DLP-системы используются для защиты конфиденциальных данных компании и выявления сотрудников, сливающих эти данные. В большинстве случаев инженеры внедрения сталкиваются на проектах с типовыми инцидентами наподобие этих. Но иногда DLP-система неожиданно выявляет нарушения, на обнаружение которых даже не заточена.
Под катом – подборка самых необычных расследований, проводимых с помощью DLP.
Из материалов дела: «Компания X заказала пилотное внедрение Solar Dozor. В пилотную зону вошли десять сотрудников. На их компьютерах был установлен Endpoint Agent – модуль контроля активности пользователя на рабочей станции».
Почему-то трафик шел только с девяти компьютеров, десятый «молчал». Мы несколько раз все перепроверили, итог один: агент установлен, статус активный, система работает нормально, но трафик не идет. Причем по данным СКУД человек вовремя приходит и уходит с работы, значит, он точно в офисе.
Кто-то пошутил: «Может, он там просто спит?» Посмеялись, но решили проверить. Нам повезло: в офисе была установлена система скрытого видеонаблюдения. Вот что мы увидели: сотрудник приходит на работу вовремя, идет в свой кабинет, надевает темные очки и… действительно спит. В середине дня просыпается по будильнику и отправляется на обед, общается с коллегами, дает поручения, некоторое время даже разбирает бумаги и работает с договорами, а потом возвращается к себе иработает спит до конца рабочего дня.
Получается, человек на работе не пользуется компьютером, поэтому и трафик не идет. Так как X – крупная организация, без DLP-системы в огромном потоке данных руководство не замечало проблемы.
Что интересно, этот сотрудник все еще работает в компании X. Сам он уходить не собирается, а уволить его по статье нельзя: на работу он приходит вовремя, задачи закрывает, так как передает их подчиненным. А использовать в суде записи с камер скрытого видеонаблюдения незаконно: они устанавливаются для пожарной безопасности, а не для контроля сотрудников.
Когда кто-то из сотрудников передает в отдел кадров электронную справку или больничный, Solar Dozor предупреждает службу безопасности. Документ может быть поддельным, лучше проверить.
Из материалов дела: «Сотрудник компании Y предоставил справку о сдаче крови в электронном виде. При проверке офицер службы безопасности обнаружил, что справка датирована завтрашним днем: на календаре был четверг, а кровь “была сдана” завтра».
Началось расследование инцидента. В первую очередь проверили подлинность данных о клинике и враче. Оказалось, ни такой организации, ни такого специалиста не существует. Было понятно: справка поддельная. Это подтвердил и анализ трафика «донора»: днем ранее он искал в интернете, где купить справку о сдаче крови, и сделал заказ на одном из сайтов. Как показала СКУД, вскоре после этого он ненадолго выходил из офиса. Возможно, для встречи с курьером?
Кроме данных о нарушениях Solar Dozor хранит историю коммуникаций сотрудников. В архиве нашлась интересная информация: «донор» заказал и распечатал не только справку, но и два билета на поезд в соседний город, как раз на день, когда «сдавал кровь».
Также обнаружился диалог сотрудника с женой. Они обсуждали, как здорово было бы в пятницу прогулять работу и поехать к родственникам. Тогда у них появилась идея подделать справку, ведь донору по закону положен один выходной.
Это дело удалось расследовать благодаря возможности Solar Dozor анализировать служебные поля фотографий, где содержатся данные об устройстве, дата съемки, геолокация.
Из материалов дела: «В компании Z проводилось пилотное внедрение Solar Dozor. С рабочей станции одного из сотрудников была зафиксирована подозрительная активность на Avito».
Само по себе это не преступление: человек мог искать бытовую технику, одежду, детские вещи. Тем не менее, мы решили перестраховаться: запустили модуль Dozor File Crawler и проанализировали содержимое рабочей станции сотрудника. Среди прочего обнаружились фотографии электрощитов.
Тут заказчик вспомнил, что в компании были случаи пропажи щитов. Закрались подозрения, но требовалось больше доказательств.
Такие же фото щитов мы нашли на Avito, скачали их и сравнили служебные поля. Серийный номер телефона «подозреваемого» полностью совпал с моделью и серийным номером в служебных полях фотографий. Другие данные тоже были идентичны. Значит, на жестком диске и на Avito одни и те же фотографии. В служебных полях мы посмотрели геолокацию, забили данные в навигатор и нашли те самые щиты. Как мы и думали, они находились на объектах компании Z.
Как выяснилось, сотрудник выкладывал объявления о продаже щитов, а когда находился покупатель, выносил оборудование. Так он успел продать два щита и попался на третьей попытке.
Из материалов дела: «Системный администратор компании B уже несколько раз попадался на нарушениях, поэтому попал в группу особого контроля. Solar Dozor отслеживал все его действия. Так в службу безопасности попала его переписка с секретарем».
Девушка уже не в первый раз жалуется, что компьютер тормозит. По переписке понятно: речь идет об антивирусе. Он регулярно обновляется или запускает проверку, из-за чего компьютер начинает подвисать. Системный администратор, даже не пытаясь решить проблему, просто «сносит» антивирус. Видно, что так он делает не в первый раз.
Казалось бы, просто халатность, но последствия весьма серьезны: машина уязвима, в периметре компании образуется брешь, о которой безопаснику ничего не известно.
Из материалов дела: «A – крупная организация – занимается поддержкой и ремонтом опор ЛЭП, подстанций и другого электрооборудования. В ней есть проверяющие, которые выезжают на объекты для оценки их состояния. Если есть неполадка, они фотографируют ее на служебный фотоаппарат и заводят заявку на ремонт. После этого формируется контракт, проводится тендер и выделяются деньги».
Одна заявка вызвала подозрения. Сотрудник, составляющий контракты, был уверен, что этот участок уже ремонтировался несколько лет назад. Решили проверить и заглянули в служебное поле присланной фотографии.
Оказалось, снимок был сделан год назад, координаты точки не совпадают с указанными в заявке, серийный номер фотоаппарата тоже не соотносится со служебным. Скорее всего, фотография была взята из интернета и не имела отношения к реальным объектам. На первый взгляд такой обман раскусить непросто, ведь все столбы в поле выглядят одинаково.
Информацию передали в службу собственной безопасности заказчика. В ходе расследования выяснилось, что тендер раз за разом выигрывала одна и та же компания, никакого ремонта не проводилось, а деньги просто делили.
В этих случаях не было кибератак или слива конфиденциальной информации. И все же благодаря вниманию к, казалось бы, незначительным аномалиям в действиях пользователей удалось предотвратить кражу, выявить подделку документов, обнаружить недобросовестных сотрудников. Так что не игнорируйте мелкие странности, о которых сообщает DLP, – иногда они значат не меньше, чем прямые алерты об утечке.
Под катом – подборка самых необычных расследований, проводимых с помощью DLP.
Дело №1: «Солдат спит, служба идет»
Из материалов дела: «Компания X заказала пилотное внедрение Solar Dozor. В пилотную зону вошли десять сотрудников. На их компьютерах был установлен Endpoint Agent – модуль контроля активности пользователя на рабочей станции».
Почему-то трафик шел только с девяти компьютеров, десятый «молчал». Мы несколько раз все перепроверили, итог один: агент установлен, статус активный, система работает нормально, но трафик не идет. Причем по данным СКУД человек вовремя приходит и уходит с работы, значит, он точно в офисе.
Кто-то пошутил: «Может, он там просто спит?» Посмеялись, но решили проверить. Нам повезло: в офисе была установлена система скрытого видеонаблюдения. Вот что мы увидели: сотрудник приходит на работу вовремя, идет в свой кабинет, надевает темные очки и… действительно спит. В середине дня просыпается по будильнику и отправляется на обед, общается с коллегами, дает поручения, некоторое время даже разбирает бумаги и работает с договорами, а потом возвращается к себе и
Получается, человек на работе не пользуется компьютером, поэтому и трафик не идет. Так как X – крупная организация, без DLP-системы в огромном потоке данных руководство не замечало проблемы.
Что интересно, этот сотрудник все еще работает в компании X. Сам он уходить не собирается, а уволить его по статье нельзя: на работу он приходит вовремя, задачи закрывает, так как передает их подчиненным. А использовать в суде записи с камер скрытого видеонаблюдения незаконно: они устанавливаются для пожарной безопасности, а не для контроля сотрудников.
Дело №2: «Заслуженный донор»
Когда кто-то из сотрудников передает в отдел кадров электронную справку или больничный, Solar Dozor предупреждает службу безопасности. Документ может быть поддельным, лучше проверить.
Из материалов дела: «Сотрудник компании Y предоставил справку о сдаче крови в электронном виде. При проверке офицер службы безопасности обнаружил, что справка датирована завтрашним днем: на календаре был четверг, а кровь “была сдана” завтра».
Началось расследование инцидента. В первую очередь проверили подлинность данных о клинике и враче. Оказалось, ни такой организации, ни такого специалиста не существует. Было понятно: справка поддельная. Это подтвердил и анализ трафика «донора»: днем ранее он искал в интернете, где купить справку о сдаче крови, и сделал заказ на одном из сайтов. Как показала СКУД, вскоре после этого он ненадолго выходил из офиса. Возможно, для встречи с курьером?
Кроме данных о нарушениях Solar Dozor хранит историю коммуникаций сотрудников. В архиве нашлась интересная информация: «донор» заказал и распечатал не только справку, но и два билета на поезд в соседний город, как раз на день, когда «сдавал кровь».
Также обнаружился диалог сотрудника с женой. Они обсуждали, как здорово было бы в пятницу прогулять работу и поехать к родственникам. Тогда у них появилась идея подделать справку, ведь донору по закону положен один выходной.
Дело №3: «Продажа до кражи»
Это дело удалось расследовать благодаря возможности Solar Dozor анализировать служебные поля фотографий, где содержатся данные об устройстве, дата съемки, геолокация.
Из материалов дела: «В компании Z проводилось пилотное внедрение Solar Dozor. С рабочей станции одного из сотрудников была зафиксирована подозрительная активность на Avito».
Само по себе это не преступление: человек мог искать бытовую технику, одежду, детские вещи. Тем не менее, мы решили перестраховаться: запустили модуль Dozor File Crawler и проанализировали содержимое рабочей станции сотрудника. Среди прочего обнаружились фотографии электрощитов.
Тут заказчик вспомнил, что в компании были случаи пропажи щитов. Закрались подозрения, но требовалось больше доказательств.
Такие же фото щитов мы нашли на Avito, скачали их и сравнили служебные поля. Серийный номер телефона «подозреваемого» полностью совпал с моделью и серийным номером в служебных полях фотографий. Другие данные тоже были идентичны. Значит, на жестком диске и на Avito одни и те же фотографии. В служебных полях мы посмотрели геолокацию, забили данные в навигатор и нашли те самые щиты. Как мы и думали, они находились на объектах компании Z.
Как выяснилось, сотрудник выкладывал объявления о продаже щитов, а когда находился покупатель, выносил оборудование. Так он успел продать два щита и попался на третьей попытке.
Дело №4: «Зачем тебе антивирус? Ты и так красивая»
Из материалов дела: «Системный администратор компании B уже несколько раз попадался на нарушениях, поэтому попал в группу особого контроля. Solar Dozor отслеживал все его действия. Так в службу безопасности попала его переписка с секретарем».
Девушка уже не в первый раз жалуется, что компьютер тормозит. По переписке понятно: речь идет об антивирусе. Он регулярно обновляется или запускает проверку, из-за чего компьютер начинает подвисать. Системный администратор, даже не пытаясь решить проблему, просто «сносит» антивирус. Видно, что так он делает не в первый раз.
Казалось бы, просто халатность, но последствия весьма серьезны: машина уязвима, в периметре компании образуется брешь, о которой безопаснику ничего не известно.
Дело №5: Подделка документов на ремонт
Из материалов дела: «A – крупная организация – занимается поддержкой и ремонтом опор ЛЭП, подстанций и другого электрооборудования. В ней есть проверяющие, которые выезжают на объекты для оценки их состояния. Если есть неполадка, они фотографируют ее на служебный фотоаппарат и заводят заявку на ремонт. После этого формируется контракт, проводится тендер и выделяются деньги».
Одна заявка вызвала подозрения. Сотрудник, составляющий контракты, был уверен, что этот участок уже ремонтировался несколько лет назад. Решили проверить и заглянули в служебное поле присланной фотографии.
Оказалось, снимок был сделан год назад, координаты точки не совпадают с указанными в заявке, серийный номер фотоаппарата тоже не соотносится со служебным. Скорее всего, фотография была взята из интернета и не имела отношения к реальным объектам. На первый взгляд такой обман раскусить непросто, ведь все столбы в поле выглядят одинаково.
Информацию передали в службу собственной безопасности заказчика. В ходе расследования выяснилось, что тендер раз за разом выигрывала одна и та же компания, никакого ремонта не проводилось, а деньги просто делили.
В этих случаях не было кибератак или слива конфиденциальной информации. И все же благодаря вниманию к, казалось бы, незначительным аномалиям в действиях пользователей удалось предотвратить кражу, выявить подделку документов, обнаружить недобросовестных сотрудников. Так что не игнорируйте мелкие странности, о которых сообщает DLP, – иногда они значат не меньше, чем прямые алерты об утечке.
