Главная » Хабрахабр » Следствие ведет Solar Dozor: 5 нестандартных дел, которые раскрыла DLP

Следствие ведет Solar Dozor: 5 нестандартных дел, которые раскрыла DLP

DLP-системы используются для защиты конфиденциальных данных компании и выявления сотрудников, сливающих эти данные. В большинстве случаев инженеры внедрения сталкиваются на проектах с типовыми инцидентами наподобие этих. Но иногда DLP-система неожиданно выявляет нарушения, на обнаружение которых даже не заточена.

Под катом – подборка самых необычных расследований, проводимых с помощью DLP.

Дело №1: «Солдат спит, служба идет»

Из материалов дела: «Компания X заказала пилотное внедрение Solar Dozor. В пилотную зону вошли десять сотрудников. На их компьютерах был установлен Endpoint Agent – модуль контроля активности пользователя на рабочей станции».

Мы несколько раз все перепроверили, итог один: агент установлен, статус активный, система работает нормально, но трафик не идет. Почему-то трафик шел только с девяти компьютеров, десятый «молчал». Причем по данным СКУД человек вовремя приходит и уходит с работы, значит, он точно в офисе.

Нам повезло: в офисе была установлена система скрытого видеонаблюдения. Кто-то пошутил: «Может, он там просто спит?» Посмеялись, но решили проверить. В середине дня просыпается по будильнику и отправляется на обед, общается с коллегами, дает поручения, некоторое время даже разбирает бумаги и работает с договорами, а потом возвращается к себе и работает спит до конца рабочего дня. Вот что мы увидели: сотрудник приходит на работу вовремя, идет в свой кабинет, надевает темные очки и… действительно спит.

Так как X – крупная организация, без DLP-системы в огромном потоке данных руководство не замечало проблемы. Получается, человек на работе не пользуется компьютером, поэтому и трафик не идет.

Сам он уходить не собирается, а уволить его по статье нельзя: на работу он приходит вовремя, задачи закрывает, так как передает их подчиненным. Что интересно, этот сотрудник все еще работает в компании X. А использовать в суде записи с камер скрытого видеонаблюдения незаконно: они устанавливаются для пожарной безопасности, а не для контроля сотрудников.

Дело №2: «Заслуженный донор»

Когда кто-то из сотрудников передает в отдел кадров электронную справку или больничный, Solar Dozor предупреждает службу безопасности. Документ может быть поддельным, лучше проверить.

При проверке офицер службы безопасности обнаружил, что справка датирована завтрашним днем: на календаре был четверг, а кровь “была сдана” завтра». Из материалов дела: «Сотрудник компании Y предоставил справку о сдаче крови в электронном виде.

В первую очередь проверили подлинность данных о клинике и враче. Началось расследование инцидента. Было понятно: справка поддельная. Оказалось, ни такой организации, ни такого специалиста не существует. Как показала СКУД, вскоре после этого он ненадолго выходил из офиса. Это подтвердил и анализ трафика «донора»: днем ранее он искал в интернете, где купить справку о сдаче крови, и сделал заказ на одном из сайтов. Возможно, для встречи с курьером?

В архиве нашлась интересная информация: «донор» заказал и распечатал не только справку, но и два билета на поезд в соседний город, как раз на день, когда «сдавал кровь». Кроме данных о нарушениях Solar Dozor хранит историю коммуникаций сотрудников.

Они обсуждали, как здорово было бы в пятницу прогулять работу и поехать к родственникам. Также обнаружился диалог сотрудника с женой. Тогда у них появилась идея подделать справку, ведь донору по закону положен один выходной.

Дело №3: «Продажа до кражи»

Это дело удалось расследовать благодаря возможности Solar Dozor анализировать служебные поля фотографий, где содержатся данные об устройстве, дата съемки, геолокация.

С рабочей станции одного из сотрудников была зафиксирована подозрительная активность на Avito». Из материалов дела: «В компании Z проводилось пилотное внедрение Solar Dozor.

Тем не менее, мы решили перестраховаться: запустили модуль Dozor File Crawler и проанализировали содержимое рабочей станции сотрудника. Само по себе это не преступление: человек мог искать бытовую технику, одежду, детские вещи. Среди прочего обнаружились фотографии электрощитов.

Закрались подозрения, но требовалось больше доказательств. Тут заказчик вспомнил, что в компании были случаи пропажи щитов.

Серийный номер телефона «подозреваемого» полностью совпал с моделью и серийным номером в служебных полях фотографий. Такие же фото щитов мы нашли на Avito, скачали их и сравнили служебные поля. Значит, на жестком диске и на Avito одни и те же фотографии. Другие данные тоже были идентичны. Как мы и думали, они находились на объектах компании Z. В служебных полях мы посмотрели геолокацию, забили данные в навигатор и нашли те самые щиты.

Так он успел продать два щита и попался на третьей попытке. Как выяснилось, сотрудник выкладывал объявления о продаже щитов, а когда находился покупатель, выносил оборудование.

Дело №4: «Зачем тебе антивирус? Ты и так красивая»

Из материалов дела: «Системный администратор компании B уже несколько раз попадался на нарушениях, поэтому попал в группу особого контроля. Solar Dozor отслеживал все его действия. Так в службу безопасности попала его переписка с секретарем».

Девушка уже не в первый раз жалуется, что компьютер тормозит. По переписке понятно: речь идет об антивирусе. Он регулярно обновляется или запускает проверку, из-за чего компьютер начинает подвисать. Системный администратор, даже не пытаясь решить проблему, просто «сносит» антивирус. Видно, что так он делает не в первый раз.

Казалось бы, просто халатность, но последствия весьма серьезны: машина уязвима, в периметре компании образуется брешь, о которой безопаснику ничего не известно.

Дело №5: Подделка документов на ремонт

Из материалов дела: «A – крупная организация – занимается поддержкой и ремонтом опор ЛЭП, подстанций и другого электрооборудования. В ней есть проверяющие, которые выезжают на объекты для оценки их состояния. Если есть неполадка, они фотографируют ее на служебный фотоаппарат и заводят заявку на ремонт. После этого формируется контракт, проводится тендер и выделяются деньги».

Сотрудник, составляющий контракты, был уверен, что этот участок уже ремонтировался несколько лет назад. Одна заявка вызвала подозрения. Решили проверить и заглянули в служебное поле присланной фотографии.

Скорее всего, фотография была взята из интернета и не имела отношения к реальным объектам. Оказалось, снимок был сделан год назад, координаты точки не совпадают с указанными в заявке, серийный номер фотоаппарата тоже не соотносится со служебным. На первый взгляд такой обман раскусить непросто, ведь все столбы в поле выглядят одинаково.

В ходе расследования выяснилось, что тендер раз за разом выигрывала одна и та же компания, никакого ремонта не проводилось, а деньги просто делили. Информацию передали в службу собственной безопасности заказчика.

И все же благодаря вниманию к, казалось бы, незначительным аномалиям в действиях пользователей удалось предотвратить кражу, выявить подделку документов, обнаружить недобросовестных сотрудников. В этих случаях не было кибератак или слива конфиденциальной информации. Так что не игнорируйте мелкие странности, о которых сообщает DLP, – иногда они значат не меньше, чем прямые алерты об утечке.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Нейронные сети с нуля. Обзор курсов и статей на русском языке, бесплатно и без регистрации

На Хабре периодически появляются обзоры курсов по машинному обучению. Но такие статьи чаще добавляют в закладки, чем проходят сами курсы. Причины для этого разные: курсы на английском языке, требуют уверенного знания матана или специфичных фреймворков (либо наоборот не описаны начальные ...

Как не выстрелить себе в ногу из конечного автомата

Конечный автомат редко применяется мобильными разработчиками. Хотя большинство знает принципы работы и легко реализует его самостоятельно. В статье разберемся, какие задачи решаются конечным автоматом на примере iOS-приложений. Рассказ носит прикладной характер и посвящен практическим аспектам работы. Под катом вы найдете дополненную расшифровку выступления Александра Сычева ...