Журнал "Information Security/ Информационная безопасность" #3, 2020

Сотрудники отдела информационной безопасности воспользовались тем, что обычно запароленный архив создается инсайдером незадолго до его отправки. Зная, кто создал архив, с помощью какого приложения и когда, можно уста- новить, какой пароль вводился, что и было проделано. Зная пароль и имея перехваченный файл, сотрудники отдела информацион- ной безопасности получили доступ к содержимому, вызвали инсайдера и предъявили ему доказательства наме- ренной передачи конфиденциальной информации за охраняемый периметр. Выполнение "левых" работ в рабочее время В одной очень небольшой организации администратор информационной без- опасности, периодически просматривая активность сотрудников, заметил очень высокую активность системного адми- нистратора в работе с приложениями удаленного доступа TeamViewer, Any- Desk, Radmin с подключением к внешним IP-адресам, при том, что использование этих приложений в компании было про- сто нецелесообразно: все сидели в открытом офисе, а за его пределами никаких серверов и рабочих станций, принадлежащих компании, не распола- галось. В ходе беседы сотрудник отдела информационной безопасности выяснил, что действительно системный админи- стратор, не особо загруженный по своей основной деятельности, оказывал в рабочее время платные услуги по системному администрированию другим организациям. Достоверно подтвердить это смогла специальная конфигурация в StaffCop Enterprise, настроенная для системного администратора. В этой конфигурации на особый контроль были поставлены приложения, которые выходили за контролируемый периметр, при этом каждые пять секунд их работы сохра- нялся скриншот. По этим скриншотам стало очевидно, что системный адми- нистратор трудился за пределами своей организации. В дальнейшем работа системного администратора была реорганизована таким образом, чтобы его деятель- ность приносила больше пользы пред- приятию. Выполнение проектов с помощью дорогостоящего программного обеспечения для других организаций Организацией были приобретены дорогостоящие лицензии на ПО Archi- CAD. Появилось подозрение, что сотруд- ник, не особо загруженный в рабочее время, выполнял проекты для сторонней организации и, таким образом, нера- ционально использовал рабочее время в рамках своей компании, получая за такие труды в рабочее время деньги "на стороне". Обнаружить подобную деятельность только с использованием StaffCop Enter- prise достаточно сложно, необходим комплекс мер, в частности обязательная структуризация рабочих каталогов с проектами, которые ведутся на пред- приятии. В результате оказалось возможным определить, какие сотрудники работают с файлами ArchiCAD вне установленных папок. В этом случае есть все основания предполагать, что проекты, располо- женные вне стандартных папок или имеющие нестандартные названия, являются "левыми". Для этого в StaffCop Enterprise можно воспользоваться операцией инвертиро- вания фильтра. Сотрудником ИБ был настроен инвертированный фильтр, который показывал все операции соз- дания файлов определенным приложе- нием. Легко было обнаружено, что при- сутствует один сценарий работы, не совпадающий со стандартным. У сотрудника обнаруживаются файлы, которых у него быть не должно У рядового системного администра- тора предприятия на рабочем компью- тере были обнаружены файлы, содер- жащие списки ключевых клиентов и планы маркетинговых кампаний. Были все основания подозревать, что адми- нистратор готовился передавать инфор- мацию конкурентам, для чего копировал коммерческую информацию с ресурсов общего доступа и сканировал в поисках такой информации компьютеры пользо- вателей. В организации было построено так называемое дерево доступа, которое позволяло установить, кто из сотруд- ников работал с определенным фай- лом. Для списка перехваченных файлов системой StaffCop Enterprise было соз- дано дерево, в котором отражено, какие пользователи работали с файлами и какие операции выполнялись. По этому дереву были определены пользователи, в чьи обязанности не входит работа с данными файлами, а значит сотрудник собирал информацию, к которой он не должен иметь отношения. Далее, проконтролировав переписку администратора, удалось выяснить, что он собирался предложить эту информа- цию конкурентам. Заключение Мы рассмотрели лишь незначитель- ную часть тех реальных случаев, с кото- рыми столкнулись специалисты по внедрению StaffCop Enterprise и наши клиенты. Реальная деятельность в информа- ционной безопасности гораздо более многогранна и иногда подкидывает настолько головоломные случаи, что для нахождения правильного ответа недостаточно собственных усилий. И тут на помощь приходит StaffCop Enterprise, помогая не только провести учет рабочего времени, но и решить многие задачи информационной без- опасности. Безопасность – это не результат, а постоянный процесс. Автор выражает огромную благодар- ность своим коллегам по компании "Атом Безопасность" Даниилу Бориславскому и Филиппу Вохминцеву за предостав- ленные материалы и неоценимую помощь в написании статьи. l • 21 DLP www.itsec.ru Не секрет, что довольно часто сотрудники, не особо загруженные в рабочее время, выполняют работы для сторонних компаний на оборудовании работодателя. Это наносит прямой материальный ущерб предприятию, так как рабочее время этих сотрудников используется нерационально. Установить, кто именно в рабочее время выполняет сторонние заказы, возможно с помощью системы StaffCop Enterprise. Использование системы фильтров в поиске файлов с помощью StaffCop Enter- prise дает возможность обнаружить работу с файлами вне стандартных структур папок, и это позволяет предположить, что сотрудник работает "налево" в течение своего рабочего дня. Грамотное построение системы информационной безопасности на предприятии должно следовать принципу "Каждый должен знать только то, что ему необходимо для выполнения своих служебных обязанностей, и ничего больше!". Ваше мнение и вопросы присылайте по адресу is@groteck.ru