Как был обнаружен инсайдер, ворующий клиентскую базу. Кейс нашего клиента

<100 full reads
Как сотрудники СБ поймали "крота" в коллективе
Как сотрудники СБ поймали "крота" в коллективе

Оригинал статьи

Наш клиент, начальник службы безопасности в компании финансового сектора, поделился реальным кейсом обнаружения инсайдера внутри организации при помощи программы контроля сотрудников Kickidler, а также других технических средств защиты информации.

По просьбе клиента мы изменили некоторые названия, встречающиеся в повествовании, включая имя респондента, однако весь событийный ряд остался без изменений.

Kickidler: Скажите, как вы узнали, что в вашем коллективе появился инсайдер?

Михаил: Начали поступать сигналы из управления клиентских продаж. Примерно с сентября резко сократился процент продления использования наших продуктов. Конечно, начали обзванивать, выяснять, кто сделал «более выгодное предложение». Но, что странно, бенефициар почти во всех случаях был разный. То есть, версия с «вражеским засланцем» внутри компании подтверждения не получила.

Kickidler: Как же вы решили, что это именно инсайдер? Спад продаж может быть вызван целым рядом факторов.

Михаил: Один из клиентов рассказал, что ему звонили сразу из нескольких организаций, что натолкнуло нас на другую мысль. Мы провели вместе с отделом маркетинга мониторинг различных интернет ресурсов, на предмет предложений по продаже клиентских баз в нашей области бизнеса. Было обнаружено несколько источников, среди которых, в так называемом «даркнете» была произведена контрольная закупка базы, оказавшейся идентичной нашей.

Kickidler: Вы к тому времени уже использовали Kickidler?

Михаил: Не использовали. У нас (и сейчас) установлена DLP-система, контролирующая все операции с файлами. Доступ к корпоративным данным возможен только с десктопов, даже для топ-менеджмента. Если бы кто-то скачал, отправил по почте, загрузил на облако, скинул в мессенджере, даже распечатал и потом отсканировал клиентскую базу, то с вероятностью 99% мы бы зафиксировали «слив», если, конечно, злоумышленник не «кулхацкер». После вышеупомянутого инцидента было решено дополнением к DLP установить СУРВ (прим. систему учета рабочего времени), которая могла бы логировать все действия пользователей за ПК.

Kickidler: Вы сразу выбрали нашу программу?

Михаил: Ну, вообще, да. Основные наши требования она удовлетворяла. Нужно было транслировать экраны всех, кто имеет доступ к CRM, а также, как я уже говорил, протоколировать все действия пользователей. У вас это реализовано несколько лучше, чем в аналогичных программах.

Kickidler: Каким же образом система учета рабочего времени помогла вам обнаружить злоумышленника?

Михаил: Мы продолжали чекать ресурс, где в прошлый раз была куплена база. Пока однажды там не появилась информация об обновлении. Произвели еще одну контрольную закупку, оказалось, что апдейт буквально вчерашний. То есть, примерно в течение двух рабочих дней было совершено еще одно хищение. Но на этот раз, в отличие от прошлого, все ходы у нас были записаны.

Стали мониторить с помощью Kickidler действия тех, кто заходил в CRM, анализировать активность сотрудников на сайте. В вашей программе (Kickidler) можно применить фильтр и просмотреть всю историю взаимодействий пользователя с выбранным сайтом или программой, это нам в итоге и помогло.

Kickidler: Каким же образом злоумышленник похитил базу клиентов, если она не была зафиксирована в операциях с файлами? Много усилий потребовалось на его поиск?

Михаил: Мы сразу поняли, что база не была непосредственно выгружена из CRM, потому что на том ресурсе, где мы ее купили, она была в другом формате, отличном от тех, в которых ее можно выгрузить из CRM. Оставался один вариант – кто-то сфотографировал страницы базы прямо с экрана ПК с помощью фотографирующего устройства, и потом вручную или через сервис оптического распознавания символов перевел их в текстовой формат.

Подобный поиск - непростая работа, но мы ее значительно упростили с помощью одной хитрости. У нас порядка 150 человек имеют доступ к базе. Из них у 30 человек есть полный доступ. Слить базу мог либо кто-то из этих 30 человек, либо некто, получивший доступ к ПК сотрудника с полным доступом.

Собственно, хитрость заключалась в том, что обычно сотрудник в CRM использует список задач, плюс заходит в карточки клиентов. Злоумышленнику же для осуществления своего плана нужно было зайти, как минимум, на 10 страниц, чтобы сфотографировать их. Исходя из этого наблюдения, мы создали в Kickidler нарушение по веб-адресу, а именно по 10 странице базы CRM и увидели всех тех, кто ее посещал.

Добавьте описание
Добавьте описание

Далее мы посмотрели записанные программой (Kickidler) видеозаписи действий пользователей на этой странице, выявили подозрительную активность нескольких сотрудников, зафиксировали время, когда она происходила, и просмотрели записи с видеокамер в эти интервалы. И здесь нас ждала удача. Оказалось, что один из менеджеров в обеденный перерыв фотографировал экран ПК на свой телефон, когда в офисе никого не было. Собственно, именно этого сотрудника многие и подозревали.

Kickidler: Какова его дальнейшая судьба?

Михаил: Я не могу распространять эту информацию, скажу одно – он у нас больше не работает. Конечно, нанесенный ущерб не восполнить, но зато мы избавились от вредителя, который мог наделать ещё много пакостей.

Система учета рабочего времени Kickidler