Следствие ведет Solar Dozor: 5 нестандартных дел, которые раскрыла DLP

Следствие ведет Solar Dozor: 5 нестандартных дел, которые раскрыла DLP
DLP-системы используются для защиты конфиденциальных данных компании и выявления сотрудников, сливающих эти данные. В большинстве случаев инженеры внедрения сталкиваются на проектах с типовыми инцидентами наподобие этих. Но иногда DLP-система неожиданно выявляет нарушения, на обнаружение которых даже не заточена.

Под катом – подборка самых необычных расследований, проводимых с помощью DLP.




Дело №1: «Солдат спит, служба идет»


Из материалов дела: «Компания X заказала пилотное внедрение Solar Dozor. В пилотную зону вошли десять сотрудников. На их компьютерах был установлен Endpoint Agent – модуль контроля активности пользователя на рабочей станции».

Почему-то трафик шел только с девяти компьютеров, десятый «молчал». Мы несколько раз все перепроверили, итог один: агент установлен, статус активный, система работает нормально, но трафик не идет. Причем по данным СКУД человек вовремя приходит и уходит с работы, значит, он точно в офисе.

Кто-то пошутил: «Может, он там просто спит?» Посмеялись, но решили проверить. Нам повезло: в офисе была установлена система скрытого видеонаблюдения. Вот что мы увидели: сотрудник приходит на работу вовремя, идет в свой кабинет, надевает темные очки и… действительно спит. В середине дня просыпается по будильнику и отправляется на обед, общается с коллегами, дает поручения, некоторое время даже разбирает бумаги и работает с договорами, а потом возвращается к себе и работает спит до конца рабочего дня.

Получается, человек на работе не пользуется компьютером, поэтому и трафик не идет. Так как X – крупная организация, без DLP-системы в огромном потоке данных руководство не замечало проблемы.



Что интересно, этот сотрудник все еще работает в компании X. Сам он уходить не собирается, а уволить его по статье нельзя: на работу он приходит вовремя, задачи закрывает, так как передает их подчиненным. А использовать в суде записи с камер скрытого видеонаблюдения незаконно: они устанавливаются для пожарной безопасности, а не для контроля сотрудников.

Дело №2: «Заслуженный донор»


Когда кто-то из сотрудников передает в отдел кадров электронную справку или больничный, Solar Dozor предупреждает службу безопасности. Документ может быть поддельным, лучше проверить.

Из материалов дела: «Сотрудник компании Y предоставил справку о сдаче крови в электронном виде. При проверке офицер службы безопасности обнаружил, что справка датирована завтрашним днем: на календаре был четверг, а кровь “была сдана” завтра».

Началось расследование инцидента. В первую очередь проверили подлинность данных о клинике и враче. Оказалось, ни такой организации, ни такого специалиста не существует. Было понятно: справка поддельная. Это подтвердил и анализ трафика «донора»: днем ранее он искал в интернете, где купить справку о сдаче крови, и сделал заказ на одном из сайтов. Как показала СКУД, вскоре после этого он ненадолго выходил из офиса. Возможно, для встречи с курьером?

Кроме данных о нарушениях Solar Dozor хранит историю коммуникаций сотрудников. В архиве нашлась интересная информация: «донор» заказал и распечатал не только справку, но и два билета на поезд в соседний город, как раз на день, когда «сдавал кровь».

Также обнаружился диалог сотрудника с женой. Они обсуждали, как здорово было бы в пятницу прогулять работу и поехать к родственникам. Тогда у них появилась идея подделать справку, ведь донору по закону положен один выходной.

Дело №3: «Продажа до кражи»


Это дело удалось расследовать благодаря возможности Solar Dozor анализировать служебные поля фотографий, где содержатся данные об устройстве, дата съемки, геолокация.

Из материалов дела: «В компании Z проводилось пилотное внедрение Solar Dozor. С рабочей станции одного из сотрудников была зафиксирована подозрительная активность на Avito».

Само по себе это не преступление: человек мог искать бытовую технику, одежду, детские вещи. Тем не менее, мы решили перестраховаться: запустили модуль Dozor File Crawler и проанализировали содержимое рабочей станции сотрудника. Среди прочего обнаружились фотографии электрощитов.

Тут заказчик вспомнил, что в компании были случаи пропажи щитов. Закрались подозрения, но требовалось больше доказательств.

Такие же фото щитов мы нашли на Avito, скачали их и сравнили служебные поля. Серийный номер телефона «подозреваемого» полностью совпал с моделью и серийным номером в служебных полях фотографий. Другие данные тоже были идентичны. Значит, на жестком диске и на Avito одни и те же фотографии. В служебных полях мы посмотрели геолокацию, забили данные в навигатор и нашли те самые щиты. Как мы и думали, они находились на объектах компании Z.

Как выяснилось, сотрудник выкладывал объявления о продаже щитов, а когда находился покупатель, выносил оборудование. Так он успел продать два щита и попался на третьей попытке.





Дело №4: «Зачем тебе антивирус? Ты и так красивая»


Из материалов дела: «Системный администратор компании B уже несколько раз попадался на нарушениях, поэтому попал в группу особого контроля. Solar Dozor отслеживал все его действия. Так в службу безопасности попала его переписка с секретарем».



Девушка уже не в первый раз жалуется, что компьютер тормозит. По переписке понятно: речь идет об антивирусе. Он регулярно обновляется или запускает проверку, из-за чего компьютер начинает подвисать. Системный администратор, даже не пытаясь решить проблему, просто «сносит» антивирус. Видно, что так он делает не в первый раз.

Казалось бы, просто халатность, но последствия весьма серьезны: машина уязвима, в периметре компании образуется брешь, о которой безопаснику ничего не известно.

Дело №5: Подделка документов на ремонт


Из материалов дела: «A – крупная организация – занимается поддержкой и ремонтом опор ЛЭП, подстанций и другого электрооборудования. В ней есть проверяющие, которые выезжают на объекты для оценки их состояния. Если есть неполадка, они фотографируют ее на служебный фотоаппарат и заводят заявку на ремонт. После этого формируется контракт, проводится тендер и выделяются деньги».

Одна заявка вызвала подозрения. Сотрудник, составляющий контракты, был уверен, что этот участок уже ремонтировался несколько лет назад. Решили проверить и заглянули в служебное поле присланной фотографии.



Оказалось, снимок был сделан год назад, координаты точки не совпадают с указанными в заявке, серийный номер фотоаппарата тоже не соотносится со служебным. Скорее всего, фотография была взята из интернета и не имела отношения к реальным объектам. На первый взгляд такой обман раскусить непросто, ведь все столбы в поле выглядят одинаково.



Информацию передали в службу собственной безопасности заказчика. В ходе расследования выяснилось, что тендер раз за разом выигрывала одна и та же компания, никакого ремонта не проводилось, а деньги просто делили.

В этих случаях не было кибератак или слива конфиденциальной информации. И все же благодаря вниманию к, казалось бы, незначительным аномалиям в действиях пользователей удалось предотвратить кражу, выявить подделку документов, обнаружить недобросовестных сотрудников. Так что не игнорируйте мелкие странности, о которых сообщает DLP, – иногда они значат не меньше, чем прямые алерты об утечке.
Alt text
Комментарии для сайта Cackle