Контакты
Подписка
МЕНЮ
Контакты
Подписка

Инциденты, расследования, результаты. Практические примеры использования StaffCop Enterprise

Дмитрий Кандыбович, 04/08/20

Одна из важнейших возможностей, которые предоставляет программный комплекс StaffCop Enterprise, – это возможность расследовать инциденты информационной безопасности, возникающие на предприятии, и предоставлять неоспоримые факты, уличающие виновника инцидента. Мы рассмотрим некоторые наиболее яркие инциденты, собранные специалистами компании “Атом Безопасность” на пилотных и тестовых проектах внедрения, а также предоставленные клиентами в процессе использования StaffCop Enterprise.

Автор: Дмитрий Кандыбович, генеральный директор StaffCop (ООО “Атом Безопасность”)

Работник перед увольнением скопировал корпоративную информацию на флешку, воспользовавшись соседним компьютером

Сотрудник отдела ИБ обнаружил в отчетах StaffCop Enterprise отклонение – копирование большого количества файлов с рабочего места пользователя А. на внешний флеш-накопитель. Он вызвал пользователя А. для дачи объяснений, но тот заявил, что никакой информации не копировал, для выполнения должностных обязанностей ему это не нужно, а флешка вообще не его, он при работе ими не пользуется.

Программный комплекс StaffCop Enterprise предназначен для мониторинга работы пользователей в режиме реального времени. Он позволяет собирать информацию о том, как сотрудники предприятия используют свое рабочее время, продуктивна ли их реальная деятельность, не наносит ли она репутационный или даже прямой материальный ущерб предприятию.

Безопасник начал проверять гипотезу, что файлы переписывал кто-то другой. Пользователь А. признался, что логин и пароль для его компьютера приклеен к оборотной стороне клавиатуры и многие коллеги из отдела это знают, так как во время его отпуска или болезни пользовались этим компьютером.

Тогда безопасник стал выяснять, не подключалась ли упомянутая флешка к какому-либо другому компьютеру в сети. Выяснилось, что в течение текущего года она неоднократно подключалась к рабочей станции сотрудника Б., который часто переносил документы на флешку для заказчиков.

Тогда безопасник вызвал сотрудника Б., одновременно выяснив, что тот собирался увольняться и много говорил об этом в курилке. Отпирался он недолго и в конце концов признался, что воткнул флешку в компьютер своего коллеги по работе, когда тот ушел на обеденный перерыв, и, воспользовавшись его логином и паролем, скачал файлы на внешний носитель.

Снимок экрана 2020-08-03 в 17.42.31

Показания были сопоставлены с данными, полученными из пропускной системы предприятия, что подтвердило, что за компьютером, на котором производилось копирование, был сотрудник Б., а пользователь А., учетная запись которого использовалась, в это время находился на обеде.

Программный комплекс StaffCop Enterprise предназначен для мониторинга работы пользователей в режиме реального времени. Он позволяет собирать информацию о том, как сотрудники предприятия используют свое рабочее время, продуктивна ли их реальная деятельность, не наносит ли она репутационный или даже прямой материальный ущерб предприятию.

Передача информации за охраняемый контур в запароленном архиве

Сотрудники отдела информационной безопасности обнаружили попытку отправки по почте упакованного файла, зашифрованного паролем. Такой способ довольно часто применяется для передачи информации "на сторону". Инсайдер подбирает документы, которые могут представлять интерес для его "контрагента", упаковывает информацию в архив с паролем, после чего отправляет архив по электронной почте. При этом инсайдер полностью уверен, что, поскольку архив запаролен, а пароль известен только ему и его "контрагенту", никто не способен узнать, что происходит.

Однако этот канал утечки информации можно обнаружить.

Сотрудники отдела информационной безопасности воспользовались тем, что обычно запароленный архив создается инсайдером незадолго до его отправки. Зная, кто создал архив, с помощью какого приложения и когда, можно установить, какой пароль вводился, что и было проделано.

Зная пароль и имея перехваченный файл, сотрудники отдела информационной безопасности получили доступ к содержимому, вызвали инсайдера и предъявили ему доказательства намеренной передачи конфиденциальной информации за охраняемый периметр.

Не секрет, что довольно часто сотрудники, не особо загруженные в рабочее время, выполняют работы для сторонних компаний на оборудовании работодателя. Это наносит прямой материальный ущерб предприятию, так как рабочее время этих сотрудников используется нерационально. Установить, кто именно в рабочее время выполняет сторонние заказы, возможно с помощью системы StaffCop Enterprise.

Выполнение "левых" работ в рабочее время

В одной очень небольшой организации администратор информационной безопасности, периодически просматривая активность сотрудников, заметил очень высокую активность системного администратора в работе с приложениями удаленного доступа TeamViewer, AnyDesk, Radmin с подключением к внешним IP-адресам, при том, что использование этих приложений в компании было просто нецелесообразно: все сидели в открытом офисе, а за его пределами никаких серверов и рабочих станций, принадлежащих компании, не располагалось.

В ходе беседы сотрудник отдела информационной безопасности выяснил, что действительно системный администратор, не особо загруженный по своей основной деятельности, оказывал в рабочее время платные услуги по системному администрированию другим организациям.

Достоверно подтвердить это смогла специальная конфигурация в StaffCop Enterprise, настроенная для системного администратора. В этой конфигурации на особый контроль были поставлены приложения, которые выходили за контролируемый периметр, при этом каждые пять секунд их работы сохранялся скриншот. По этим скриншотам стало очевидно, что системный администратор трудился за пределами своей организации.

Снимок экрана 2020-08-03 в 17.42.55

В дальнейшем работа системного администратора была реорганизована таким образом, чтобы его деятельность приносила больше пользы предприятию.

Использование системы фильтров в поиске файлов с помощью StaffCop Enterprise дает возможность обнаружить работу с файлами вне стандартных структур папок, и это позволяет предположить, что сотрудник работает "налево" в течение своего рабочего дня.

Выполнение проектов с помощью дорогостоящего программного обеспечения для других организаций

Организацией были приобретены дорогостоящие лицензии на ПО ArchiCAD. Появилось подозрение, что сотрудник, не особо загруженный в рабочее время, выполнял проекты для сторонней организации и, таким образом, нерационально использовал рабочее время в рамках своей компании, получая за такие труды в рабочее время деньги "на стороне".

Обнаружить подобную деятельность только с использованием StaffCop Enterprise достаточно сложно, необходим комплекс мер, в частности обязательная структуризация рабочих каталогов с проектами, которые ведутся на предприятии.

Грамотное построение системы информационной безопасности на предприятии должно следовать принципу "Каждый должен знать только то, что ему необходимо для выполнения своих служебных обязанностей, и ничего больше!".

В результате оказалось возможным определить, какие сотрудники работают с файлами ArchiCAD вне установленных папок. В этом случае есть все основания предполагать, что проекты, расположенные вне стандартных папок или имеющие нестандартные названия, являются "левыми".

Для этого в StaffCop Enterprise можно воспользоваться операцией инвертирования фильтра. Сотрудником ИБ был настроен инвертированный фильтр, который показывал все операции создания файлов определенным приложением. Легко было обнаружено, что присутствует один сценарий работы, не совпадающий со стандартным.

У сотрудника обнаруживаются файлы, которых у него быть не должно

У рядового системного администратора предприятия на рабочем компьютере были обнаружены файлы, содержащие списки ключевых клиентов и планы маркетинговых кампаний. Были все основания подозревать, что администратор готовился передавать информацию конкурентам, для чего копировал коммерческую информацию с ресурсов общего доступа и сканировал в поисках такой информации компьютеры пользователей.

В организации было построено так называемое дерево доступа, которое позволяло установить, кто из сотрудников работал с определенным файлом.

Для списка перехваченных файлов системой StaffCop Enterprise было создано дерево, в котором отражено, какие пользователи работали с файлами и какие операции выполнялись. По этому дереву были определены пользователи, в чьи обязанности не входит работа с данными файлами, а значит сотрудник собирал информацию, к которой он не должен иметь отношения.

Далее, проконтролировав переписку администратора, удалось выяснить, что он собирался предложить эту информацию конкурентам.

Заключение

Мы рассмотрели лишь незначительную часть тех реальных случаев, с которыми столкнулись специалисты по внедрению StaffCop Enterprise и наши клиенты.

Реальная деятельность в информационной безопасности гораздо более многогранна и иногда подкидывает настолько головоломные случаи, что для нахождения правильного ответа недостаточно собственных усилий. И тут на помощь приходит StaffCop Enterprise, помогая не только провести учет рабочего времени, но и решить многие задачи информационной безопасности.

Безопасность – это не результат, а постоянный процесс.

Автор выражает огромную благодарность своим коллегам по компании "Атом Безопасность" Даниилу Бориславскому и Филиппу Вохминцеву за предоставленные материалы и неоценимую помощь в написании статьи. 

Staffcop Enterprise 4.7

Производитель: ООО "Атом Безопасность"
Сертификат: № 4234 от 15.04.2020 г., выдан ФСТЭК России
Назначение: программное решение, выполняющее сбор и анализ информации с функциональностью DLP и SIEM

Особенности 

  • Доступная цена
  • Мощный аналитический инструментарий
  • Простота установки, настройки и управления
  • Удобная реализация групповых настроек и действий
  • Контроль трудовой дисциплины
  • Отчеты, настраиваемые по выбору пользователя
  • Для работы используется ПО по GNU/GPL лицензии

Возможности

  • Мониторинг файлов, папок, запущенных процессов и приложений
  • Контроль электронной почты, социальных сетей и мессенджеров
  • Отслеживание поисковых запросов и мониторинг шифрованного трафика
  • Контроль всей сетевой активности
  • Контроль печати документов
  • Кейлоггер
  • Запись окружения с микрофона и снимки с веб-камеры
  • Снятие скриншотов экрана и онлайн-просмотр рабочего стола
  • Логгирование всех системных событий
  • Контроль входа и выхода из системы
  • Широкий и гибко настраиваемый аналитический инструментарий

Характеристики

Рекомендуемые системные требования для сервера (до 50 агентов):

  • Операционная система: Ubuntu Server 16.04 LTS (14.04 LTS)
  • Процессор Intel® Xeon E5-2603 v3
  • Оперативная память 8 Гбайт
  • Дисковое пространство 30 Гбайт для ОС и 100 Гбайт для СУБД

Ориентировочная цена

От 26 до 50 компьютеров:

  • Лицензия на 3 месяца – 1017 руб./ПК
  • Лицензия на 12 месяцев – 3050 руб./ПК

Время появления на российском рынке: май 2020 г.
Подробная информация: www.staffcop.ru  
Фирма, предоставившая информацию: ООО "Атом Безопасность"

630090, Новосибирск, проспект Академика Коптюга, 4
Тел.: +7 (499) 653-7152, +7 (499) 638-2809
E-mail: sales@staffcop.ru 
www.staffcop.ru 

Темы:DLPЖурнал "Информационная безопасность" №3, 2020

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором
Комментарии

More...