Falcongaze SecureTower. Практический пример выявления и пресечения утечки информации

Специфика работы банков и организаций финансового сектора предполагает наличие огромных электронных массивов финансовой документации, баз данных, содержащих персональную информацию клиентов, данные по их операциям и т.д. Поэтому можно отметить, что именно в этой сфере потеря конфиденциальных данных является наиболее чувствительной, а цена утечки информации может быть не просто велика, но и фатальна для бизнеса. В данной заметке будет рассмотрен практический пример выявления и пресечения утечки информации с помощью решения Falcongaze SecureTower.

Для предотвращения такого рода неприятностей уже недостаточно просто контролировать максимальное количество каналов утечки информации, но нужно правильно проанализировать и сопоставить полученные данные, и самое главное - вовремя отреагировать. При этом важен комплексный подход к информационной безопасности, включающий в себя контроль каналов передачи данных и мониторинг сетевой активности персонала.

Это можно увидеть на конкретном примере: в одном из финансовых учреждений еще на стадии тестирования SecureTower был локализован и вовремя предотвращен потенциально опасный инцидент.

Первоначально специалистом по информационной безопасности было настроено правило для контроля повышенной активности персонала в мессенджерах. Обо всех, кто в течение часа отправляет более 100 сообщений – система SecureTower высылала оповещение на заданный адрес электронной почты.

Рисунок 1. Настройка статистического правила

]]>]]>

В один из дней было многократно получено оповещение о срабатывании этого правила, причем в связи с активностью одного и того же сотрудника. Это послужило сигналом к более детальному рассмотрению этой ситуации. Даже при беглом взгляде на график сетевой активности, был очевиден всплеск использования коммуникативных каналов в один из дней. Причем это касалось как переписок в мессенджерах, так и общения по электронной почте.

Рисунок 2. Пики активности за неделю

]]>]]>

Одним кликом перейдя на вкладку дневной активности за интересующий день, даже без углубленного изучения данных стало ясно, что сотрудник очень много времени провел за разговорами в Skype и ICQ, совершал активный веб-серфинг и сделал какую-то рассылку в середине рабочего дня.

Рисунок 3. Сетевая активность

]]>]]>

Для получения дополнительных данных по активности сотрудника за день тут же была просмотрена галерея скриншотов его рабочего стола за день. После этого стало очевидно, что посещенные сайты не имеют отношения к рабочим обязанностям, как и вся его активность за день.

Рисунок 4. Скриншоты

]]>]]>

Таким образом был выявлен сотрудник, основное рабочее время которого, судя по отчетам и снимкам экрана, уходило на посещение развлекательных сайтов и гиперактивное общение в мессенджерах на темы даже отдаленно не связанные с работой. А при более детальном анализе одного из разговоров было определено намерение отсылки важных сведений принципиальному конкуренту и последующее трудоустройство к нему же.

Рисунок 5. Связь с конкурентом

]]>]]>

Граф анализатор – это инструмент, который позволяет наглядно отобразить список контактов сотрудника за день, с возможностью непосредственного перехода на заинтересовавший разговор в мессенджере, сообщение электронной почты или, например, содержимое файла и т.д. Отличительной особенностью, помимо этого, является возможность выстраивания взаимосвязей для определения групп общения, что весьма полезно для специалиста по безопасности при выявлении нелояльных сотрудников или локализации опасного инцидента на начальной стадии.

В данном кейсе информация, полученная с помощью графа-анализатора, сразу показала рассылку резюме по основным тематическим ресурсам, что является весьма красноречивым показателем того, что сотрудник недоволен и, скорее, всего нелоялен компании.

Рисунок 6. Граф-анализатор (нашли в контактах сотрудника конкурента)

]]>]]>

Второе, что было сделано – это формирование аналогичного списка взаимосвязей для конкурента, оказавшегося в списке контактов нелояльного сотрудника. Таким образом было определено, что конкурент вел общение еще с несколькими сотрудниками организации, однако на предложение о каком-либо сотрудничестве получил от них отказ.

Рисунок 7. Связи конкурента (связь конкурента с еще несколькими сотрудниками)

]]>]]>

Таким образом банальное срабатывание статистического правила позволило выявить нелояльного сотрудника и предотвратить утечку важной информации. Все это позволило сотрудникам службы безопасности своевременно определить наметившуюся угрозу и без потерь локализовать назревающий инцидент.

Данный кейс – пример того, как используя гибкий инструментарий SecureTower решать широкий спектр задач в сфере информационной и экономической безопасности, при этом подходя к решению этих задач комплексно.

Tweet