Falcongaze SecureTower. Практический пример выявления и пресечения утечки информации

[IMG]http://www.anti-malware.ru/images/reviews/SecureTower/src/0.jpg[/IMG]Специфика работы банков и организаций финансового сектора предполагает наличие огромных электронных массивов финансовой документации, баз данных, содержащих персональную информацию клиентов, данные по их операциям и т.д. Поэтому можно отметить, что именно в этой сфере потеря конфиденциальных данных является наиболее чувствительной, а цена утечки информации может быть не просто велика, но и фатальна для бизнеса. В данной заметке будет рассмотрен практический пример выявления и пресечения утечки информации с помощью решения Falcongaze SecureTower.

Для предотвращения такого рода неприятностей уже недостаточно просто контролировать максимальное количество каналов утечки информации, но нужно правильно проанализировать и сопоставить полученные данные, и самое главное - вовремя отреагировать. При этом важен комплексный подход к информационной безопасности, включающий в себя контроль каналов передачи данных и мониторинг сетевой активности персонала.

Это можно увидеть на конкретном примере: в одном из финансовых учреждений еще на стадии тестирования SecureTower был локализован и вовремя предотвращен потенциально опасный инцидент.

Первоначально специалистом по информационной безопасности было настроено правило для контроля повышенной активности персонала в мессенджерах. Обо всех, кто в течение часа отправляет более 100 сообщений – система SecureTower высылала оповещение на заданный адрес электронной почты.



[B]Рисунок 1. Настройка статистического правила[/B]

[IMG]http://www.anti-malware.ru/images/reviews/FSTDLP/src/1.png[/IMG]

В один из дней было многократно получено оповещение о срабатывании этого правила, причем в связи с активностью одного и того же сотрудника. Это послужило сигналом к более детальному рассмотрению этой ситуации. Даже при беглом взгляде на график сетевой активности, был очевиден всплеск использования коммуникативных каналов в один из дней. Причем это касалось как переписок в мессенджерах, так и общения по электронной почте.



[B]Рисунок 2. Пики активности за неделю[/B]

[IMG]http://www.anti-malware.ru/images/reviews/FSTDLP/src/2.png[/IMG]

Одним кликом перейдя на вкладку дневной активности за интересующий день, даже без углубленного изучения данных стало ясно, что сотрудник очень много времени провел за разговорами в Skype и ICQ, совершал активный веб-серфинг и сделал какую-то рассылку в середине рабочего дня.



[B]Рисунок 3. Сетевая активность[/B]

[IMG]http://www.anti-malware.ru/images/reviews/FSTDLP/src/3.png[/IMG]

Для получения дополнительных данных по активности сотрудника за день тут же была просмотрена галерея скриншотов его рабочего стола за день. После этого стало очевидно, что посещенные сайты не имеют отношения к рабочим обязанностям, как и вся его активность за день.



[B]Рисунок 4. Скриншоты[/B]

[IMG]http://www.anti-malware.ru/images/reviews/FSTDLP/src/4.png[/IMG]

Таким образом был выявлен сотрудник, основное рабочее время которого, судя по отчетам и снимкам экрана, уходило на посещение развлекательных сайтов и гиперактивное общение в мессенджерах на темы даже отдаленно не связанные с работой. А при более детальном анализе одного из разговоров было определено намерение отсылки важных сведений принципиальному конкуренту и последующее трудоустройство к нему же.



[B]Рисунок 5. Связь с конкурентом[/B]

[IMG]http://www.anti-malware.ru/images/reviews/FSTDLP/src/5.png[/IMG]

Граф анализатор – это инструмент, который позволяет наглядно отобразить список контактов сотрудника за день, с возможностью непосредственного перехода на заинтересовавший разговор в мессенджере, сообщение электронной почты или, например, содержимое файла и т.д. Отличительной особенностью, помимо этого, является возможность выстраивания взаимосвязей для определения групп общения, что весьма полезно для специалиста по безопасности при выявлении нелояльных сотрудников или локализации опасного инцидента на начальной стадии.

В данном кейсе информация, полученная с помощью графа-анализатора, сразу показала рассылку резюме по основным тематическим ресурсам, что является весьма красноречивым показателем того, что сотрудник недоволен и, скорее, всего нелоялен компании.



[B]Рисунок 6. Граф-анализатор (нашли в контактах сотрудника конкурента)[/B]

[IMG]http://www.anti-malware.ru/images/reviews/FSTDLP/src/6.png[/IMG]

конкурента, оказавшегося в списке контактов нелояльного сотрудника. Таким образом было определено, что конкурент вел общение еще с несколькими сотрудниками организации, однако на предложение о каком-либо сотрудничестве получил от них отказ.



[B]Рисунок 7. Связи конкурента (связь конкурента с еще несколькими сотрудниками)[/B]

[IMG]http://www.anti-malware.ru/images/reviews/FSTDLP/src/7.png[/IMG]

Таким образом банальное срабатывание статистического правила позволило выявить нелояльного сотрудника и предотвратить утечку важной информации. Все это позволило сотрудникам службы безопасности своевременно определить наметившуюся угрозу и без потерь локализовать назревающий инцидент.

Данный кейс – пример того, как используя гибкий инструментарий SecureTower решать широкий спектр задач в сфере информационной и экономической безопасности, при этом подходя к решению этих задач комплексно.


[URL="http://www.anti-malware.ru/reviews/Falcongaze_SecureTower_DLP"]anti-malware.ru[/URL]