لا تثق بما تراه

"المظاهر يمكن أن تكون خادعة" ، يقول المثل. تنطبق نفس الفكرة على المحتوى الرقمي ، حيث يمكن للأشخاص ذوي النوايا الضارة خداع أعيننا لتصديق ما يريدون منا رؤيته عبر الإنترنت. لتوضيح هذه الحالة ، بينما كان فريقنا يحلل عينات البرامج الضارة ، عثرنا على حالة مثيرة للاهتمام تضمنت ملف PDF ومعلومات حساسة وإمكانية خرق البيانات.

صورة أم اثنتين؟

كان لدينا ملف يحتوي على صورة واحدة لشاطئ مهجور ، أو هكذا بدا.

بدا الملف غير ضار. لا شيء مريب فيه. ولكن بعد تشغيله من خلال Deep CDR محرك (نزع المحتوى وإعادة بنائه)، اكتشفنا أن هناك في الواقع صورتين:

<</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 160490/Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>> 

عندما فتحنا الملف في قارئ نصوص ، لاحظنا أن العلامة التي تشير إلى الصورة الثانية قد تم إخفاؤها:

العلامة البديلة التي تحدد الصورة كصورة افتراضية للطباعة:

<</Alternates[<</Image 14 0 R/DefaultForPrinting true>>]>> 

يتم تعريف الصورة المخفية بواسطة هذه العلامة:

14 0 obj 
<</Type/XObject/Subtype/Image/Width 1100/Height 733/ColorSpace/DeviceRGB/BitsPerComponent 8/Filter/DCTDecode/Interpolate true/Length 47955>> 

استخدام علامات التمييز البديلة ضمن PDF يسمح للمؤلفين بتعريف الصورة التي يتم عرضها عند طباعتها. هذا يعني أنه إذا كانت هناك معلومات حساسة في الصورة الثانية ، فيمكن لأي شخص تمريرها إلى مصدر خارجي وعرضها بنقرة واحدة على زر الطباعة. بعد طباعة الملف ، إليك ما رأيناه على الورق. يحتوي الملف المطبوع على ثلاثة أرقام لبطاقات الائتمان ، والتي قد تكون معلومات تعريف شخصية حساسة (PII).

كما هو واضح من هذا المثال ، يمكن استغلال هذا التكتيك لفضح المعلومات السرية ، مما يتسبب في انتهاكات البيانات أو انتهاكات الامتثال التنظيمي. والأسوأ من ذلك ، يمكن للجهات الفاعلة السيئة استخدام هذه الحيلة لإشراك أشخاص آخرين لتمرير معلومات حساسة دون معرفة. متستر ، أليس كذلك؟

كيف نتعامل مع التعامل مع المعلومات الحساسة المخفية؟

المعلومات الحساسة مثل أرقام الضمان الاجتماعي أو أرقام بطاقات الائتمان أو عناوين IPv4 أو التوجيه بين النطاقات بدون فئات (CIDR) عرضة لانتهاكات البيانات وانتهاكات الامتثال التنظيمي.

من الممارسات الجيدة لمنع فقدان البيانات وانكشاف البيانات هو التحقق باستمرار من محتوى الملفات التي يتم نقلها. OPSWAT Proactive DLP (منع فقدان البيانات) يكتشف ويحظر البيانات الحساسة والسرية في الملفات ورسائل البريد الإلكتروني. كل ملف يتم تحميله أو تنزيله من تطبيقات الويب، أو يتم نقله من خلال وكلاء الويب والبوابات الآمنة وجدران حماية تطبيقات الويب وأنظمة التخزين، يمكن فحصه بدقة قبل استخدامه باستخدام Proactive DLP.

حماية المعلومات الحساسة ومنع فقدان البيانات من خلال Proactive DLP

Proactive DLP يكتشف البيانات الحساسة ويحظرها في أكثر من 30 نوعًا من الملفات المدعومة. سيتم بعد ذلك تنقيح المعلومات الحساسة المكتشفة في ملفات PDF، ومستندات MS Word، وجداول بيانات MS Excel تلقائيًا.

Proactive DLP التحقق من المعلومات الحساسة المستندة إلى الصور من خلال الاستفادة من تقنية التعرف الضوئي على الحروف (OCR) لاكتشاف البيانات السرية في ملفات PDF التي تحتوي على صور فقط أو ملفات PDF التي تحتوي على صور مضمنة وتنقيحها. كما تزيل هذه التقنية أيضاً البيانات الوصفية التي تحتوي على معلومات قد تكون سرية مثل الاسم والشركة والموضوع وموقع GPS والمؤلف وغير ذلك. سيتضمن الملف المنقح النهائي علامات مائية لتعزيز الأمان والمساءلة وإمكانية التتبع.

Proactive DLP هي تقنية OPSWAT في مجال منع فقدان البيانات، وهي أحد الحلول الرئيسية في MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosk، و MetaDefender Managed File Transfer. لمعرفة المزيد عن Proactive DLP وكيف يمكن لـ OPSWAT حماية مؤسستك، تحدث إلى أحد خبراء الأمن السيبراني للبنية التحتية الحيوية لدينا.

*شكر خاص لبيتر سيمون لاكتشافه هذه الحالة والتعامل معها. سيمون هو أحد مهندسي البرمجيات الموهوبين والمتفانين من فريق Proactive DLP .

مصادر إضافية ذات صلة:

• حظر محتوى التصيّد الاحتيالي بنظام منع فقدان البيانات مسبقًا Proactive DLP
• Proactive DLP يضيف دعمًا للتعرف الضوئي على الحروف (OCR)
• كشف وإزالة البيانات الحساسة في الصور المقتطعة المضمنة في ملفات Word باستخدام Proactive DLP (منع فقدان البيانات)