5 minute read
Дмитрий Кандыбович
from infosecurity032020
by baranovmir2
Advertisement
О
дна из важнейших возможностей, которые предоставляет программный комплекс StaffCop Enterprise, – это возможность расследовать инциденты информационной безопасности, возникающие на предприятии, и предоставлять неоспоримые факты, уличающие виновника инцидента. Мы рассмотрим некоторые наиболее яркие инциденты, собранные специалистами компании “Атом Безопасность” на пилотных и тестовых проектах внедрения, а также предоставленные клиентами в процессе использования StaffCop Enterprise.
Сотрудник отдела ИБ обнаружил в отчетах StaffCop Enterprise отклонение –копирование большого количества файлов с рабочего места пользователя А. на внешний флеш-накопитель. Он вызвал пользователя А. для дачи объяснений, но тот заявил, что никакой информации не копировал, для выполнения должностных обязанностей ему это не нужно, а флешка вообще не его, он при работе ими не пользуется.
Программный комплекс StaffCop Enterprise предназначен для мониторинга работы пользователей в режиме реального времени. Он позволяет собирать информацию о том, как сотрудники предприятия используют свое рабочее время, продуктивна ли их реальная деятельность, не наносит ли она репутационный или даже прямой материальный ущерб предприятию.
Безопасник начал проверять гипотезу, что файлы переписывал кто-то другой. Пользователь А. признался, что логин и пароль для его компьютера приклеен к оборотной стороне клавиатуры и многие коллеги из отдела это знают, так как во время его отпуска или болезни пользовались этим компьютером.
Тогда безопасник стал выяснять, не подключалась ли упомянутая флешка к какому-либо другому компьютеру в сети. Выяснилось, что в течение текущего года она неоднократно подключалась к рабочей станции сотрудника Б., который часто переносил документы на флешку для заказчиков.
Тогда безопасник вызвал сотрудника Б., одновременно выяснив, что тот собирался увольняться и много говорил об этом в курилке. Отпирался он недолго и в конце концов признался, что воткнул флешку в компьютер своего коллеги по работе, когда тот ушел на обеденный перерыв, и, воспользовавшись его логином и паролем, скачал файлы на внешний носитель.
Показания были сопоставлены с данными, полученными из пропускной системы предприятия, что подтвердило, что за компьютером, на котором производилось копирование, был сотрудник Б., а пользователь А., учетная запись которого использовалась, в это время находился на обеде.
Сотрудники отдела информационной безопасности обнаружили попытку отправки по почте упакованного файла, зашифрованного паролем. Такой способ довольно часто применяется для передачи информации "на сторону". Инсайдер подбирает документы, которые могут представлять интерес для его "контрагента", упаковывает информацию в архив с паролем, после чего отправляет архив по электронной почте. При этом инсайдер полностью уверен, что, поскольку архив запаролен, а пароль известен только ему и его "контрагенту", никто не способен узнать, что происходит.
Однако этот канал утечки информации можно обнаружить.
Не секрет, что довольно часто сотрудники, не особо загруженные в рабочее У сотрудника обнаруживаются время, выполняют работы для сторонних компаний на оборудовании файлы, которых у него быть работодателя. Это наносит прямой материальный ущерб предприятию, так как не должно рабочее время этих сотрудников используется нерационально. Установить, кто У рядового системного администраименно в рабочее время выполняет сторонние заказы, возможно с помощью тора предприятия на рабочем компьюсистемы StaffCop Enterprise. тере были обнаружены файлы, содер
Сотрудники отдела информационной каждые пять секунд их работы сохраи планы маркетинговых кампаний. Были безопасности воспользовались тем, что нялся скриншот. По этим скриншотам все основания подозревать, что адмиобычно запароленный архив создается стало очевидно, что системный администратор готовился передавать инфоринсайдером незадолго до его отправки. нистратор трудился за пределами мацию конкурентам, для чего копировал Зная, кто создал архив, с помощью своей организации. коммерческую информацию с ресурсов какого приложения и когда, можно устаВ дальнейшем работа системного общего доступа и сканировал в поисках новить, какой пароль вводился, что администратора была реорганизована такой информации компьютеры пользои было проделано. таким образом, чтобы его деятельвателей.
Зная пароль и имея перехваченный ность приносила больше пользы предВ организации было построено так файл, сотрудники отдела информационприятию. называемое дерево доступа, которое ной безопасности получили доступ к содержимому, вызвали инсайдера Использование системы фильтров в поиске файлов с помощью StaffCop Enterи предъявили ему доказательства намеprise дает возможность обнаружить работу с файлами вне стандартных ренной передачи конфиденциальной структур папок, и это позволяет предположить, что сотрудник работает информации за охраняемый периметр. "налево" в течение своего рабочего дня.
Выполнение "левых" работ в рабочее время
В одной очень небольшой организации администратор информационной безопасности, периодически просматривая активность сотрудников, заметил очень высокую активность системного администратора в работе с приложениями удаленного доступа TeamViewer, AnyDesk, Radmin с подключением к внешним IP-адресам, при том, что использование этих приложений в компании было просто нецелесообразно: все сидели в открытом офисе, а за его пределами никаких серверов и рабочих станций, принадлежащих компании, не располагалось.
В ходе беседы сотрудник отдела информационной безопасности выяснил, что действительно системный администратор, не особо загруженный по своей основной деятельности, оказывал в рабочее время платные услуги по системному администрированию другим организациям.
Достоверно подтвердить это смогла специальная конфигурация в StaffCop Enterprise, настроенная для системного администратора. В этой конфигурации на особый контроль были поставлены приложения, которые выходили за контролируемый периметр, при этом Выполнение проектов с помощью дорогостоящего программного обеспечения для других организаций
Организацией были приобретены дорогостоящие лицензии на ПО ArchiCAD. Появилось подозрение, что сотрудник, не особо загруженный в рабочее время, выполнял проекты для сторонней организации и, таким образом, нерационально использовал рабочее время в рамках своей компании, получая за такие труды в рабочее время деньги "на стороне".
Обнаружить подобную деятельность только с использованием StaffCop Enterprise достаточно сложно, необходим комплекс мер, в частности обязательная структуризация рабочих каталогов с проектами, которые ведутся на предприятии.
Грамотное построение системы информационной безопасности на предприятии должно следовать принципу "Каждый должен знать только то, что ему необходимо для выполнения своих служебных обязанностей, и ничего больше!".
В результате оказалось возможным определить, какие сотрудники работают с файлами ArchiCAD вне установленных папок. В этом случае есть все основания предполагать, что проекты, расположенные вне стандартных папок или имеющие нестандартные названия, являются "левыми".
Для этого в StaffCop Enterprise можно воспользоваться операцией инвертирования фильтра. Сотрудником ИБ был настроен инвертированный фильтр, который показывал все операции создания файлов определенным приложением. Легко было обнаружено, что присутствует один сценарий работы, не совпадающий со стандартным. жащие списки ключевых клиентов позволяло установить, кто из сотрудников работал с определенным файлом.
Для списка перехваченных файлов системой StaffCop Enterprise было создано дерево, в котором отражено, какие пользователи работали с файлами и какие операции выполнялись. По этому дереву были определены пользователи, в чьи обязанности не входит работа с данными файлами, а значит сотрудник собирал информацию, к которой он не должен иметь отношения.
Далее, проконтролировав переписку администратора, удалось выяснить, что он собирался предложить эту информацию конкурентам.
Заключение
Мы рассмотрели лишь незначительную часть тех реальных случаев, с которыми столкнулись специалисты по внедрению StaffCop Enterprise и наши клиенты.
Реальная деятельность в информационной безопасности гораздо более многогранна и иногда подкидывает настолько головоломные случаи, что для нахождения правильного ответа недостаточно собственных усилий. И тут на помощь приходит StaffCop Enterprise, помогая не только провести учет рабочего времени, но и решить многие задачи информационной безопасности.
Безопасность – это не результат, а постоянный процесс.
Автор выражает огромную благодарность своим коллегам по компании "Атом Безопасность" Даниилу Бориславскому и Филиппу Вохминцеву за предоставленные материалы и неоценимую помощь в написании статьи. l
Ваше мнение и вопросы присылайте по адресу is@groteck.ru
