DLP-система «СёрчИнформ КИБ» расширила возможности защиты от нетипичных способов слива данных. Теперь программа вычитывает содержимое QR-кодов: графический ключ распознается как текст, к которому применяются политики безопасности.
КИБ «видит» все, что зашито в QR-код, будь то обычные ссылки или скрытые сообщения. Распознавание производит аналитический движок системы. Функция автоматически применяется для всего нового трафика, доступен и ретроспективный анализ для файлов, переданных по каналам связи ранее. Система обнаруживает и «расшифровывает» QR-коды во всех графических форматах, даже если изображение вставлено в текстовый или иной документ.
«Утечки из-за ошибок и незнания правил ИБ сотрудниками предотвратить легко. Но если инсайдер действует осознанно, то может быть крайне изобретательным. Несколько наших заказчиков столкнулись с попытками злоумышленников «слить» конфиденциальные данные, зашифровав их в графический код и вставив в документы под видом ссылок. Благодаря новым возможностям КИБ утечек удалось избежать, – отмечает Леонид Чуриков, ведущий аналитик «СёрчИнформ». – Распознавание QR-кодов также можно применять для анализа входящего трафика: почты или сообщений, которые получают сотрудники от внешних адресатов. Это поможет выявить подозрительные ссылки и защититься от фишинга».
ИБ-специалисты могут просматривать извлеченный из QR текст вместе с содержимым документа, где коды были расположены. По тексту можно искать вручную или настраивать автоматический поиск инцидентов. Причем «ключом» для политики безопасности может быть как наличие конфиденциального контента, так и сам факт передачи сообщений и документов с QR-кодами.
«СёрчИнформ КИБ» умеет предотвращать утечки через другие нестандартные каналы: фото экранов ПК на телефон, скрытые слои в документах офисных форматов, черновики в почте и пр. Это позволяет обнаруживать сложные схемы инсайдеров. DLP-система оповестит об инциденте, а чтобы пресечь его, применит блокировки передачи данных или другие способы «оперативного реагирования». Например, в недавнем релизе у ИБ-специалистов появилась возможность мгновенно прерывать сессию авторизации на ПК сотрудника, если там зафиксирована опасная активность.
