«Будьте добры помедленнее, я записываю!» Как запись с микрофона рабочей станции помогает в расследованиях

«Будьте добры помедленнее, я записываю!» Как запись с микрофона рабочей станции помогает в расследованиях

Бывают случаи, когда функциональность записи звука с микрофона в DLP-системе становится очень весомым подспорьем для специалиста по безопасности при расследовании различных инцидентов. В этой статье мы собрали для вас яркие примеры из реальной жизни, как успешно использовать возможности записи звука с микрофона рабочей станции в расследованиях. А также рассказали, как мы реализовали эту функциональность в своей DLP-системе, чтобы она приносила максимальную пользу.

image

Зачем нужна запись звука с микрофона рабочей станции

Прежде чем приступить к разработке новой функции, мы собрали и проанализировали пару десятков сценариев, при которых запись звука с микрофона могла бы помочь в проведении расследований или получения другой важной для компании информации. Расскажу о некоторых из них.

Выявляем нарушителей среди сотрудников, взятых на карандаш либо в случае обнаружения подозрительных действий этих сотрудников в DLP-системе, либо в случае обращения других сотрудников компании в службу безопасности. Рассмотрим на конкретном примере.

В отдел ИБ обратился руководитель одного из подразделений компании. Он сообщил, что его подчиненный начал регулярно уходить из кабинета с ноутбуком в переговорные или на улицу для проведения телефонных разговоров. При этом, если руководитель заходил в помещение, в котором находился сотрудник, тот резко прерывал разговор. Если сотруднику задавались какие-либо вопросы, он начинал нервничать.

Специалист отдела ИБ решил поставить этого работника на особый контроль в DLP-систему. Сотрудника добавили в группу «Под подозрением» и в качестве дополнительной меры контроля настроили запись звука с микрофона рабочей станции через Endpoint-агент. Также специалист отдела ИБ попросил руководителя сообщать обо всех случаях подозрительной активности со стороны контролируемого работника.

Однажды руководитель вновь обнаружил, что сотрудник ведет подозрительный разговор по телефону. При этом старается говорить крайне тихо, подбирая очень странные слова, словно «шифруется». Руководитель сообщил о произошедшем в отдел ИБ. Безопасник оперативно подключился к прослушиванию записи микрофона с рабочей станции и обнаружил разговор, в процессе которого сотрудник озвучил набор имен и цифр. Также безопасник обратил внимание, что во время разговора сотрудник делал снимки с экрана рабочей станции. Просмотр снимков выявил, что сотрудник снимал скриншоты с базы данных VIP-клиентов компании.

Стало понятно, что сотрудник передавал конфиденциальную информацию из базы клиентов на сторону по телефону. Служба ИБ потребовала от него объяснений. В итоге сотрудник признался в содеянном: слив информации был заказан конкурентами.

В нашей практике было много подобных случаев, когда запись звука с микрофона помогала выявлять нарушителей. Так, по похожему сценарию один из заказчиков выявил сговор сотрудников складских помещений, успешно выносивших продукцию за периметр незаметно для охранных систем. После зафиксированных фактов недостачи на рабочих станциях в помещении стали вести запись звука с микрофонов, которая и помогла выявить нарушителей.

Контролируем сотрудников отдела продаж

Представим компанию, которая разрабатывает ИТ-продукты. В ней есть свой отдел продаж. При выезде к заказчикам сотрудники отдела занимаются демонстрацией продуктов. Руководителю отдела важно понимать, о чем и как говорят сотрудники с потенциальными заказчиками. Например, не предлагают ли приобрести продукт по какой-нибудь «серой» схеме или купить продукт конкурентов, не ругают ли продукт и т.д.

Такой контроль будет полезен и для понимания, что и как можно улучшить в плане навыков общения сотрудников с заказчиками, нужно ли подтянуть знания о продаваемом продукте.

«Черный ящик»

Классическая история из телеком-сферы. В техническом блоке есть дежурные смены, которые в случае возникновения аварийной ситуации на оборудовании обязаны по нормативам отреагировать в течение нескольких минут и устранить аварию в строго определенный срок. Но есть некоторые сотрудники, которые любят поспать на рабочем месте, выдергивают кабель из системы аварийного оповещения и отдыхают в свое удовольствие. А при разборе полетов инцидент подается как отказ оборудования, и оператор предъявляет претензии к производителю.

Для беспристрастного расследования такой ситуации хорошо иметь данные из нескольких объективных источников – с камер видеонаблюдения, с микрофона рабочей станции и ряда других. Запись звука поможет понять, как дежурный смены отеагировал на ситуацию, что говорил, связался ли с нужными специалистами, сделал ли необходимые звонки и т.п. Это, как черный ящик в самолете, – особенно полезно при расследованиях спорных и неоднозначных ситуаций.

Отметим, что оптимальным для такого сценария является функциональность, позволяющая выполнять запись только в те моменты, когда обнаружена человеческая речь (или иной шум). Иными словами, записывать тишину не нужно, чтобы не пришлось прослушивать большое количество пустых записей. Мы у себя в Solar Dozor реализовали запись звука с рабочей станции именно в таком рациональном режиме.

Украли ноутбук

Это может случиться абсолютно в любой организации. У сотрудника украли рабочий ноутбук, на котором хранилась конфиденциальная информация компании. Можно использовать запись звука с микрофона, чтобы выяснить, что происходит с ноутбуком, у кого он находится, где, как используется и прочие подробности. Установленный на ноутбуке агент DLP-системы при подключении машины к сети будет вести запись разговора злоумышленника и отправлять ее на сервер DLP-системы компании.

Как мы разрабатывали функцию записи звука с микрофона

А теперь расскажу о том, как мы реализовали функцию записи звука с микрофона так, чтобы она оптимально решала описанные задачи.

Часть первая. Аналитическая проработка

Прежде чем приступить к разработке этой функции, мы проанализировали полученные запросы на доработку от наших действующих и потенциальных заказчиков. В результате у нас получился весьма внушительных размеров список требований и пожеланий. На реализацию всего перечня ушли бы годы, поэтому мы приоритизировали требования и сначала решили реализовать то, что необходимо для решения ключевых задач. А именно:

  • прослушивание записей прямо в интерфейсе DLP-системы,
  • скачивание и удаление записей,
  • просмотр снимков экрана, которые были сделаны во время записи звука,
  • отображение записей за определенный промежуток времени (фильтр) и ряд других.

Стоит упомянуть, что перед нами был непростой выбор – сделать в первую очередь запись или трансляцию звука. Запрос был и на то, и на другое, но мы все же выбрали функцию записи. Как мы в итоге вышли из этой непростой ситуации – расскажу ниже.

В конце аналитического этапа мы получили концепцию, которая была согласована с архитекторами, владельцами продуктов и самое главное – со стейкхолдерами.

Часть вторая. PBR

После определения основного перечня функций и согласования концепции начался процесс под названием PBR. На этой стадии мы презентовали концепцию командам разработчиков и составили так называемый Example Mapping. Иными словами, мы обсудили, как именно будем реализовывать данную функциональность. Разбили всё на истории.

Так мы сформировали окончательные требования для функционала, подготовили все необходимые макеты, у всех участников процесса разработки появилось понимание всех особенностей фичи.

В случае с записью звука данный этап был весьма небыстрым. Наша DLP-система обладает очень обширными функциональными возможностями и особенностями. Пришлось многое проработать и учесть влияние изменений на уже имеющиеся в продукте функции. Ну и, конечно, на стороне Endpoint-агента, который мы активно развиваем, необходимо было реализовать значительную часть доработок.

В итоге, благодаря слаженной коллективной работе задача была решена, а все сформированные истории получили заветный статус «Ready for Development» (готов к разработке).

Часть третья. Разработка

Несмотря на то, что на этапе PBR мы всё подробно разобрали, в процессе разработки всё же встречались моменты, которые мы упустили из виду. Важно, что такие моменты вовремя подсвечивались и благодаря оперативным дополнительным обсуждениям все вопросы закрывались в кратчайшие сроки. В этом прелесть гибкой разработки.

При возникновении спорных ситуаций мы иногда подключали наших заказчиков как основных выгодоприобретателей от будущей функциональности. Надо сказать, что это постоянная практика в нашем процессе разработки новых функций, которая позволяет нам не реализовывать лишние и одновременно не упустить важные для заказчика возможности.

В процессе создания функции записи звука с микрофона разработчики также увидели, какие возможности основного продукта можно дополнительно улучшить, а где можно оптимизировать код. То есть разработка дополнительной фичи принесла существенную пользу и основному продукту.

Что в итоге получили заказчики

Итак, какими возможностями записи звука с микрофона в Solar Dozor теперь может пользоваться офицер ИБ.

Очень удобно, что запись звука запускается в пару кликов: нашли нужную персону, открыли карточку и нажали кнопку «Запись звука». Всё.

Для прослушивания записей пользователю Solar Dozor нужно перейти в раздел «Записи с микрофона».

При наличии у контролируемого сотрудника нескольких рабочих станций можно выбрать нужную станцию для записи. Каждый пользователь Solar Dozor работает со своим списком персон, с рабочих станций которых нужно вести запись звука с микрофона. Управление записью выполняется в специально предназначенном для этого окне.

Окно открывается при нажатии на специальный значок в верхней части интерфейса системы. В данном окне выводится вся необходимая информация о процессе записи.

Замечу, что мы проработали множество сценариев, которые могут возникать в процессе использования функции. Например, у записываемой персоны может оказаться выключен микрофон, или станция может быть отключена от сети. Подобные ситуации нами учтены, и в каждом отдельно взятом случае выполняется определенное действие со стороны системы: например, запись приостанавливается, если вокруг рабочей станции тишина.

Для всех таких случаев предусмотрен вывод соответствующих статусов и уведомлений, понятных пользователю.

Прослушивать записи можно непосредственно в интерфейсе системы, но, если нужно, пользователь всегда может их скачать и прослушать любым удобным для себя способом.

Также в интерфейсе можно отобразить нужные аудиозаписи, воспользовавшись фильтром. Например, можно выбрать записи за сегодняшний день, за вчерашний, за неделю.

Для каждой аудиозаписи отображается следующая информация:

  • ндикатор воспроизведения аудиозаписи (кнопка воспроизведения для начала прослушивания записи/индикатор воспроизведения записи с возможностью приостановки);
  • дата и время начала и окончания записи»
  • длительность записи»
  • информация о рабочей станции;
  • индикатор наличия снимков экрана, которые были сделаны в период формирования аудиозаписи, а также возможность их отображения и просмотра;
  • время воспроизведения (для прослушиваемой аудиозаписи).

Для удобства работы с аудиозаписями можно их отсортировать по времени старта. Аудиозаписи помимо скачивания и прослушивания можно также и удалять, выбрав одну или сразу несколько записей.

В целях соблюдения дополнительных мер безопасности заказчику может быть необходимо разграничение доступа к функции записи звука, а также к прослушиванию аудиозаписей. При необходимости, можно дать пользователю DLP-системы права на запись и/или прослушивание записей конкретных сотрудников или групп сотрудников.

Пользователям Solar Dozor доступны настройка ротации хранилища аудиозаписей и срока хранения медиаинформации. Механизм ротации в соответствии с выбранным режимом работы защищает хранилище аудиозаписей от переполнения. Например, можно задать автоматическое удаление самых старых записей, чтобы на освободившемся месте сохранять новые (аналогично работе автомобильного видеорегистратора). Также можно выполнять перемещение записей на выбранный локальный носитель или FTP-сервер. Поэтому разработчики системы предусмотрели для пользователей возможность самостоятельно задать режим и периодичность ротации.

Как уже видно из сказанного выше, мы реализовали развитый механизм настройки функции записи звука с рабочей станции. Так, например, можно задать максимальную длительность записи и длительность тишины для приостановки записи (эта возможность позволяет нашим заказчикам самим выбирать, через какое время после «наступления тишины» необходимо приостанавливать запись звука).

И самое главное – функция записи реализована таким образом, что после запуска буквально через пару минут в интерфейсе Solar Dozor можно начать прослушивание происходящего «на той стороне». Это возможно благодаря тому, что каждую минуту Endpoint агент присылает порции записей, а затем в интерфейсе Solar Dozor все части объединяются в единую аудиозапись. Так заказчик получает и запись, и практически онлайн-трансляцию звука с микрофона «в одном флаконе». Именно так мы изящно решили непростую задачу одновременной реализации двух механизмов, равно приоритетных для заказчика, о которой я упоминал выше.

Выводы

Сама по себе запись звука с микрофона рабочей станции сотрудника – это не что-то уникальное. Многие современные DLP-системы имеют эту функцию. Но что действительно важно, так это качество ее реализации, широта возможностей механизма и решаемых с его помощью задач.

Функция записи с микрофона рабочей станции в Solar Dozor, дополняя другие инструменты расследования, позволяет заказчику оперативно подтверждать или опровергать факты нарушений в организации. Очень важной для оперативных расследований является возможность получить запись звука именно в нужный момент и очень быстро, фактически в реальном времени. Это особенно значимо, когда есть информация о подозрительном поведении сотрудника или когда нарушение уже выявлено и необходимо собрать доказательства. А для проведения глубокого комплексного расследования функция поможет дополнить информацию, полученную из других источников.

Запись звука с микрофона рабочей станции полезна для выявления участников различных незаконных схем. Например, при анализе общения сотрудника компании с партнерами и клиентами. А для руководителей это еще и помощь в анализе поведения ключевых сотрудников при принятии решения об их назначении на важные проекты.

Также функция является большим подспорьем в принятии предупредительных мер для профилактики различных нарушений.

Автор: Михаил Моисеев, старший аналитик Центра продуктов Dozor компании «Ростелеком-Солар»


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!