Утечка информации: как вычислить и остановить мошенников
Мошенники постоянно совершенствуются, чтобы обойти системы безопасности. А разработчики, в свою очередь, совершенствуются в ответ на эти вызовы. Идет борьба, которую можно сравнить с борьбой изобретателей брони и снарядов. Мы придумываем броню, мошенники — оружие. Рассказываем на примере кейсов Staffcop, как найти и обезвредить злоумышленника.
Почему внутренние утечки данных — ключевой фактор риска для компании
Утечка данных — это всегда большая проблема для компаний, которая приводит к неприятными последствиями. Но одно дело — атака внешних хакеров, а другое — сливы информации своими же сотрудниками. Они знают всю «внутреннюю кухню» и иногда имеют доступ к критически важным для существования компании данным. Результатом может оказаться потеря репутации на рынке, потеря ключевых клиентов — вплоть до прямой угрозы существования компании.
Опросы показывают, что 35% компаний считают внутренние утечки самыми актуальными среди возможных угроз. 27% бизнеса установили у себя системы защиты от вторжений, а 18% внедрили специальные программные продукты для предотвращения утечек в корпоративных сетях.
Покажем на одном из кейсов Staffcop, как удалось обнаружить «крота» и предотвратить серьезный инцидент.
Что привлекло внимание службы безопасности?
В крупной успешной компании, которая специализируется на разработке инновационных технологий, возникли подозрения по поводу излишней активности двух сотрудников. Специалист службы безопасности вовремя заметил несвойственное им поведение и решил изучить всё более детально.
Расследование инцидента
В ходе расследования выяснилось, что двое сотрудников разобрались, как работает система мониторинга, которую компания активно использовала для автоматизированного сбора событий контроля информации.
Нужно заметить, что 100%-ю защиту в этом случае гарантировать сложно и если мошенник запланировал что-то украсть, то он сначала присматривается, изучает вопрос со всех сторон: свою рабочую станцию, периметр, смотрит, где стоят системы видеонаблюдения. Самый продвинутый злоумышленник может даже симулировать систему у себя дома, чтобы посмотреть, как она работает.
В нашем случае мошенники оказались умными. Они решили, что смогут обойти систему, украсть ценную корпоративную информацию и продать ее на черном рынке. Чтобы скрыть свои преступные действия, они отправляли зашифрованные архивы по электронной почте. Такая тактика позволяла им скрыть украденные конфиденциальные данные от системы мониторинга. Если бы не Staffcop, выявить и остановить злоумышленников было бы чрезвычайно сложно.
Какие шаги предприняли?
Служба безопасности вовремя получила уведомление о некоем запароленном архиве. Кстати, мы без почти преувеличения сравниваем Staffcop с машиной времени, потому что события в нем можно отмотать назад. Офицер ИБ так и сделал и увидел, как создавался архив, какие файлы туда закидывались, как вводился пароль. Система способна делать теневое копирование, то есть она сохраняет все файлы. А безопасность с помощью кейлоггера может выявить пароль, применить его и посмотреть, что происходило в архиве. Автоматизированно это сделать нереально, а вот в процессе расследования возможно. В итоге безопасники получили все нужные данные — от содержания архивов до фамилий тех, кто пытался украсть ценные данные.
Какие инструменты использовались и что было обнаружено?
В процессе расследования использовались два основных инструмента.
Мониторинг электронной почты. С его помощью сотрудники службы безопасности обнаружили, что мошенники отправили несколько сообщений с ценными корпоративными данными через электронную почту. К счастью, продать информацию они не успели.
Кейлоггер Staffcop — проанализировал ввод с клавиатуры, и это позволило выявить, что мошенники вводили пароли для шифрования архивов. С помощью пароля было проверено содержание архивов, и неправомерное деяние подтвердилось фактами.
В этом кейсе Staffcop сыграл критически важную роль для выявления и предотвращения утечки жизненно важных для компании данных. Система сработала даже несмотря на то, что мошенники приложили немало усилий, чтобы скрыть свои действия.
Итогом расследования стало судебное разбирательство. Мошенниками занялись правоохранительные органы.
Угрозы и последствия
В этом случае продажа ценной корпоративной информации могла привести к большим проблемам. Во-первых, компании грозили репутационные потери. Из-за утечки клиенты и партнеры с большой вероятностью сочли бы ее неспособной защитить свои данные, а значит, ненадежной. Во-вторых, если бы в результате раскрытия конфиденциальной информации были нарушены законы о защите данных, компанию ждали бы юридические последствия вплоть до уголовных исков, компенсаций и штрафов. В-третьих, слив информации конкурентам неминуемо бы привел к утрате части клиентов и доходов. Компании пришлось бы вкладывать дополнительные средства в выплату возможных компенсаций, в восстановление репутации и защиту данных.
Даже среди самых лояльных к компании сотрудников могут оказаться вредители. Правило «доверяй, но проверяй» по-прежнему актуально в деловых отношениях. Никогда нельзя быть уверенным в том, что корпоративная информация защищена на 100%, а значит, нужно постоянно мониторить ситуацию: от момента найма сотрудника до попытки замаскировать следы мошенничества. При этом нельзя забывать и о балансе между надежной защитой и сохранением доверия в коллективе.
Именно поэтому мы разработали систему Staffcop, которая уже показала положительные результаты и помогла многим компаниям своевременно выявить и обезвредить злоумышленников, не разрушая здоровую рабочую атмосферу в коллективе.
С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней – оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.