Случай из практики: выявление инсайдера в отделе продаж удалённого филиала

Случай из практики: выявление инсайдера в отделе продаж удалённого филиала

Случай из практики: выявление инсайдера в отделе продаж удалённого филиала

Источники внутренних угроз — настоящая головная боль для любой организации. Особняком среди них стоят так называемые инсайдеры, у которых есть доступ к конфиденциальным данным и которые готовы продать коммерческую тайну конкурирующим компаниям. Разберём интересный инцидент, в ходе которого решение класса DAM / DBF «Гарда БД» помогло выявить инсайдерские действия.

 

 

 

 

  1. Введение
  2. Задача по поиску инсайдера в удаленном филиале
  3. Решение задачи выявления нелегитимных запросов пользователей к клиентским данным
  4. Выявление инсайдерских действий с помощью системы «Гарда БД»
  5. Выводы

 

Введение

В территориально распределённых компаниях задачи по контролю всех процессов взаимодействия сотрудников и клиентов не всегда решаются сразу — пока не наступает ситуация с упущенной выгодой, причиной которой становится инсайдер, имеющий доступ к данным и продающий их в конкурирующие компании. И если в головном офисе все работники — на виду, то в удалённых филиалах может создаваться иллюзия отсутствия такого контроля.

 

Задача по поиску инсайдера в удалённом филиале

В компанию «Гарда Технологии» обратился заказчик — территориально распределённая коммерческая компания с филиалами по всей стране — с задачей по выявлению менеджеров отдела продаж, которые продают третьим лицам информацию по сделкам. Все сделки фиксировались в CRM.

Проблема заключалась в том, что в CRM действия пользователя, который открывает данные по сделкам, абсолютно легитимны и неотличимы от его стандартных операций.

 

Рисунок 1. Настройка дополнительных полей в политике для анализа

 Настройка дополнительных полей в политике для анализа

 

Решение задачи выявления нелегитимных запросов пользователей к данным о клиентах

Для контроля доступа к базам данных и веб-приложениям, таким как CRM-системы, применяется комплекс «Гарда БД» — решение класса DAM / DBF (Data Access Management / DataBase Firewall — управление доступом к данным / брандмауэр базы данных), обладающее функциями поведенческой аналитики. Подробно о нём рассказано на сайте производителя.

В «Гарде БД» настроена политика, выявляющая все факты открытия карточек сделок в CRM. При этом важно, что контролируется доступ не к СУБД, а именно к веб-приложению. Дополнительно при мониторинге индексируются поля содержимого ответа (в формате XML или JSON), соответствующие полям веб-страницы, отображаемой пользователю в CRM: «ответственный за сделку», «регион сделки». Затем в настройках политики включается режим профилирования и выявления статистических аномалий.

 

Рисунок 2. Настройки выявления отклонений от нормального профиля

 Настройки выявления отклонений от нормального профиля

 

Выявление инсайдерских действий с помощью системы «Гарда БД»

Для каждого сотрудника, который открывал карточку сделки, в системе автоматически создаётся профиль, учитывающий следующие параметры:

  • имя пользователя (как основание профиля),
  • регион сделки, которую он открывает,
  • лицо, ответственное за сделку, которую он открывает.

 

Рисунок 3. Настройка политики на открытие карточки в CRM

 Настройка политики на открытие карточки в CRM

 

Каждому пользователю в профиле при нормальной работе присваивается одна запись в параметре «регион» (так как за каждым менеджером закреплён свой регион) и одна запись в поле «ответственный». Соответственно, если в чьём-то профиле появляются новые записи в этих параметрах — или, иными словами, происходит нарушение профиля по ним, — то это означает, что сотрудник просматривает чужие сделки.

 

Рисунок 4. Обнаружение аномалии

 Обнаружение аномалии

 

Для каждого пользователя считалось среднее число срабатываний по конкретной политике, а значит, и среднее количество открытых карточек сделок за промежуток времени.

Включённый механизм выявления статистических аномалий позволил обнаружить следующие события:

  • пользователь открыл в 10 раз больше карточек (порог срабатывания системы задаётся в настройках выявления аномалий), чем он это делает обычно;
  • пользователь открыл в 10 раз больше карточек, чем другие сотрудники.

Далее в «Гарде БД» были созданы автоматические отчёты.

 

Рисунок 5. Обнаружение отклонения от профиля

 Обнаружение отклонения от профиля

 

Рисунок 6. Отображение карточки в CRM и настройка индексирования дополнительного поля

 Отображение карточки в CRM и настройка индексирования дополнительного поля

 

Во-первых, все данные по нарушениям профиля и выявленным аномалиям были выгружены в CSV для последующей обработки службой экономической безопасности и для выявления корреляций.

 

Рисунок 7. Перехват открытия карточки компании в системе «Гарда БД»

 Перехват открытия карточки компании в системе «Гарда БД»

 

Во-вторых, был создан автоматический отчёт по пользователям, у которых произошло срабатывание по обоим параметрам (нарушение профиля и выявленные аномалии).

 

Выводы

С помощью поведенческой аналитики и мониторинга доступа к данным в разных филиалах с помощью настроенных политик в системе «Гарда БД» удалось выявить группу инсайдеров, которые, обладая легитимным доступом к данным отдела продаж в CRM, на протяжении трёх месяцев передавали данные по сделкам в конкурирующую организацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru