DLP-системы используются для защиты конфиденциальных данных компании и выявления сотрудников, допустивших утечку этих данных.
В большинстве случаев инженеры по внедрению сталкиваются в проектах с типичными инцидентами, подобными этим.
Но иногда DLP-система неожиданно обнаруживает нарушения, на обнаружение которых она даже не рассчитана.
Ниже — подборка самых необычных расследований, проведенных с помощью DLP. 
Случай №1: «Солдат спит, служба идет»
Из материалов дела: «Компания Х заказала пилотное внедрение «Солар Дозор».В пилотную зону вошли десять сотрудников.
На их компьютерах был установлен Endpoint Agent — модуль мониторинга активности пользователей на рабочей станции».
Трафик шел почему-то только с девяти компьютеров, десятый молчал.
Перепроверили все несколько раз, результат один: агент установлен, статус активен, система работает нормально, но трафика нет. Более того, по данным АСУ, человек приходит и уходит с работы вовремя, а значит, он точно находится в офисе.
Кто-то пошутил: «Может, он там просто спитЭ» Мы посмеялись, но решили проверить.
Нам повезло: в офисе была установлена система скрытого видеонаблюдения.
Вот что мы увидели: сотрудник приходит на работу вовремя, идет в свой кабинет, надевает темные очки и… собственно, спит. В середине дня он просыпается по будильнику и идет на обед, общается с коллегами, дает указания, даже какое-то время разбирает бумаги и работает с договорами, а потом возвращается в свою комнату и работает и спит до тех пор, пока не конец рабочего дня.
Получается, что человек на работе не пользуется компьютером, поэтому и трафика нет. Поскольку Х — крупная организация, без DLP-системы, руководство не заметило проблемы в огромном потоке данных.
Что интересно, этот сотрудник до сих пор работает в компании Х.
Сам он уходить не собирается, и его нельзя уволить по статье: он приходит на работу вовремя, выполняет задачи, так как делегирует их своим подчиненным.
А использовать в суде записи со скрытых камер видеонаблюдения незаконно: они установлены для пожарной безопасности, а не для наблюдения за сотрудниками.
Дело №2: «Почетный донор»
Когда кто-то из сотрудников передает в отдел кадров электронную справку или больничный, Солар Дозор оповещает службу безопасности.Документ может быть поддельным, лучше проверить.
Из материалов дела: «Сотрудник компании «Ы» предоставил справку о сдаче крови в электронном виде.
В ходе проверки силовик обнаружил, что справка датирована завтрашним днем: на календаре был четверг, а кровь «сдана» завтра».
Начато расследование инцидента.
Прежде всего мы проверили подлинность данных о клинике и враче.
Оказалось, что ни такой организации, ни такого специалиста не существует. Было ясно: сертификат фальшивый.
Это подтвердил анализ трафика «донора»: накануне он искал в Интернете, где купить справку о сдаче крови, и сделал заказ на одном из сайтов.
По данным системы контроля доступа, вскоре после этого он ненадолго покинул офис.
Возможно, встретить курьера? Помимо данных о нарушениях, Солар Дозор хранит историю общения сотрудников.
В архиве была найдена интересная информация: «донор» заказал и распечатал не только справку, но и два билета на поезд до соседнего города, ровно в тот день, когда он «сдал кровь».
Также был выявлен диалог между сотрудником и его женой.
Они обсуждали, как было бы здорово пропустить работу в пятницу и поехать к родственникам.
Тогда пришла идея подделать справку, ведь донор по закону имеет право на один выходной.
Дело №3: «Продажа до кражи»
Этот случай был расследован благодаря способности Solar Dozor анализировать служебные поля фотографий, которые содержат данные об устройстве, дате съемки и геолокации.Из материалов дела: «Компания Z провела пилотное внедрение «Солар Дозор».
Подозрительная активность на Авито зафиксирована с рабочего места одного из сотрудников».
Само по себе это не является преступлением: человек мог искать бытовую технику, одежду, детские вещи.
Однако мы решили перестраховаться: запустили модуль Dozor File Crawler и проанализировали содержимое рабочего места сотрудника.
Среди прочего были обнаружены фотографии электрощитов.
Потом заказчик вспомнил, что в компании были случаи отсутствия щитов.
Подозрения закрались, но нужны были дополнительные доказательства.
Нашли на Авито одинаковые фото щитов, скачали их и сравнили сферы обслуживания.
Серийный номер телефона «подозреваемого» полностью совпадал с моделью и серийным номером в служебных полях фотографий.
Остальные данные также были идентичными.
Это значит, что на жестком диске и на Авито одинаковые фотографии.
Посмотрели геолокацию в служебных полях, ввели данные в навигатор и нашли те самые щиты.
Как мы и думали, они находились на территории роты Z. Как выяснилось, сотрудник разместил объявления о продаже рекламных щитов, а когда нашелся покупатель, вывез оборудование.
Так ему удалось продать два щита и попасться с третьей попытки.
Кейс №4: «Зачем нужен антивирус? Ты уже красивая»
Из материалов дела: «Системный администратор компании «Б» уже несколько раз уличался в нарушениях, поэтому его поместили в специальную группу контроля.Солар Дозор отслеживал все его действия.
Так служба безопасности получила его переписку с секретарем».
Это не первый раз, когда девушка жалуется на медленный компьютер.
Из переписки понятно: речь идет об антивирусе.
Он регулярно обновляется или запускает сканирование, из-за чего ваш компьютер зависает. Сисадмин, даже не пытаясь решить проблему, просто уничтожает антивирус.
Судя по всему, он делает это не впервые.
Казалось бы, просто халатность, но последствия очень серьезные: машина уязвима, в периметре компании образуется брешь, о которой охранник ничего не знает.
Дело №5: Подделка документов на ремонт
Из материалов дела: «А, крупная организация, занимается обслуживанием и ремонтом опор электропередач, подстанций и другого электрооборудования.В нем есть инспекторы, которые посещают объекты, чтобы оценить их состояние.
Если есть проблема, ее фотографируют на фирменную камеру и подают заявку на ремонт. После этого оформляется контракт, проводится тендер и выделяются деньги».
Одно заявление вызвало подозрения.
Заказчик был уверен, что эта территория уже была отремонтирована несколько лет назад. Мы решили проверить и заглянули в служебное поле отправленной фотографии.
Оказалось, что фотография сделана год назад, координаты точки не совпадают с указанными в заявке, а серийный номер фотоаппарата также не соответствует сервисному номеру.
Скорее всего, фотография была взята из Интернета и не имела никакого отношения к реальным объектам.
На первый взгляд такой обман обнаружить нелегко, ведь все столбы на поле выглядят одинаково.
Информация была передана в собственную службу безопасности заказчика.
В ходе расследования выяснилось, что тендер раз за разом выигрывала одна и та же компания, никакого ремонта не проводилось, а деньги просто поделили.
Кибератак и утечек конфиденциальной информации в этих случаях не было.
И все же благодаря вниманию к, казалось бы, незначительным аномалиям в действиях пользователей удалось предотвратить кражу, обнаружить подделку документов, выявить недобросовестных сотрудников.
Так что не игнорируйте небольшие странности, о которых сообщает DLP — иногда они значат не меньше, чем прямые предупреждения об утечках.
Теги: #информационная безопасность #Управление персоналом #контроль сотрудников #dlp #dlp #расследование инцидентов
-
Выпуск Spree 0.10.0
19 Oct, 24 -
Первые Шаги К Здоровому Образу Жизни
19 Oct, 24
