Источники внутренних угроз — настоящая головная боль для любой организации. Особняком среди них стоят так называемые инсайдеры, у которых есть доступ к конфиденциальным данным и которые готовы продать коммерческую тайну конкурирующим компаниям. Разберём интересный инцидент, в ходе которого решение класса DAM / DBF «Гарда БД» помогло выявить инсайдерские действия.
- Введение
- Задача по поиску инсайдера в удаленном филиале
- Решение задачи выявления нелегитимных запросов пользователей к клиентским данным
- Выявление инсайдерских действий с помощью системы «Гарда БД»
- Выводы
Введение
В территориально распределённых компаниях задачи по контролю всех процессов взаимодействия сотрудников и клиентов не всегда решаются сразу — пока не наступает ситуация с упущенной выгодой, причиной которой становится инсайдер, имеющий доступ к данным и продающий их в конкурирующие компании. И если в головном офисе все работники — на виду, то в удалённых филиалах может создаваться иллюзия отсутствия такого контроля.
Задача по поиску инсайдера в удалённом филиале
В компанию «Гарда Технологии» обратился заказчик — территориально распределённая коммерческая компания с филиалами по всей стране — с задачей по выявлению менеджеров отдела продаж, которые продают третьим лицам информацию по сделкам. Все сделки фиксировались в CRM.
Проблема заключалась в том, что в CRM действия пользователя, который открывает данные по сделкам, абсолютно легитимны и неотличимы от его стандартных операций.
Рисунок 1. Настройка дополнительных полей в политике для анализа
Решение задачи выявления нелегитимных запросов пользователей к данным о клиентах
Для контроля доступа к базам данных и веб-приложениям, таким как CRM-системы, применяется комплекс «Гарда БД» — решение класса DAM / DBF (Data Access Management / DataBase Firewall — управление доступом к данным / брандмауэр базы данных), обладающее функциями поведенческой аналитики. Подробно о нём рассказано на сайте производителя.
В «Гарде БД» настроена политика, выявляющая все факты открытия карточек сделок в CRM. При этом важно, что контролируется доступ не к СУБД, а именно к веб-приложению. Дополнительно при мониторинге индексируются поля содержимого ответа (в формате XML или JSON), соответствующие полям веб-страницы, отображаемой пользователю в CRM: «ответственный за сделку», «регион сделки». Затем в настройках политики включается режим профилирования и выявления статистических аномалий.
Рисунок 2. Настройки выявления отклонений от нормального профиля
Выявление инсайдерских действий с помощью системы «Гарда БД»
Для каждого сотрудника, который открывал карточку сделки, в системе автоматически создаётся профиль, учитывающий следующие параметры:
- имя пользователя (как основание профиля),
- регион сделки, которую он открывает,
- лицо, ответственное за сделку, которую он открывает.
Рисунок 3. Настройка политики на открытие карточки в CRM
Каждому пользователю в профиле при нормальной работе присваивается одна запись в параметре «регион» (так как за каждым менеджером закреплён свой регион) и одна запись в поле «ответственный». Соответственно, если в чьём-то профиле появляются новые записи в этих параметрах — или, иными словами, происходит нарушение профиля по ним, — то это означает, что сотрудник просматривает чужие сделки.
Рисунок 4. Обнаружение аномалии
Для каждого пользователя считалось среднее число срабатываний по конкретной политике, а значит, и среднее количество открытых карточек сделок за промежуток времени.
Включённый механизм выявления статистических аномалий позволил обнаружить следующие события:
- пользователь открыл в 10 раз больше карточек (порог срабатывания системы задаётся в настройках выявления аномалий), чем он это делает обычно;
- пользователь открыл в 10 раз больше карточек, чем другие сотрудники.
Далее в «Гарде БД» были созданы автоматические отчёты.
Рисунок 5. Обнаружение отклонения от профиля
Рисунок 6. Отображение карточки в CRM и настройка индексирования дополнительного поля
Во-первых, все данные по нарушениям профиля и выявленным аномалиям были выгружены в CSV для последующей обработки службой экономической безопасности и для выявления корреляций.
Рисунок 7. Перехват открытия карточки компании в системе «Гарда БД»
Во-вторых, был создан автоматический отчёт по пользователям, у которых произошло срабатывание по обоим параметрам (нарушение профиля и выявленные аномалии).
Выводы
С помощью поведенческой аналитики и мониторинга доступа к данным в разных филиалах с помощью настроенных политик в системе «Гарда БД» удалось выявить группу инсайдеров, которые, обладая легитимным доступом к данным отдела продаж в CRM, на протяжении трёх месяцев передавали данные по сделкам в конкурирующую организацию.