Практические примеры использования DLP-систем

Практические примеры использования DLP

Практические примеры использования DLP

Когда речь заходит о задачах, которые должна решать DLP-система, мнения могут кардинально отличаться: кто-то говорит, что это всего лишь средство для «подглядывания» и ничего хорошего в этом нет, кто-то без DLP не представляет себе полноценную систему корпоративной безопасности, но что же на практике? Какие задачи реально удается решить с помощью DLP-систем? В статье автор поделился своим опытом использования DLP.

 

 

 

  1. Введение
  2. Проверка настроек
  3. Пример №1. Удаление файлов
  4. Пример №2. Обсуждение коллег
  5. Пример №3. Увольнение
  6. Пример №4. Торги
  7. Пример №5. Опасные увлечения
  8. Выводы

 

Введение

За последние годы российский рынок DLP трансформируется на глазах. Потребности клиентов зачастую зависят от специфики их деятельности, но если еще недавно основное требование заключалась в сборе архивов для проведения расследований, то сейчас это графы связей, поведенческий анализ и действия на опережение для снижения рисков.

Для чего нужна DLP-система, каждая компания изначально решает самостоятельно и ставит перед собой определенные цели, но в процессе эксплуатации, в зависимости от желания и умения работать с системой, ориентиры могут меняться и ценность системы, соответственно, расти или падать.

Всем нам хорошо известно о возможностях DLP-систем, но наибольший интерес обычно вызывают реальные примеры использования. Когда именно практический опыт дает больше понимания, чем многочисленные маркетинговые материалы с возможностями перехвата.

В этом материале будут представлены реальные «легкие» примеры, которые, на наш взгляд, позволяют показать с разных сторон возможности DLP-систем и инструменты, используемые в  этих решениях.

 

Проверка настроек

Прежде чем начать заниматься аналитикой, необходимо проверить правила настройки DLP-системы. Если настройками и анализом занимается один и тот же человек, то он будет знать, какие форматы документов перехватываются, а какие в принципе добавлены в исключения или же размер перехватываемых файлов может быть установлен до определенной величины. Если же за установку отвечает один сотрудник, а за аналитику другой, то возможно, что результаты работы аналитика из-за этого будут неполноценны.

В различных DLP-системах некоторые настройки могут быть вшиты в ядро, тогда эту информацию необходимо уточнять дополнительно.

Постоянный мониторинг работоспособности серверной части системы и агентов на компьютерах сотрудников, может сильно выручить вас и весь проект в целом, ведь будет очень неприятной новостью, что когда надо проводить расследование, в известное время и на известном компьютере по каким-то причинам нет информации.

Одной из ценностей DLP является хранение информации, с помощью которой можно расследовать инцидент, контролируйте ее поступление и не теряйте.

 

Пример №1. Удаление файлов

У сотрудника на компьютере пропали очень важные документы по проекту, причем накануне они еще были доступны.

Компьютер сотрудника известен. Заявку на восстановление файлов сотрудник уже направил. IT-поддержка к компьютеру подключалась, но проблему на этом этапе решить не смогла.

В ходе анализа переписки сотрудника выяснилось, что он занимается неким проектом и не успевает закончить его к необходимому сроку.

После просмотра снимков экрана сотрудника было установлено, что он сам, под своей учетной записью, выполнил удаление файлов. Было отчетливо видно, что в одной из папок находились как раз файлы по текущему проекту, а в другой переписка. Далее сотрудник попытался удалить папку с файлами по проекту вместе с содержимым.

Удаление производилось несколько раз, так как в первый раз у сотрудника возникли проблемы с удалением файлов в связи с тем, что они были открыты в офисной программе.

Далее сотрудник попытался удалить папку, содержащую переписку по проекту, но удаление произошло частично, некоторые письма были открыты в почтовой программе.

Можно ли было восстановить хронологию действий нерадивого сотрудника другими средствами? Возможно, но тут возможности DLP записывать действия на рабочем компьютере помогли очень быстро разобраться и установить истинную причину проблемы.

 

Пример №2. Обсуждение коллег

В ходе мониторинга событий DLP были выявлены сообщения из внутрикорпоративного коммуникатора двух сотрудников из категории «мошенничество», обсуждавших, что их коллега продает клиентам финансовые продукты без их ведома.

Было установлено, что эти сотрудники работают в соседних офисах и тесно общаются.

В переписке они называли эту сотрудницу по прозвищу. При этом уточняли, что указание на осуществление подобных действий исходило от руководителя «КВ». Обсуждалось также и то, что она радует своими успехами начальника, так как выполняет планы по продажам.

Далее был установлен круг сотрудников, которые работают в данных офисах. Начальником одного из офисов являлся сотрудник с инициалами «КВ».

После подробного анализа переписки этих двух сотрудников за больший период были выявлены сообщения, в которых они упоминают эту сотрудницу уже по имени. Согласно штатной структуре единственная сотрудница с таким именем работала в одном из офисов, в котором работал один из участников переписки и где как раз руководителем был «КВ». Из переписки также стало понятно, что их рабочие места находятся рядом, то есть он видит, что она делает на рабочем месте.

С помощью перехваченных DLP логов коммуникатора по ключевым словам и штатной структуре был установлен сотрудник, который обманывает клиентов, таким образом выполняет планы продаж, и начальник, который этому способствует, что несет в себе репутационные риски для компании.

 

Пример №3. Увольнение

Сотрудник компании, находящийся в группе риска, а именно с известной датой увольнения, решил, что надо для нового места работы захватить с собой что-нибудь полезное.

Замысел он решил воплотить в жизнь в свой последний рабочий день, перед тем как забрать трудовую книжку. Так как основные каналы утечки у него уже были заблокированы по  корпоративным правилам для увольняющихся сотрудников за несколько дней до этого, оставался один из возможных способов — отправить документы на печать.

Сотрудник безопасности, работающий в этом же офисе, сразу после получения уведомления о распечатке конфиденциального документа сотрудником, находящемся в группе риска, направился к нему и, можно сказать, поймал за руку, т. к. тот уже вынес документ и положил себе в автомобиль, а обходной лист со стороны СБ уже был согласован до факта печати.

До чего простой способ кражи информации! Но для успешного пресечения таких действий важен комплекс мер — предварительная работа по профилированию групп риска, способность DLP-системы в реальном времени фиксировать события, а также оперативная реакция офицера  безопасности. В таких случаях счет идет на минуты.

 

Пример №4. Торги

В компании проводилась процедура по продаже списанного автомобиля, но в Службе безопасности усомнились в отсутствии заинтересованности со стороны ответственных за проведение данной процедуры сотрудников.

Были проанализированы коммуникации сотрудников на тему продажи этого автомобиля и установлено, что заинтересованность проявлял сотрудник подразделения, которое ранее занималось документальным сопровождением по данному автомобилю.

Под предлогом продления страховки он вызвался на осмотр автомобиля. Также в переписке было найдено упоминание устного разговора между ним и сотрудником, который должен продать автомобиль.

Затем поступила заявка на покупку данного автомобиля с внешнего электронного адреса, по названию которого сложно что-то сказать о принадлежности, и с документами человека абсолютно никак не связанного с компанией.

Был загружен архив на максимальную глубину, и нашлись письма более чем пятилетней давности, в которых с этого же внешнего адреса велась переписка с сотрудниками компании, а в подписи были указаны реквизиты сотрудника, проявившего интерес, а именно фамилия и инициалы.

Возможно ли было узнать истинно заинтересованного в покупке человека? Да, можно и другими способами, но дольше и сложнее, а  тут помог глубокий архив DLP с возможностью поиска, который может хранить информацию не один год.

 

Пример №5. Опасные увлечения

Обсуждения в корпоративном коммуникаторе эффекта от использования различных наркотических средств.

Проводился анализ коммуникаций сотрудников на предмет обсуждений, не связанных с рабочей деятельностью.

Была обнаружена переписка, где пара сотрудников делилась своим опытом употребления наркотиков, этот чат не попал в специальную категорию DLP по этой теме, так как в словаре отсутствовало упомянутое слово.

Данная пара сотрудников была поставлена на дополнительный мониторинг, и в течение пары недель были выявлены еще несколько чатов между ними на эту тему.

Все понимают, какие риски для компании несут противозаконные действия сотрудников, поэтому оперативное выявление таких элементов и их изоляция помогут избежать серьезных проблем.

 

Выводы

На основе данных примеров можно сделать вывод, что с помощью DLP можно решать следующие задачи собирать доказательства для расследования, выявлять мошенничество, защищать информацию и предотвращать утечки, проводить профилирование сотрудников, выявлять группы риска.

Стоит упомянуть, что для успешного решения сложных задач данные необходимо собирать помимо DLP и из других систем (DAG, IDM, СКУД, видеонаблюдение и т. д.) для сопоставления и анализа.

Минусы, конечно, тоже есть — покупка, внедрение и владение DLP стоит денег, необходимы выделенные квалифицированные сотрудники, которые могут грамотно использовать систему для получения нужной информации, но всё это в конечном счете окупается.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru