17 Февраля, 2014

Неприятность эту мы переживём

Роман Идов


Мотивы инсайдеров не сильно варьируются от случая к случаю, и в общем виде укладываются в простой список:
·         Месть (коллегам, работодателю, несправедливой системе и т.д.);
·         Деньги (продать информацию самостоятельно, красть информацию по наводке, красть информацию для того, чтобы открыть собственный бизнес);
·         Идея (например, обострённое чувство справедливости, как у небезызвестного Сноудена).

И сегодня мне бы хотелось вспомнить простую ситуацию, связанную с местью. Представьте себе, сотрудник увольняется и в качестве «дембельского аккорда» (копирует и) удаляет некоторую информацию. Зачем он это делает? Например, из-за того, что он вложил в её создание много сил и теперь считает справедливым последовать примеру Карандышева из «Бесприданницы» с криками «Так не доставайся же ты никому!».

В итоге, задачу можно разделить на две подзадачи: во-первых, нужно выяснить, какую информацию удалял пользователь и удалял ли он её вообще; во-вторых, восстановить данные в том случае, если они были удалены.

Для первого шага понадобится DLP-система. В частности, у нашего «Контура» есть модуль под названием «FileSniffer», в задачу которого как раз и входит ведение журнала «телодвижений» пользователя с файлами. Выдача выглядит так:


На первый взгляд проще будет удавиться, чем разобраться в этой простыне. Но это впечатление ошибочное. Во-первых, никто не отменял фильтрацию: по дате, учётке пользователя, произведённому действию с файлом и т.п. А во-вторых, приглядитесь к серой полоске вверху выдачи. Это блок, в котором можно сортировать выдачу, создавая цепочки условий.

В итоге, всё сводится к паре нехитрых манипуляций:
1.      Определить период времени, за которых мы хотим увидеть выдачу.
2.      Отсортировать выдачу по действию с файлом (удаление).
3.      В качестве дополнительного условия отсортировать по пользователю.


Можно было эти значения сразу в фильтрах задавать, кстати. Теперь перед нами все файлы, которые пользователь удалил за указанный период. Проанализировав столбец «Имя файла» мы увидим все пути к файлам, то есть сможем узнать, в каких директориях напакостили. Дальше – этап восстановления.

А вот этого DLPделать не умеет. Поэтому для восстановления используется сторонний софт. Когда «гром грянул» мне помогла утилита от Hetman Partition Recovery одноимённой компании, найденная в закромах админских recovery-дисков. Честно сказать, пробовал подряд (чуть ли не по алфавиту), но здесь получился вменяемый результат. Глянуть, что умеет утилита и как выглядит можно здесь . Дабы не порождать холивары, сразу скажу: чем она лучше – не знаю.
или введите имя

CAPTCHA
18 Февраля, 2014
Нихьт френдли юзер
Securitylab! Когда же вы сделаете лайтбоксы для просмотра картинок? Нихьт френдли юзер интерфейс для изображений.
0 |
  • Поделиться
  • Ссылка
Прохожий
18 Февраля, 2014
Ну-ну, утилиты типа Eraser (в том числе его вариант Portable) никто вроде не отменял. Понятно, что пользователю можно постараться все равно "предъявить", но про содержимое можно забыть наверняка. Кстати, при затирании пустого места он создает очень много "мусорных" файлов которые тоже фильтровать надо, конечно если DLP в принципе его файловую активность перехватывает.
0 |
  • Поделиться
  • Ссылка
чепчерицо
20 Февраля, 2014
Забыть про содержимое можно не всегда. В частности, если человек сначала файлы каким-либо образом передал\скопировал, а только потом удалил. Дело в том, что в настройках того же "КИБ SearchInform" есть различные опции вида "Хранить тексты перехваченных документов в индексе" и "Хранить в индексе весь документ целиком". Очевидно, что при включении второй опции, сам документ останется в недрах DLP, даже если с машины его удалят. Это что касается варианта "передал-удалил". А если просто "удалил"? Тоже не беда. Есть такая штука, как ИРС (индексация рабочих станций). У других вендоров по-другому называется. В этом случае агент "занюхивает" всю информацию с дискового пространства. Область можно ограничить вплоть до отдельно взятой папки. Сам же агент всё чаще ставят не на машины сотрудников, а на файл-сервера.
0 |
Oleg
21 Февраля, 2014
Не вопрос. Только вот что делать. если содержимое файла будет "оплёвано" нулями или мусором? Все варианты в индексе хранить - места не хватит, а данные всё равно нерабочие. Сохранять все изменения по мере их появления - хранилище изменений будет быстро переполнено... В общем, это вечная тема соревнования снаряда и брони. ИМХО.
0 |
  • Поделиться
  • Ссылка
26 Февраля, 2014
Snapshot-ы ФС )))
0 |