«СёрчИнформ КИБ» распознает пользователей по лицам. Зачем это нужно и как работает?
06.12.2022

Леонид Чуриков, ведущий аналитик «СёрчИнформ».

Продолжаем практику рассказывать подробнее, как работают отдельные функции нашей DLP-системы «СёрчИнформ КИБ». Мы уже рассказали и показали, как КИБ детектирует попытки сфотографировать экран ПК на мобильники и выявляет фишинговые письма. На этот раз разберем, как «СёрчИнформ КИБ» распознает пользователей по лицам. 

Зачем DLP-системе уметь распознавать сотрудников за ПК? Как минимум для того, чтобы проверить, не нарушают ли работники правила безопасности: например, просят коллег зайти под их учеткой, чтобы проверить почту во время отпуска. Как максимум – чтобы в случае инцидента точно установить, кто в момент нарушения находился за компьютером. 

Если кратко: «СёрчИнформ КИБ» сравнивает фотографию пользователя, который залогинился под учеткой, с базой фотографий сотрудников из Active Directory. Если в учетную запись зашел кто-то «не тот», то специалист по безопасности получит уведомление о потенциальном инциденте.

Чтобы вычислить постороннего за ПК, нам потребуется совершить четыре действия. 

1. В настройках модуля СameraController активируем параметры «делать снимки при входе пользователя» и «делать снимки при снятии блока сессии», чтобы КИБ запустил обязательную проверку пользователей по лицам. Так программа поймет, что нужно анализировать снимки, когда сотрудник логинится в учетную запись или разблокирует компьютер. Затем переходим во вкладку «распознавание» и активируем параметр «распознавание лиц».

2. Идем проверять результаты распознавания сотрудников по лицам. Для этого заходим в Analytic Console и сортируем результаты перехвата CameraController через фильтр «распознавание лица»

Также можно выбрать конкретный вид распознавания из выпадающего списка. Вы сможете узнать:

  • если за ПК больше одного человека (потенциально кто-то подглядывает в экран)
  • если за ПК никого нет (например, кто-то залогинился удаленно)
  • если камера ПК повреждена или заклеена

3. Затем проверяем, совпадает ли лицо с сотрудника с истинным владельцем учетки. Для этого переходим во вкладку «карточка пользователя». Видим, что под учеткой менеджера Ивана Попова зашел «чужак» (ситуация смоделирована, все совпадения случайны).  

4. Чтобы облегчить себе работу, распознавание можно автоматизировать – для этого настроим политику безопасности в AlertCenter. Выбираем поиск по базам данных CameraController и в перечне атрибутов, по которым можно настроить политику, указываем параметры поиска. 

Теперь КИБ просигнализирует, если под учетной записью залогинится не истинный владелец. 

В программе можно увидеть, кто из сотрудников воспользовался чужим ПК, узнать дату и время инцидента, а дальше с помощью детального анализа выяснить, чем занимался пользователь. 

В будущем на основе этого функционала можно будет настроить автоматические реакции на инцидент. Например, запуск внешнего скрипта с командой завершения сеанса Windows, если вместо сотрудника под его учеткой залогинился посторонний пользователь. А если хотите протестировать распознавание, то переходите по ссылке
 

Подпишитесь на полезные статьи. Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними.