Договоры, заявления, анкеты… Все эти документы создаются на базе унифицированных форм. Для выявления, инспекции и предотвращения утечки такого рода документов можно использовать различные технологии контентной фильтрации, реализованные в полноценных DLP-системах, — детектировать в документах определенные слова или их сочетания, выявлять некоторые типы персональных данных с помощью шаблонов регулярных выражений. Наиболее эффективное решение — использование технологии цифровых отпечатков (фингерпринтов).

Типовые документы, такие как кредитные договоры, заявления, анкеты и т.п., обладают уникальными словесными шаблонами. Пустая форма заявления или договора отличается от заполненной только наличием дополнительных сведений, содержит больше текстовых или графических данных по сравнению с образцом-шаблоном. Каждый раз при заполнении формы используется исходный набор слов и данных, к которому затем добавляются собственные слова и изображения (например, подпись или печать).

Технология цифровых отпечатков позволяет выявить уникальный словесный шаблон в отправляемом по каналам сетевых коммуникаций, сохраняемом на внешний накопитель или отправленном на печать документе, сравнивая документ с имеющимся шаблоном (точнее, с цифровым отпечатком базового документа) образца или формы. По сравнению с методами анализа по ключевым словам или шаблонам регулярных выражений метод цифровых отпечатков более эффективен и позволяет обеспечить наименьшее число ложных срабатываний, поскольку контролируемый образец всегда входит в исходящий документ и как следствие идентифицируется соответствие отпечатку.

В основе метода цифровых отпечатков, реализованного в новейшей версии DeviceLock DLP 8.3, лежит сопоставление документов или файлов с так называемыми цифровыми отпечатками — наборами буквенно-цифровых строк (хэшей), при помощи которых можно идентифицировать данные, хранящиеся в документе или файле. Каждый шаблон (форма) содержит описания полей, некий набор текста и пустые поля для их дальнейшего заполнения. Преобразование такого шаблона в отпечаток документа и сохранение его уникального хэш-значения для последующей классификации в базе данных цифровых отпечатков позволяет получить тип конфиденциальных данных, который затем DeviceLock DLP может сопоставить с передаваемым документом.

Метод цифровых отпечатков более эффективен и позволяет обеспечить наименьшее число ложных срабатываний

Важно, что сам исходный документ в базе данных отпечатков не сохраняется и воссоздать его из цифрового отпечатка невозможно. Если процент соответствия отпечатков превышает требуемый порог в соответствии с заданной DLP-политикой, то проверяемые документы считаются конфиденциальными и к ним в режиме реального времени применяются заданные в DLP-политике действия — блокировка передачи документа, создание теневой копии, отправка тревожного оповещения в службу ИБ. Такая политика может, например, запрещать пользователям отправлять исходящие сообщения с персональными данными или заполненными договорами на внешние (не корпоративные) адреса электронной почты или сигнализировать SIEM-системе об инциденте без блокировки передачи данных.

Точность детектирования конфиденциальных данных в DeviceLock DLP можно значительно повысить благодаря возможности создания правил контентной фильтрации с условиями детектирования в сколь угодно сложных комбинациях с использованием логических функций и сочетанием метода цифровых отпечатков с анализом по ключевым словам и регулярным выражениям.

Реклама