Расследование инцидентов с помощью DLP-системы

Мария Воронова, руководитель направления консалтинга InfoWatch

Что делать службам информационной безопасности, если инциденты происходят, а не все необходимые средства защиты информации, мониторинга, контроля и корреляции событий внедрены? Ответ очевиден: использовать то, что имеется.Типизация DLP-систем

Идеально выстроенные процессы информационной безопасности (система менеджмента ИБ) пока встречаются в России нечасто, только в компаниях с хорошим уровнем процессной зрелости. Правда, тренд по отрасли – позитивный. Можно утверждать, что эпоха «бумажной» безопасности закончилась и началась эра практики: повсеместно внедряются процессы, состоящие из технологий и организационных мер, которые направлены на постепенное повышение уровня ИБ. Ну а пока он повышается, для расследования инцидентов используются «подручные средства». Рассмотрим ряд реальных инцидентов, в ходе которых DLP-система активно применялась как инструмент расследования.

Подложный договор

На компанию А подают в суд за неоплату счетов за услуги, предоставляемые ей по официальному договору с компанией С. Общая сумма задолженности составляет 80 млн руб., что несоизмеримо с объемом и стоимостью оказываемых услуг. В суде компания А с треском проигрывает: от ее имени в суде выступает руководитель юридического департамента, который соглашается на все условия, подтвердив, что договор был заключен, а счета выставлялись, но не оплачивались.

Внутренняя служба безопасности компании А начала расследование и выяснила следующее. Руководитель ее юридического департамента, пользуясь служебным положением, заключил с компанией С договор на услуги проверки контрагентов. В договоре была зафиксирована заведомо невыгодная для компании А стоимость услуг, в десятки раз превышающая реальную.

Шло время, услуги оказывались на регулярной основе, и примерно раз в месяц компании А выставлялись счета от компании С. Эти счета не оплачивались с санкции того же руководителя юридического департамента: он сообщал финансистам и договорному отделу, что «в контракте указана некорректная стоимость, будут приняты меры по выяснению сложившейся ситуации», и отправлял счета в долгий ящик. О них просто забывали, так как ответственным за контроль над ними был главный юрист.

Примерно через 8–9 мес. по неоплаченным счетам накопился долг 80 млн руб. В это же время компания С подала на компанию А в суд с целью взыскать долг и получить компенсации-неустойки. Ну а дальше – уже известная история с судом. В результате компания А потеряла в общей сложности 100 млн руб.

Ретроспективный анализ, проведенный c помощью DLP-системы и лог-файлов системы согласования договоров, показал, что руководитель юридического департамента скачал бланки договора, провел договор по системе согласования (на ряде этапов фамилии согласующих были изменены «вручную» – у руководителя службы были такие полномочия) и отправил в компанию С. При этом в компании А сопровождением и заключением договоров занимались абсолютно другие службы. Были выявлены и иные коммуникации юриста с компанией С.

Факт мошеннических действий руководителя службы юридического департамента был доказан, соответствующие меры приняты.

Мошенничество в банке

Со счетов четырех клиентов банка В была несанкционированно переведена на счет клиента того же банка крупная сумма денежных средств (в совокупности – 3 млн руб.). Затем произошло «распыление» этих средств по карточным счетам, оформленным на подставных лиц. Деньги с них были сняты моментально.

В ходе расследования, проведенного банковской службой безопасности, была получена следующая информация. В бэк-офисной системе банка В, связанной с автоматизированной банковской системой (в ней проводятся все транзакции), в карточках пострадавших клиентов были изменены номера телефонов. У четырех клиентов подставные телефоны оказались разными, но с одним и тем же региональным кодом, и были оформлены на подставных лиц.

Далее произошел сброс пароля Интернет-банка по достаточно распространенной схеме – по логинам. Как выяснилось, логины были известны злоумышленникам. Они отправляли запрос на восстановление пароля от Интернет-банка, и OTP-пароль (одноразовый код подтверждения сброса пароля) приходил уже на подмененный номер телефона. После получения и ввода в Интернет-банк пароль сбрасывался и обновлялся – была реализована возможность входа в Интернет-банк. Затем со счетов каждого из клиентов счетов совершались переводы. Подчеркнем, что злоумышленники выбрали этих клиентов не случайно – на счетах всех пострадавших имелись значительные суммы денег.

Служба безопасности банка решила, что с большой степенью вероятности можно констатировать факт инсайдерства. Выяснилось, что клиента, на счет которого переводились денежные средства и со счета которого они «распылялись», в России в тот момент не было.

Следующим шагом стал анализ лог-файлов из доступных источников. По лог-файлам удалось определить, что вход в карточки пострадавших клиентов и смена номеров осуществлялись под аккаунтом бэк-офисной системы сотрудницы П. Однако компьютер, с которого производились эти действия, принадлежал сотруднику А. Наконец, доменная учетная запись, под которой был осуществлен вход в операционную систему, принадлежал сотруднику У.

Все эти сотрудники (П, А и У) работали в одном региональном офисе, а всего в офисе посменно работали примерно 20 человек. Видеозапись в помещениях не проводилась. СКУД в офисе внедрена не была.

Далее служба безопасности начала тщательно анализировать лог-файлы из всех доступных систем всеми возможными способами. Анализ лог-файлов DLP-системы позволил определить, что «левые» номера телефонов, с помощью которых был реализован сброс паролей учетных записей Интернет-банка, «засветились» в буфере обмена у одного из проверяемых сотрудников (по доменной учетной записи). Как позже выяснилось, зарегистрированные «левые» номера телефонов скидывались через Skype-систему на мобильном телефоне; при этом на компьютере учетная запись сотрудника У также была активна, данные были сохранены и попали под мониторинг.

На основе полученных промежуточных результатов различными методами была выявлена косвенная связь между сотрудником У и лицом, на счет которого перед «распылением» по дропам зачислялись все суммы. Им оказался очень дальний родственник бывшей жены сотрудника У, а в России этого сотрудника в момент кражи не было.

Представление о схеме вывода денег сложилось. Сотрудники службы безопасности банка выехали на место и провели дознавательную беседу с сотрудником У, выложив все факты и доказательства. Сотрудник У признался в преступлении, раскаялся и, под угрозой возбуждения уголовного дела, вернул все похищенные средства. Затем он написал заявление об увольнении.

Переработка и экономия

В компании М проводится строгий учет рабочего времени и, в соответствии с Трудовым кодексом, соблюдаются все «ненормированности» – переработка, выход в выходной день и т.п. Из одного из департаментов в кадровую службу стали регулярно поступать заявления о необходимости выплаты денежных компенсаций за переработки сотрудников в выходные дни. Департамент – немаленький, и за полгода накопилась довольно существенная сумма.

Стали разбираться. Для получения общей картины происходящего в DLP-системе сотрудников департамента поставили на отдельный мониторинг. Результаты трехнедельного анализа производительности труда сотрудников показали, что необходимость их работы в выходные дни оказалась «накруткой»: 90% времени они не работали, а занимались личными делами – играли или копались в Интернете.

Соответствующие меры были приняты. Компания М перестала терять денежные средства.

Антивирусная история

В результате мониторинга в компании К на одном из графиков/виджетов DLP-системы «Динамика нарушений» был обнаружен подозрительный всплеск активности сотрудников в социальных сетях. Наибольший интерес службы безопасности вызвала стабильная ночная активность, когда в офисе, как правило, почти никого не было – за исключением двух-трех сотрудников круглосуточной службы поддержки. При этом права удаленного доступа к инфраструктуре компании имеются у четко ограниченного числа лиц.

Полная антивирусная проверка предположительно зараженных рабочих станций не выявила наличия вредоносов. Однако в дальнейшем был обнаружен плагин для браузера, направляющий трафик на различные amazon-ресурсы. Видимо, этот плагин был легитимно установлен пользователем совместно с другой программой либо попал на компьютер при посещении сотрудником какого-либо сайта. После удаления плагина генерация трафика в больших объемах прекратилась.

Слив конкурса

Компания Х начала регулярно проигрывать в конкурсных мероприятиях. Конкурсы, которые она должна была гарантированно «взять», выигрывала другая компания, причем из-за совсем небольшой разницы в стоимости предлагаемых ею продуктов и услуг.

К расследованию привлекли службу внутренней безопасности. Анализ, проведенный с помощью DLP-системы, показал, что сотрудник Г – технический аналитик, имевший доступ к части конкурсной документации и к информации о ценообразовании, – регулярно отправлял с рабочего аккаунта в Интернет-облако зашифрованные архивы. Более тщательный анализ показал, что это происходило перед проведением крупных конкурсов, на которых основным конкурентом компании Х была компания У.

Провели анализ двух очевидных факторов – регулярность подобной отправки и наличие шифрования. Дополнительное расследование выявило наличие полной конкурсной документации на рабочей станции сотрудника Г, что шло вразрез с его должностными обязанностями, – он должен был заниматься только техническим сопровождением заявок и ТЗ. Все стало понятно, и необходимые меры были приняты.

Итак, можно сделать такой вывод: хотя инцидентов в области информационной безопасности становится все больше, современные средства мониторинга и контроля (профильные или не совсем) позволяют повысить вероятность раскрываемости этих инцидентов.

Тэги: 
Оцените материал:
Total votes: 4

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.