تستخدم أنظمة DLP لحماية البيانات السرية للشركة وتحديد الموظفين الذين يقومون بدمج هذه البيانات. في معظم الحالات ، يواجه مهندسو التنفيذ حوادث نموذجية مثل هذه في المشاريع. لكن في بعض الأحيان يكتشف نظام منع فقدان البيانات (DLP) بشكل غير متوقع الانتهاكات التي لا يتم الكشف عنها حتى.
تحت القطع - مجموعة مختارة من أكثر التحقيقات غرابة باستخدام DLP.
القضية رقم 1: "الجندي نائم ، الخدمة قيد التشغيل"
من الحالة: "أمرت الشركة X بالتنفيذ التجريبي لـ Solar Dozor. تضم المنطقة التجريبية عشرة موظفين. على أجهزة الكمبيوتر الخاصة بهم ، تم تثبيت Endpoint Agent - وحدة لمراقبة نشاط المستخدم في محطة العمل. "لسبب ما ، كانت حركة المرور قادمة من تسعة أجهزة كمبيوتر فقط ، وكان العاشر "صامتًا". لقد تحققنا من كل شيء عدة مرات ، وكانت النتيجة واحدة: تم تثبيت الوكيل ، والحالة نشطة ، والنظام يعمل بشكل جيد ، ولكن حركة المرور لن تسير. علاوة على ذلك ، وفقًا لـ SKUD ، يصل الشخص في الوقت المحدد ويترك العمل ، مما يعني أنه بالتأكيد في المكتب.
شخص ما مازحا: "ربما ينام هناك؟" ضحكوا ، لكنهم قرروا التحقق. كنا محظوظين: تم تركيب نظام مراقبة فيديو سري في المكتب. إليك ما رأيناه: يأتي موظف للعمل في الوقت المحدد ، ويذهب إلى مكتبه ، ويرتدي نظارات داكنة ... وينام حقًا. في منتصف النهار يستيقظ على منبه ويذهب لتناول الغداء ، ويتواصل مع الزملاء ، ويقدم التعليمات ، لبعض الوقت حتى يفكك الأوراق ويتعامل مع العقود ، ثم يعود إلى مكتبه
ويعمل في النوم حتى نهاية يوم العمل.
اتضح أن الشخص لا يستخدم جهاز كمبيوتر في العمل ، وبالتالي لا تذهب حركة المرور. نظرًا لأن X هي منظمة كبيرة ، بدون نظام منع فقدان البيانات (DLP) في تدفق بيانات ضخم ، لم تلاحظ الإدارة المشكلة.
من المثير للاهتمام أن هذا الموظف لا يزال يعمل في الشركة X. لن يترك نفسه ، ولكن لا يمكن فصله عن المقال: يصل إلى العمل في الوقت المحدد ، ويغلق المهام ، حيث ينقلهم إلى المرؤوسين. والاستخدام في تسجيلات المحكمة من كاميرات CCTV غير قانوني: فهي مثبتة للسلامة من الحرائق ، وليس للسيطرة على الموظفين.
القضية رقم 2: "المانح المكرّم"
عندما يقدم موظف شهادة إلكترونية أو إجازة مرضية إلى قسم الموارد البشرية ، تحذر Solar Dozor خدمة الأمن. قد تكون الوثيقة مزيفة ، فمن الأفضل التحقق منها.
من ملف القضية: قدم موظف في الشركة ص شهادة التبرع بالدم في شكل إلكتروني. عند التحقق ، وجد ضابط الأمن أن الشهادة مؤرخة غدًا: كان يوم الخميس في التقويم ، و "تم التبرع" بالدم غدًا.بدأ التحقيق في الحادث. بادئ ذي بدء ، تحققنا من صحة البيانات حول العيادة والطبيب. اتضح أنه لا توجد مثل هذه المنظمة ولا مثل هذا الاختصاصي. كان واضحا: الشهادة مزورة. تم تأكيد ذلك من خلال تحليل حركة المتبرعين: في اليوم السابق كان يبحث في الإنترنت حيث يشتري شهادة التبرع بالدم ، ويقدم طلبًا على أحد المواقع. كما بينت ACS ، بعد فترة وجيزة ، غادر المكتب لفترة وجيزة. ربما لمقابلة ساعي؟
بالإضافة إلى بيانات الانتهاك ، تسجل Solar Dozor أيضًا سجل اتصالات الموظفين. تم العثور على معلومات مثيرة للاهتمام في الأرشيف: طلب "المانح" وطبع ليس فقط شهادة ، ولكن أيضًا تذكرتين لقطار إلى مدينة مجاورة ، فقط في اليوم الذي "تبرع فيه بالدم".
كما دار حوار بين الموظف وزوجته. ناقشوا كيف سيكون من الرائع يوم الجمعة تخطي العمل والذهاب إلى الأقارب. ثم حصلوا على فكرة تزوير شهادة ، لأن المتبرع يُمنح إجازة ليوم واحد بموجب القانون.
القضية رقم 3: "البيع قبل السرقة"
تم التحقيق في هذه الحالة بفضل قدرة Solar Dozor على تحليل مجالات الخدمة للصور الفوتوغرافية ، والتي تحتوي على بيانات حول الجهاز ، وتاريخ التصوير ، وتحديد الموقع الجغرافي.
من مواد القضية: قامت الشركة Z بتنفيذ تجريبي لبرنامج Solar Dozor. تم تسجيل نشاط مريب على Avito من محطة عمل أحد الموظفين.هذا في حد ذاته ليس جريمة: يمكن للشخص أن يبحث عن الأجهزة المنزلية والملابس وأشياء الأطفال. ومع ذلك ، قررنا تشغيلها بأمان: أطلقنا وحدة Dozor File Crawler وقمنا بتحليل محتويات محطة عمل الموظف. من بين أمور أخرى ، تم اكتشاف صور للألواح الكهربائية.
ثم تذكر العميل أنه كانت هناك حالات مفقودة للدروع في الشركة. تسللت الشكوك ، ولكن هناك حاجة إلى مزيد من الأدلة.
وجدنا نفس الصورة للدروع على Avito ، وقمنا بتنزيلها ومقارنتها بين حقول الخدمة. تزامن الرقم التسلسلي لـ "المشتبه فيه" تمامًا مع النموذج والرقم التسلسلي في مجالات الخدمة للصور الفوتوغرافية. كانت البيانات الأخرى متطابقة أيضًا. لذا ، على القرص الصلب وعلى Avito نفس الصور. في مجالات الخدمة ، نظرنا في تحديد الموقع الجغرافي ، وسجلنا البيانات في المستكشف ووجدنا الدروع. كما كنا نعتقد ، كانت موجودة في مرافق الشركة Z.
كما اتضح ، نشر الموظف إعلانات لبيع اللوحات الإعلانية ، وعندما كان المشتري هناك ، أزال المعدات. لذلك تمكن من بيع درعين وحصل على المحاولة الثالثة.
القضية رقم 4: "لماذا تحتاج إلى مضاد فيروسات؟ انت جميلة جدا
من مواد القضية: “تم القبض على مدير النظام في الشركة B عدة مرات في انتهاك ، لذلك وقع في مجموعة التحكم الخاصة. تابع Solar Dozor جميع أنشطته. لذا دخلت مراسلاته مع السكرتير في جهاز الأمن ".هذه ليست المرة الأولى التي اشتكت فيها فتاة من تباطؤ الكمبيوتر. بالمراسلة ، من الواضح: نحن نتحدث عن مضاد فيروسات. يتم تحديثه أو تشغيله بانتظام ، ونتيجة لذلك يبدأ الكمبيوتر في التجمد. مسؤول النظام ، حتى دون محاولة حل المشكلة ، ببساطة "ضربات" مكافحة الفيروسات. من الواضح أنه لا يفعل ذلك للمرة الأولى.
يبدو أن هذا مجرد إهمال ، ولكن العواقب خطيرة للغاية: الآلة ضعيفة ، يتم إنشاء فجوة في محيط الشركة ، والتي لا يعرف عنها حارس الأمن أي شيء.
القضية رقم 5: تزييف وثائق الإصلاح
من مواد القضية: "أ ، وهي منظمة كبيرة ، تعمل في دعم وإصلاح أبراج نقل الطاقة ، والمحطات الفرعية ، والمعدات الكهربائية الأخرى. لديها مفتشين يذهبون إلى الأشياء لتقييم حالتهم. إذا كانت هناك مشكلة ، فإنهم يقومون بتصويرها بكاميرا خدمة وبدء طلب إصلاح. بعد ذلك ، يتم تشكيل العقد ، ويتم طرح المناقصة وتخصيص الأموال ".أثار تطبيق واحد الشك. كان الضابط المتعاقد مقتنعا بأن الموقع قد تم إصلاحه بالفعل منذ عدة سنوات. قررنا التحقق والتحقق من مجال الخدمة للصورة المرسلة.
اتضح أن الصورة تم التقاطها قبل عام ، وإحداثيات النقطة لا تتزامن مع تلك المشار إليها في التطبيق ، كما أن الرقم التسلسلي للكاميرا لا يتوافق مع الخدمة. على الأرجح ، تم التقاط الصورة من الإنترنت ولم تكن مرتبطة بأشياء حقيقية. للوهلة الأولى ، ليس من السهل معرفة مثل هذه الخدعة ، لأن جميع الأقطاب في الميدان تبدو متشابهة.
تم نقل المعلومات إلى خدمة الأمن الخاصة بالعميل. خلال التحقيق ، اتضح أن الشركة نفسها فازت مرارًا وتكرارًا ، ولم يتم إجراء إصلاحات ، وتم تقاسم الأموال ببساطة.
في هذه الحالات ، لم يكن هناك هجوم إلكتروني أو تسرب للمعلومات السرية. ومع ذلك ، وبفضل الانتباه إلى التشوهات التي تبدو غير ذات أهمية في تصرفات المستخدمين ، كان من الممكن منع السرقة والكشف عن تزوير المستندات والكشف عن الموظفين غير النزيهين. لذلك لا تتجاهل الشذوذ البسيط الذي أبلغ عنه DLP - في بعض الأحيان لا تعني أقل من التنبيهات المباشرة حول التسرب.