchen Bildern zu bestimmen.

So half die Technologie, die Situation mit Datenlecks und gefälschten Pass-Scans zu verfolgen. Dank dessen konnte das Unternehmen das Risiko einer Reputationsschädigung beseitigen.

Das Petrochemieunternehmen führte handgefüllte Fragebögen mit Mitarbeiterdaten . Das DLP-System hat die Tatsache aufgezeichnet, dass diese Fragebögen außerhalb des Unternehmens gesendet wurden: Die Sicherheitsrichtlinie für das Senden personenbezogener Daten hat funktioniert. Das DLP-System gab ein Signal, da das eingebaute OCR-Modul mit handgeschriebenem Text arbeiten und ihn mit einer Genauigkeit von über 88% erkennen kann. Dies erfolgt mit einem Strukturklassifikator. Ausführlicher über Technologien der intelligenten Zeichenerkennung ABBYY - Intelligente Zeichenerkennung (ICR) - haben wir bereits auf Habré berichtet .





Das Vorhandensein personenbezogener Daten in den Fragebögen wurde zu einem Signal für die Überprüfung des Vorfalls. Es stellte sich heraus, dass die Fragebögen auch Telefone sowie detaillierte Informationen zum Gesundheitszustand der Mitarbeiter enthielten. Wenn die Daten undicht sind, braucht sie jemand. Zum Beispiel können sie für diejenigen von Interesse sein, die für medizinische Dienstleistungen werben und sich mit Social Engineering beschäftigen .

Das Scannen von Profilen könnte leicht gemeinfrei sein und dies würde zu irreparablen Konsequenzen führen. Angreifer könnten diese Daten extrahieren und damit nicht nur den Mitarbeitern, sondern auch dem Ruf des gesamten Unternehmens schaden. In diesem Fall könnte sich der Mitarbeiter, dessen Fragebogen in den falschen Händen war, bei der Arbeitsaufsichtsbehörde Roskomnadzor beschweren oder in sozialen Netzwerken über die Geschichte erzählen.

Die Komplexität dieses Falls besteht darin, dass weit entfernt von allen Technologien handgeschriebener Text erkannt werden kann, das OCR ABBYY-Modul dies jedoch kann. Wir geben ein Beispiel. Unten finden Sie einen handgefüllten Fragebogen:

Und das Ergebnis der Anerkennung eines solchen Profils:

Das Texterkennungsmodul von ABBYY half dabei, Industriespionagemuster aufzudecken. Einer der angeheuerten Top-Manager des Unternehmens, der aus dem Ausland nach Russland gezogen war, schickte Grafikdateien von seiner persönlichen Post an seine ehemaligen Kollegen. Das DLP-System hat diese Tatsache entdeckt.

Dank des OCR-Moduls extrahierte das DLP-System Text aus Fotos und stellte fest, dass der Mitarbeiter Fotos der technischen Dokumentation an die aktuellen Entwicklungen des Unternehmens verschickte . Anschließend analysierte DLP die Texte mit dem Algorithmus „Suche nach ähnlichen“. Er ist in der Lage, Texte zu identifizieren, die inhaltlich oder sogar bedeutungsmäßig dem Standard entsprechen.

Die Schwierigkeit bestand darin, dass die vertraulichen Dokumente in der Sprache eines der GUS-Länder verfasst waren. Aber sowohl das DLP-System als auch das OCR-Modul können mit dieser Sprache arbeiten. Das OCR-Modul erkennt Dokumente in 210 Sprachen (im gedruckten Textformat) und 126 Sprachen (im handschriftlichen Format) - beispielsweise Sprachen mit Alphabeten, die auf lateinischen, kyrillischen, griechischen und armenischen Zeichen basieren, und viele andere. Sie können sogar mit Dokumenten in gemischten Sprachen arbeiten, wenn dort beispielsweise Wörter in der GUS-Sprache und Namen in Englisch verwendet werden.

Darüber hinaus enthält die gesamte technische Dokumentation viele Tabellen, Zeichnungen, Grafiken und Diagramme. Oft müssen Sie verstehen, was in ihnen geschrieben steht, da diese Informationen eine wichtige Rolle spielen können. Das OCR-Modul erkennt Tabellen und andere komplexe Strukturen in Dokumenten gut. Dank dessen kann er beispielsweise alle Informationen aus den Diagrammen extrahieren, um zu verstehen, ob die Daten aktuell oder bereits veraltet sind.

Das DLP-System meldete dem IB-Servicepersonal ein Leck an technischen Unterlagen, analysierte den Vorfall und bestätigte, dass das Signal nicht falsch war und das Foto wirklich aus vertraulichen Dokumenten stammt. Infolgedessen begann die Überprüfung der Arbeitskorrespondenz dieses Managers. Experten für Informationssicherheit stellten fest, dass er seine Freunde im Ausland mit wertvollen Daten zusammenführte, die Konkurrenten aus einem anderen Staat verwenden konnten (Spoiler: und verwenden). Zum Beispiel gab es in seinen Briefen ein informelles Gespräch mit der Prahlerei darüber, wie „seine Freunde zuerst den Markt erobern und alle umgehen werden“, einschließlich des Unternehmens, in dem der Top-Manager zu dieser Zeit arbeitete.

Aber die Geschichte endet nicht dort. Der Sicherheitsdienst untersuchte diesen Fall weiterhin unter Verwendung der Funktionen des DLP-Systems. Das Programm half dabei, Korrespondenz mit Kunden zu finden. Es stellte sich heraus, dass der Top-Manager seine eigene juristische Person eröffnete und diese als autorisiertes Service-Center des "einheimischen" Unternehmens ausgab. Er nahm an den Reparaturaufträgen des Arbeitgebers teil, verwendete aber gleichzeitig keine neuen, sondern weggeworfene Teile. Dies führte zu Kundenbeschwerden über das Hauptunternehmen und zu einem Reputationsverlust. Erstens verlor das Unternehmen seinen Wettbewerbsvorteil und zweitens erhielt es keinen Gewinn, da noch Aufträge übrig waren.

Der Leiter der technischen Abteilung eines großen Unternehmens hat eine Krankenstandsbescheinigung ausgestellt. Diese Tatsache hätte keine Aufmerksamkeit erregt, wenn die Sicherheitsrichtlinie, die die Weiterleitung von Flugtickets regelt, im DLP-System nicht früher ausgearbeitet hätte . Tatsache ist, dass früher ein Brief mit einem grafischen Anhang im PDF-Format an die E-Mail des Mitarbeiters gesendet wurde. Dank des OCR-Moduls wurde der Text im PDF erkannt,

und das DLP-Phrasen-Suchanalysemodul spezifizierte, dass die angehängte Datei ein Ticket ist. Dies wurde unter Verwendung einer Reihe von Phrasen durchgeführt, die nur für elektronische Tickets charakteristisch sind, z. B. "Abflugzeit", "Buchungscode", "Flug", "elektronisches Ticket" usw. Infolgedessen stellte sich heraus, dass die Flugdaten mit dem Krankenstand zusammenfielen.

Eine weitere Untersuchung ergab, dass der Leiter der technischen Abteilung zu einem Interview in eine andere Stadt ging, was durch seine weitere Korrespondenz mit HR-Wettbewerbern bestätigt wurde, die der Sicherheitsdienst fand und analysierte. So half das DLP-System der Unternehmensleitung, die Situation unter besondere Kontrolle zu bringen und sich auf die Entlassung des Mitarbeiters vorzubereiten. Es war möglich, den potenziellen Verlust wichtiger Daten an Wettbewerber zu stoppen und die Kontinuität des Arbeitsprozesses im Unternehmen aufrechtzuerhalten.

---

Wie Sie sehen, sind die Fälle unterschiedlich, aber in allen Fällen können Dokumente erkannt und analysiert werden. Wenn Sie Beispiele für ungewöhnliche Dokumentlecks in Form von Bildern oder Fotos haben, teilen Sie diese in den Kommentaren mit. Wir werden helfen, diese Situationen zu klären.