Всем привет! Меня зовут Екатерина Ратнер, я старший аналитик в проекте Solar Dozor — первой в России корпоративной DLP-системе, которая используется организациями страны и СНГ уже более 20 лет.

Одной из главных задач DLP-систем является защита информации в разных форматах, включая звук. Запись звука – обычная функция DLP-систем, в реальности же проанализировать все аудиозаписи сотрудников и найти в них угрозы – трудоемкая задача, которая занимает массу времени и ресурсов офицеров безопасности. К счастью, в новой версии Solar Dozor 8.0 появилась функция автоматического перевода речи в текст. Система с помощью нейросети распознает речь более чем на 50 языках, переводит ее в текст, после чего автоматически проверяет политиками безопасности, при необходимости регистрирует инциденты.

В этой статье я расскажу, как работает наш новый модуль распознавания звука, как выбрать подходящую модель распознавания и приведу пример реального кейса в части пресечения попыток злонамеренных действий сотрудников с его помощью.

Зачем распознавать аудиозаписи, если их можно прослушать

Время — деньги

Специалист безопасности ежедневно обрабатывает огромное количество данных разного формата – сообщения, изображения, видеозаписи, скриншоты, аудиозаписи. Утечка может произойти в самый неожиданный момент. Поэтому так важно тщательно анализировать этот поток данных, чтобы ничего не упустить. А если злоумышленник «слил» конфиденциальные данные во время разговора по видеосвязи или телефонной беседе? Даже если специалист уже заподозрил конкретного человека, ему могут понадобиться десятки часов, чтобы прослушать аудиозаписи и выяснить, есть ли в них угроза утечки конфиденциальных данных.

Все мы люди

Нельзя забывать, что работа с большим объемом однотипных данных всегда увеличивает риск человеческой ошибки. В текущих реалиях даже самый высококлассный специалист безопасности может отвлечься во время анализа аудиозаписей и пропустить что-то важное. В перспективе это может привести к серьезным упущениям, а в худшем случае — к большим потерям для компании.

Где найти столько сотрудников?

Анализ аудиозаписей – трудоёмкая задача для специалистов безопасности. Чтобы проработать одного человека, может уйти несколько дней. Для подобных задач в крупной компании нужен полноценный штат специалистов, которые будут заниматься исключительно этой работой. Не каждая организация может себе позволить такие расходы.

Как мы реализовали перевод аудиозаписей в текст в Solar Dozor 8.0

Функция перевода аудиозаписей в текст помогает в вопросах информационной, экономической и внутренней безопасности. Это дает специалистам полезный материал для расследований и может сильно повлиять на их дальнейшую работу. Поэтому мы пришли к выводу, что такая функция просто необходима в DLP-системе.

Важно оговориться, что поскольку задачи DLP-системы и службы безопасности сосредоточены на выявлении инцидентов информационной и экономической безопасности, функция записи звукового окружения рабочей станции обычно используется при необходимости мониторинга переговоров потенциального нарушителя. Объективный точечный подход к контролю позволяет избежать избыточной нагрузки на систему, сохраняет ее быстродействие и не требует дополнительных мощностей для обработки и хранения голосовой информации. Таким образом, запись звукового окружения АРМ и ее транскрибация являются частью расследования, а не инструментом регулярного мониторинга. Но даже в случае необходимости контроля переговоров отдельно взятого злоумышленника трудозатраты на анализ аудиозаписей очень высоки.

Таким образом, мы решили не ограничиваться только возможностью перевода речи в текст, потому что обработка большого объема переведенных записей все равно требует много усилий и может зависеть от человеческого фактора. При изучении аудиозаписей офицер безопасности не знает точно, в какой момент была озвучена информация, представляющая интерес для безопасности, соответственно «поймать» критические данные довольно сложно. Поэтому мы добавили функцию обработки текстов по правилам политики с учетом ключевых слов. Важно понимать, что стандартные политики, которые контролируют трафик, не подойдут для анализа аудиозаписей. Их нужно настраивать под конкретные задачи. Например, можно настроить политику на ключевые слова, которые интересуют специалиста безопасности в рамках расследования или могут помочь выявить возможные нарушения. Такие политики позволят быстро обработать данные и найти признаки события безопасности.

Выбор модели распознавания – первый шаг к реализации

Первым и самым важным шагом в разработке модуля распознавания речи стал выбор подходящей модели. Этот процесс потребовал всестороннего анализа существующих алгоритмов с разными характеристиками. Правильный выбор модели на этом этапе определил не только эффективность конечного решения, но и его способность справляться с реальными задачами пользователей, что крайне важно для успеха всего модуля.

Мы провели ряд исследований чтобы выбрать лучшую модель. В итоге остановились на модели распознавания речи, которая победила по следующим критериям:

• Высокое качество распознавания

• Оперативность распознавания

• Низкое потребление ресурсов

• Безопасность кода движка

• Возможность использования в закрытом периметре (on premise)

• Поддержка более 50 языков

Развертывание на GPU

Говоря о новом модуле распознавания речи в Solar Dozor 8.0 важно упомянуть, что его можно развернуть на серверах с GPU. Это не только даст нашим заказчикам высокую производительность и скорость работы DLP-системы, но также поможет снизить общие затраты на владение (ТСО). Аудиозаписи можно будет оперативно переводить в текст без потери производительности системы.

Как это работает в Solar Dozor

Чтобы перевести аудиозаписи в текст, офицеру ИБ нужно зайти в досье интересуемого человека, выбрать одну или несколько записей для распознавания. Для того чтобы запустить распознавание одной записи, специалист просто нажимает «Перевести в текст» в строке.

После этого нажимает в модальном окне кнопку «Выполнить» и выбирает чек-бокс «Принудительно распознать аудиозаписи», если распознавание запускается уже не в первый раз.

Когда распознавание будет завершено, кнопка «Скачать распознанный текст» станет активна и при нажатии переведенная в текст аудиозапись автоматически сохранится на рабочую станцию офицера ИБ:

Для распознавания нескольких или всех записей, офицер ИБ может выделить их и нажать кнопку «Перевести в текст». Удобно, что нет необходимости работать с каждой записью отдельно, можно запустить распознавание сразу по всем записям подозрительного сотрудника. Можно также массово скачать аудиозаписи и/или распознанный текст одним архивом:

Ключевая опция для специалиста ИБ – возможность проверить аудиозаписи по политике, чтобы выявить потенциальные/совершенные нарушения. Чтобы это сделать, в модальном окне нужно выбрать «Проверить текст с помощью правил политики» и выбрать набор правил. Правила политики должны быть настроены под конкретную задачу индивидуально для проверки аудиозаписей.

В поиске по сообщениям можно просмотреть текст распознанных записей, а также скачать их по ссылке. Если сработала политика и/или создано событие, то в сообщении это тоже будет отображено.

Кейс применения

В строительной компании работал ведущий менеджер N. Он трудился удаленно – чаще всего из дома или в коворкинге. На своей должности N имел доступ к критичным данным компании. Однажды среди сотрудников прошел слух, что кто-то из коллег собирается продать клиентскую базу. Специалисты ИБ решили проверить все аудиозаписи ведущих менеджеров с доступом к чувствительной информации с помощью модуля распознавания речи.

В процессе проверки обнаружилось событие безопасности, связанное с записями N. Выяснилось, что он по видеосвязи договаривался с некоторым внешним агентом о продаже клиентской базы. Позже он даже обсуждал с коллегой покупку недвижимости за полученное вознаграждение. В итоге отделу безопасности удалось предотвратить потенциальную утечку.

В завершении можно сказать, что функция распознавания речи в DLP — это действительно важный инструмент, который помогает вовремя выявлять потенциальные утечки чувствительной информации и проводить расследования. Благодаря модулю распознавания речи в Solar Dozor специалисты ИБ тратят гораздо меньше времени на работу, а эффективность повышается, поскольку можно проверять распознанные аудиозаписи по установленным политикам. Все это в итоге ведет к повышению общей удовлетворенности клиентов нашей системой и уровнем безопасности, который она обеспечивает.