Solar Dozor с технологией защиты на базе нейронных сетей
Компания «Ростелеком-Солар» выпустила версию 7.3 своей DLP-системы Solar Dozor. В обновлении представлена технология глубокого обучения на основе нейронных сетей Faster RCNN – как подчеркивают в компании, уникальная для решений данного класса. Она позволяет эффективно контролировать передачу критичных данных в графических форматах – изображениях, сканированных копиях, фотографиях и т.п. Кроме того, в Solar Dozor 7.3 реализован контроль переписки сотрудников в десктопной версии мессенджера Telegram.
Наиболее значимое изменение в версии 7.3 – появление нового инструмента политики безопасности «Графический шаблон», который контролирует передачу критичных данных в графических форматах. С помощью этого инструмента DLP-система с высокой точностью распознает в изображениях такие объекты, как паспортные данные граждан РФ, печати организаций, лицевую и оборотную стороны платежных карт.
Для распознавания графических объектов используется специализированная технология глубокого обучения на основе нейронных сетей Faster RCNN (region-based convolutional neural networks). Скорость работы технологии практически не зависит от размера изображения. Объекты распознаются с учетом различных деформаций – растяжения, поворота, наложения на другие объекты, а также при полном отсутствии текстовой составляющей. Как заявляют в компании, возможности Faster RCNN по эффективности распознавания конфиденциальных данных в графических объектах, значительно превосходят традиционно применяемые в DLP-системах технологии OCR, детектирования печатей и прочие.
В графическом виде, поясняют в «Ростелеком-Солар», часто утекают паспортные данные граждан, данные банковских карт, имеющие высокую ликвидность на черном рынке. Но эффективность классических инструментов выявления конфиденциальной информации в «графике» сильно зависит от качества изображения и серьезно снижается, если пересылается искаженный объект – растянутый, искривленный, в низком разрешении. Примененная же разработчиками технология Faster RCNN способна быстро выявить попытки слива критичных данных даже в сильно деформированных объектах.
Еще одно новшество в Solar Dozor версии 7.3 – расширение списка контролируемых каналов передачи данных. Теперь с помощью модуля Dozor Endpoint Agent, установленного на рабочих станциях корпоративной сети, можно контролировать переписку сотрудников в десктоп-версии мессенджера Telegram и отправку файлов в облачные хранилища с помощью десктоп-приложений Яндекс.Диск и Google Drive. Кроме того, в новой версии появились механизмы, которые позволяют распознавать в сообщениях и именах файлов текст, написанный транслитом и (или) содержащий опечатки, и преобразовывать его в корректный текст. Таким образом ИБ-специалисты смогут контролировать передачу текста, который намеренно или случайно был искажен с помощью транслита и (или) опечаток.
Расширена функциональность одного из ключевых модулей системы – Dozor UBA, модуля анализа поведения пользователей, что позволит минимизировать риск утечки данных при увольнении сотрудников. В интерфейсе системы в разделе «Анализ поведения» появился виджет «Признаки увольнения». Кликнув на виджет, офицер безопасности мгновенно получает список сотрудников, в поведении которых присутствуют признаки подготовки к увольнению. Критерии, по которым система выявляет таких работников, были сформированы в результате практических исследований и наблюдений за поведением уходящих из компаний сотрудников. Это, в частности, постепенное падение внешней и внутренней активности, оптимизация или сокращение сотрудником рабочего графика, появление новых уникальных контактов в коммуникациях, передача нехарактерных для сотрудника информационных активов и ряд других.
Кроме того, в Dozor UBA добавлены новые классы аномалий поведения – «Новый неизвестный контакт» и «Новый информационный объект», используемые в том числе и при выявлении увольняющихся сотрудников. Например, эти аномалии будут зафиксированы в поведении сотрудника, который вдруг начал собирать не имеющие отношения к его работе документы компании и пересылать их на неизвестную системе электронную почту. Такое поведение, отмечают в «Ростелеком-Солар», встречается среди сотрудников, принявших решение уйти из компании и решивших повысить свою привлекательность на рынке труда за счет бывшего работодателя.
Для удобства использования системы полностью переработан и дополнен новыми критериями фильтр результатов быстрого поиска. Теперь он доступен по нажатию кнопки в отдельном окне, где критерии фильтрации сгруппированы так, чтобы офицер безопасности мог применить к конкретной поисковой выборке критерии из одной или сразу из нескольких групп. Новый фильтр помогает быстро находить нужные данные в уже сформированной поисковой выборке, что сэкономит время на обнаружение утечек и расследование инцидентов.
Кроме того, модуль Dozor Endpoint Agent в новой версии DLP-системы собирает диагностическую информацию с рабочих станций корпоративной сети, что сокращает время на разбор и устранение проблем и сбоев в работе агента на конечных точках.