CC BY
29
3. Не храните токены доступа в незашифрованном виде или на локальном диске.
4. Используйте области авторизации. Когда клиент выполняет проверку подлинности, запросите список конкретных ресурсов, к которым он хочет получить доступ, даже если он полностью под вашим контролем.
Трехсторонняя аутентификация
В зависимости от потребностей вашего приложения, вы можете не реализовать свою собственную проверку подлинности пользовательских данных на основе токена. Если вы создаете приложение, которое в первую очередь взаимодействует с другой службой, могут быть доступны библиотеки JavaScript (например, Facebook's JS SDK) или же они могут предложить способы создания авторизации токенов вручную (например, GitHub's API).
Также появился относительно новый вариант, популярность которого растет, - он является фоновым провайдером аутентификации. Такие сервисы, как Firebase и UserApp, предлагают простые способы аутентификации пользователей статического приложения без генерирования кода на стороне сервера. Каждый сервис будет иметь свои сильные и слабые стороны, которые должны рассматриваться как часть общей стратегии аутентификации.
Авторизация пользователя (предоставление ему прав доступа к ресурсам) является положительным результатом аутентификации помимо установления доверительных отношений и выработки сессионного ключа. Процедура аутентификации необходима для обмена информацией между компьютерами. Для обеспечения защиты линии связи от прослушивания или подмены одного из участников взаимодействия используются сложные криптографические протоколы.
Литература
1. Под редакцией А. А. Шелупанова, С. Л. Груздева, Ю. С. Нахаева. Аутентификация. Теория
и практика обеспечения доступа к информационным ресурсам. М.: Горячая линия -
Телеком, 2009. С. 552.
2. Смит Ричард Э. Аутентификация: от паролей до открытых ключей. М.: Вильямс, 2002.
С. 432.
CHECKRECIPIENT SOLUTION OVERVIEW FOR EMAIL SECURITY
Patrakov E.1, Patrakova D.2 ОБЗОР РЕШЕНИЯ CHECKRECIPIENT ДЛЯ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ ПОЧТЫ Патраков Е. И.1, Патракова Д. И.2
'Патраков Евгений Иванович /Patrakov Evgeny — студент, департамент менеджмента;
2Патракова Дарья Ивановна / Patrakova Daria — студент, кафедра теоретических основ радиотехники, Уральский федеральный университет им. Б. Н. Ельцина, г. Екатеринбург
Аннотация: неверно адресованное письмо в современном мире вследствие непреднамеренной человеческой ошибки может стать результатом утечки конфиденциальных данных. Для решения данной проблемы были предложены следующие механизмы: «задержка отправки сообщения», «шифрование письма». Однако такие методы имеют существенные недостатки: уменьшение скорости отклика электронной почты, сложность реализации. Вследствие этого было предложено решение CheckRecipient, которое имеет две реализации: CheckRecipient Guardian, обнаруживающий и предотвращающий угрозы по электронной почте, используя искусственный интеллект, и CheckRecipient RuleBuilder, обнаруживающий и предотвращающий угрозы по электронной почте, используя машинное обучение. Abstract: incorrectly addressed letter in the modern world can become result of leakage of confidential data. To solve this problem, the following mechanisms have been offered: «delay of sending message», «encryption of a letter». However, such methods have significant drawbacks: reduction in the response speed of the email, the complexity of the implementation. As a result, it was suggested solution CheckRecipient, which has two implementations: CheckRecipient Guardian, detect and prevent threats by e-mail, using artificial intelligence, and CheckRecipient RuleBuilder, detect and prevent threats by email, using machine learning.
Ключевые слова: электронная почта, конфиденциальная информация, шифрование, угрозы, искусственный интеллект, машинное обучение.
Keywords: email, confidential Information, encryption, threat, artificial intelligence, machine learning.
В современном мире непреднамеренная человеческая ошибка может стать причиной утечки конфиденциальных данных. Примером такой утечки информации может быть случайно отправленное электронное письмо чужому человеку или получение неверно адресованного сообщения. В таких областях как финансы и здравоохранение человеческая ошибка может вызвать огромные последствия. Потеря данных может не только испортить репутацию организациям, но и стать для них юридической проблемой.
На основе результатов Freedom of Information (FOI), опубликованных в 2016 году, выяснилось, что человеческие ошибки, вследствие которых произошла утеря информации, составляли почти две трети (62 процента) из всех инцидентов по информационной безопасности за период 2014-2016 годов [1]. Причем 9% таких случаев являются результатом случайно отправленных данных чужому человеку.
Были предложены различные решения. Наиболее простые представляют «отмену отправки сообщения». Такие предложения включают задержку отправки электронного письма с определенной платформы. Если отправитель замечает неверно адресованное письмо, то электронная почта останавливает отправку. При этом может не учитываться факт того, что люди могут не заметить ошибку отправки сообщения чужому человеку. Такие решения имеют еще один недостаток - уменьшение скорости отклика электронной почты. Правильно адресуемые сообщения также задерживаются.
Шифрование - это другой метод, который представляет значительную сложность реализации. Отправитель при создании письма должен указать пароль и подсказку, в случае, если пароль будет забыт. Получатель при этом должен знать пароль, чтобы расшифровать письмо. Бизнес-менеджеры считают это технологическим перебором.
Вследствие того, что на рынке не существовало продукта для решения данной проблемы, компания CheckRecipient создала целую систему для предотвращения отправки электронных писем чужим людям [2]. Для реализации данной идеи организация использует искусственный интеллект и/или обучение для машины. В случае взаимодействия с искусственным интеллектом система анализирует исторические данные почты, а затем предсказывает, когда электронное письмо адресуется или посылается чужому человеку.
Компания CheckRecipient предложила два продукта для предотвращения утечки информации по электронной почте в случае непреднамеренной человеческой ошибки: CheckRecipient Guardian, использующий искусственный интеллект, и CheckRecipient RuleBuilder, использующий обучение для машины.
CheckRecipient Guardian имеет следующие функции:
- с помощью искусственного интеллекта на начальном этапе применения решение заносит поведение и модель общения пользователя в систему CheckRecipient;
- для обнаружения аномалий использует ранее записанную модель общения пользователя;
- автоматически понимает, когда письмо отправляется чужому получателю, и выдает оповещение в режиме реального времени;
CheckRecipient believes this email may be addressed to the wrong person.
Do you stfll wish to send?
Yes
No
Рис. 1. Оповещение в режиме реального времени 34
- в случае обнаружения аномалий в модели общения заносит сведения о нарушениях пользователя в журнал аудита;
- остается невидимым для сотрудника организации до появления сообщения-оповещения;
- не влияет на задержку исходящих писем.
CheckRecipient RuleBuilder имеет следующие функции:
- позволяет организациям создавать собственные правила общения по электронной почте;
- правила могут касаться размера файла, типов вложенных файлов, конкретных ключевых слов и регулярных выражений в сообщении;
- в отличие от обычных DLP систем не только блокирует сообщения, но и выдает предупреждения (как и в случае CheckRecipient Guardian);
- для разных сотрудников настраиваются разные правила;
- все нарушения записываются в журнал аудита;
- остается невидимым для сотрудника организации до появления сообщения-оповещения;
- не влияет на задержку исходящих писем.
Решения компании CheckRecipient применяются там, где информация наиболее чувствительна к утечке. Это могут быть следующие сферы деятельности:
- инвестиционно-банковская (утечка данных о клиентах и сделках может стать разрушительной для организации вследствие снижения ее репутации);
- здравоохранение (данные о пациентах, которые никогда не должны несанкционированно выходить за пределы организации);
- другие компании и организации, в которых циркулирует конфиденциальная информация.
Инновационные решения компании CheckRecipient предназначены для предотвращения
утечки информации по электронной почте в случае непреднамеренной человеческой ошибки. Совместное использование продуктов CheckRecipient Guardian и CheckRecipient RuleBuilder повысит вероятность предотвращения такой утечки. Однако не стоит забывать о других человеческих ошибках, из-за которых может произойти утеря данных. В таком случае необходимо применять другие средства и методы защиты информации.
Литература
1. Результаты Freedom of Information. [Электронный ресурс]. Режим доступа: http://www.pdpjournals.com/overview-freedom-of-information/ (дата обращения: 21.12.2016).
2. Сайт компании CheckRecipient. [Электронный ресурс]. Режим доступа: http://checkrecipient.com/ (дата обращения: 03.01.2017).
3. Батищев П. С. Основы Интернет. [Электронный ресурс]. Режим доступа: http://psbatishev.narod.ru/internet/ (дата обращения: 23.12.2016).
