Сегодня получил сертификат офицера информационной безопасности "по результатам прохождения мастер-класса: Комплексный подход к защите от внешних и внутренних угроз информационной безопасности". Правда, на начало опоздал и уйти пришлось рано - работа... Забавно, но из-за реальной утечки, пришлось пропустить часть семинара по утечкам.Но в той части, которую посетил, мероприятие меня порадовало. На это же мероприятие ранее, в Нижнем Новгороде, ходил друг и весьма лестно отзывался. Я, признаться, ожидал кучи рекламы DLP-системы организаторов (которую я, к тому же, успел пропилотировать)... и она, разумеется, была - но мы с ней как-то разминулись. Но что меня неожиданно порадовало?
Участникам предложили ряд кейсов, связанных с утечкой конфиденциальной информации (и не только). Решение, при наличие DLP-системы - очевидно (собственно, на что и расчет организаторов). Но нашей (зрителей) задачей было найти инсайдера "обходным путем".
Кейсов, правда, маловато... но зато они весьма интересны (обычно не в плане задачи, а в плане решения, которое применили "участники реальных событий", с которых и взят кейс). Например, что бы Вы сделали, если бы обнаружили на одном из "левых" форумов негативные отзывы о Вашей компании, причем с такими подробностями "внутренней кухни", про которые и в компании то не все знают... И при этом, периодически, появляются новые посты?
На мой взгляд, зрители перечислили все что можно... от "покупки" модератора, до методичного отсеивания тех, кто был занят во время появления сообщений на форуме... Но примененное решение оказалось весьма остроумным. Кажется, со своим "Road Show" ребята пока закончили, так что можно и сказать:
Сотрудники, расследующие инцидент, жмякнули на форуме кнопку "Забыли пароль?" и посмотрели кому в Exchange оно свалилось.Хотя, на мой взгляд, "расследователям" просто повезло... шанс, что регистрация была на корпоративном ящике, не велика. Лучший, наверное, предложенный вариант со сбором статистики с proxy - кто вообще ходит в компании на этот форум? Это, вместе с описанной выше техникой "сужения круга подозреваемых" дало бы неплохой результат.
Еще я бы попробовал воспользоваться теми учетными данными о пользователе, которые открыто светятся в его профиле - возможно, там будет дата рождения, да и пол может сузить наш круг (последний, во многих случаях, благодаря особенностям русского языка можно понять из текста сообщений). Кроме того, при сколь-нибудь уникальном сочетании символов в имени пользователя, я бы перерыл интернет в поисках такого же - просто невероятно, сколько люди оставляют в интернете следов...
P.S. Ах да, самое обидное, что уходить пришлось как раз тогда, когда персонал начал разливать вино для участников :)
