17 Февраля, 2014

Неприятность эту мы переживём

СёрчИнформ


Мотивы инсайдеров не сильно варьируются от случая к случаю, и в общем виде укладываются в простой список:
·         Месть (коллегам, работодателю, несправедливой системе и т.д.);
·         Деньги (продать информацию самостоятельно, красть информацию по наводке, красть информацию для того, чтобы открыть собственный бизнес);
·         Идея (например, обострённое чувство справедливости, как у небезызвестного Сноудена).

И сегодня мне бы хотелось вспомнить простую ситуацию, связанную с местью. Представьте себе, сотрудник увольняется и в качестве «дембельского аккорда» (копирует и) удаляет некоторую информацию. Зачем он это делает? Например, из-за того, что он вложил в её создание много сил и теперь считает справедливым последовать примеру Карандышева из «Бесприданницы» с криками «Так не доставайся же ты никому!».

В итоге, задачу можно разделить на две подзадачи: во-первых, нужно выяснить, какую информацию удалял пользователь и удалял ли он её вообще; во-вторых, восстановить данные в том случае, если они были удалены.

Для первого шага понадобится DLP-система. В частности, у нашего «Контура» есть модуль под названием «FileSniffer», в задачу которого как раз и входит ведение журнала «телодвижений» пользователя с файлами. Выдача выглядит так:


На первый взгляд проще будет удавиться, чем разобраться в этой простыне. Но это впечатление ошибочное. Во-первых, никто не отменял фильтрацию: по дате, учётке пользователя, произведённому действию с файлом и т.п. А во-вторых, приглядитесь к серой полоске вверху выдачи. Это блок, в котором можно сортировать выдачу, создавая цепочки условий.

В итоге, всё сводится к паре нехитрых манипуляций:
1.      Определить период времени, за которых мы хотим увидеть выдачу.
2.      Отсортировать выдачу по действию с файлом (удаление).
3.      В качестве дополнительного условия отсортировать по пользователю.


Можно было эти значения сразу в фильтрах задавать, кстати. Теперь перед нами все файлы, которые пользователь удалил за указанный период. Проанализировав столбец «Имя файла» мы увидим все пути к файлам, то есть сможем узнать, в каких директориях напакостили. Дальше – этап восстановления.

А вот этого DLPделать не умеет. Поэтому для восстановления используется сторонний софт. Когда «гром грянул» мне помогла утилита от Hetman Partition Recovery одноимённой компании, найденная в закромах админских recovery-дисков. Честно сказать, пробовал подряд (чуть ли не по алфавиту), но здесь получился вменяемый результат. Глянуть, что умеет утилита и как выглядит можно здесь . Дабы не порождать холивары, сразу скажу: чем она лучше – не знаю.
comments powered by Disqus