Sistem DLP digunakan untuk melindungi data rahasia perusahaan dan mengidentifikasi karyawan yang menggabungkan data ini. Dalam kebanyakan kasus, insinyur implementasi menghadapi insiden khas seperti ini pada proyek. Tetapi kadang-kadang sistem DLP tiba-tiba mendeteksi pelanggaran, yang pendeteksiannya bahkan tidak dipertajam.
Di bawah cut - pilihan investigasi yang paling tidak biasa dilakukan menggunakan DLP.
Kasus No. 1: "Tentara itu tidur, dinyalakan"
Dari kasus tersebut: “Perusahaan X memerintahkan implementasi percontohan Solar Dozor. Zona percontohan termasuk sepuluh karyawan. Di komputer mereka, Endpoint Agent dipasang - modul untuk memantau aktivitas pengguna di workstation. "Untuk beberapa alasan, lalu lintas datang dari hanya sembilan komputer, yang kesepuluh adalah "diam". Kami memeriksa semuanya beberapa kali, hasilnya adalah satu: agen diinstal, statusnya aktif, sistem berfungsi dengan baik, tetapi lalu lintas tidak berjalan. Terlebih lagi, menurut SKUD, seseorang tiba tepat waktu dan meninggalkan pekerjaan, yang berarti dia pasti ada di kantor.
Seseorang bercanda: "Mungkin dia hanya tidur di sana?" Mereka tertawa, tetapi memutuskan untuk memeriksanya. Kami beruntung: sistem pengawasan video rahasia dipasang di kantor. Inilah yang kami lihat: seorang karyawan datang untuk bekerja tepat waktu, pergi ke kantornya, mengenakan kacamata hitam dan ... benar-benar tidur. Di tengah hari ia bangun pada jam alarm dan pergi makan siang, berkomunikasi dengan rekan-rekannya, memberikan instruksi, untuk beberapa waktu bahkan membongkar kertas dan bekerja dengan kontrak, dan kemudian kembali ke kantornya dan
bekerja tidur sampai akhir hari kerja.
Ternyata seseorang tidak menggunakan komputer di tempat kerja, dan karenanya lalu lintas tidak pergi. Karena X adalah organisasi besar, tanpa sistem DLP dalam aliran data yang besar, manajemen tidak memperhatikan masalah tersebut.
Menariknya, karyawan ini masih bekerja di perusahaan X. Dia tidak akan meninggalkan dirinya sendiri, tetapi dia tidak bisa dipecat karena artikel itu: dia tiba di tempat kerja tepat waktu, menutup tugas, saat dia memindahkan mereka ke bawahan. Dan untuk digunakan dalam rekaman pengadilan dari kamera CCTV adalah ilegal: mereka dipasang untuk keselamatan kebakaran, dan bukan untuk kontrol karyawan.
Kasus No. 2: “Donor Terhormat”
Ketika seorang karyawan mengajukan sertifikat elektronik atau cuti sakit ke departemen sumber daya manusia, Solar Dozor memperingatkan layanan keamanan. Dokumen itu mungkin palsu, lebih baik untuk memeriksa.
Dari arsip kasus: “Karyawan Y Perusahaan menyerahkan sertifikat donor darah dalam bentuk elektronik. Saat memeriksa, petugas keamanan menemukan bahwa sertifikat itu bertanggal besok: itu hari Kamis di kalender, dan darahnya "disumbangkan" besok. "Investigasi insiden dimulai. Pertama-tama, kami memeriksa keaslian data tentang klinik dan dokter. Ternyata tidak ada organisasi atau spesialis seperti itu. Jelas: sertifikat itu palsu. Ini dikonfirmasi oleh analisis lalu lintas donor: sehari sebelumnya dia mencari di Internet tempat untuk membeli sertifikat donor darah, dan memesan di salah satu situs. Seperti yang ditunjukkan ACS, tak lama setelah itu, dia sebentar meninggalkan kantor. Mungkin bertemu kurir?
Selain data pelanggaran, Solar Dozor juga mencatat riwayat komunikasi karyawan. Informasi menarik ditemukan di arsip: "donor" memesan dan mencetak tidak hanya sertifikat, tetapi juga dua tiket untuk kereta api ke kota tetangga, hanya pada hari ketika ia "menyumbangkan darah".
Ada juga dialog antara karyawan dan istrinya. Mereka membahas betapa hebatnya pada hari Jumat untuk tidak bekerja dan pergi ke kerabat. Kemudian mereka mendapat ide untuk memalsukan sertifikat, karena donor diberikan satu hari libur oleh hukum.
Kasus No. 3: "Jual sebelum pencurian"
Kasus ini diselidiki berkat kemampuan Solar Dozor untuk menganalisis bidang layanan foto, yang berisi data tentang perangkat, tanggal pemotretan, dan geolokasi.
Dari materi kasus: “Perusahaan Z melakukan uji coba implementasi Solar Dozor. Aktivitas mencurigakan di Avito direkam dari stasiun kerja salah satu karyawan. ”Ini sendiri bukan kejahatan: seseorang bisa mencari peralatan rumah tangga, pakaian, barang-barang anak-anak. Namun demikian, kami memutuskan untuk memainkannya dengan aman: kami meluncurkan modul Dozor File Crawler dan menganalisis konten workstation karyawan. Di antaranya, foto-foto panel listrik ditemukan.
Kemudian pelanggan ingat bahwa ada kasus perisai yang hilang di perusahaan. Kecurigaan merayap masuk, tetapi lebih banyak bukti dibutuhkan.
Kami menemukan foto perisai yang sama di Avito, mengunduhnya dan membandingkan bidang layanan. Nomor seri "tersangka" sepenuhnya bertepatan dengan model dan nomor seri di bidang layanan foto. Data lain juga identik. Jadi, pada hard drive dan pada Avito foto yang sama. Di bidang layanan, kami melihat geolokasi, mencetak data di navigator dan menemukan perisai yang sangat. Seperti yang kami pikir, mereka berlokasi di fasilitas perusahaan Z.
Ternyata, karyawan itu memasang iklan untuk penjualan papan reklame, dan ketika pembeli ada di sana, ia melepas peralatan itu. Jadi dia berhasil menjual dua perisai dan mendapatkan upaya ketiga.
Kasus No. 4: “Mengapa Anda membutuhkan antivirus? Kamu sangat cantik
Dari materi kasus: “Administrator sistem perusahaan B telah beberapa kali terjebak dalam pelanggaran, sehingga ia jatuh ke dalam kelompok kontrol khusus. Solar Dozor terus melacak semua aktivitasnya. Jadi korespondensinya dengan sekretaris masuk ke dinas keamanan. "Ini bukan pertama kalinya seorang gadis mengeluh bahwa komputer melambat. Dengan korespondensi jelas: kita berbicara tentang antivirus. Itu secara teratur diperbarui atau menjalankan pemindaian, karena itu komputer mulai membeku. Administrator sistem, bahkan tanpa mencoba memecahkan masalah, cukup "meniup" antivirus. Jelas bahwa dia tidak melakukan ini untuk pertama kalinya.
Kelihatannya itu hanya kelalaian, tetapi konsekuensinya sangat serius: mesin itu rentan, ada celah di sekeliling perusahaan, yang tidak diketahui petugas keamanan.
Kasus No. 5: Pemalsuan dokumen perbaikan
Dari bahan-bahan kasing: “A, sebuah organisasi besar, bergerak dalam dukungan dan perbaikan menara transmisi daya, gardu induk, dan peralatan listrik lainnya. Itu memiliki inspektur yang pergi ke objek untuk menilai kondisi mereka. Jika ada masalah, mereka memotretnya dengan kamera layanan dan memulai permintaan perbaikan. Setelah itu, kontrak terbentuk, tender diadakan dan uang dialokasikan. "Satu aplikasi menimbulkan kecurigaan. Petugas kontraktor yakin bahwa situs itu sudah diperbaiki beberapa tahun yang lalu. Kami memutuskan untuk memeriksa dan melihat ke bidang layanan dari foto yang dikirim.
Ternyata gambar itu diambil setahun yang lalu, koordinat titik tidak sesuai dengan yang ditunjukkan dalam aplikasi, nomor seri kamera juga tidak sesuai dengan layanan satu. Kemungkinan besar, foto itu diambil dari Internet dan tidak terkait dengan benda nyata. Sepintas, tidak mudah untuk mengetahui kebohongan seperti itu, karena semua kutub di lapangan terlihat sama.
Informasi tersebut ditransfer ke layanan keamanan pelanggan sendiri. Selama penyelidikan, ternyata tender itu dimenangkan berulang kali oleh perusahaan yang sama, tidak ada perbaikan yang dilakukan, dan uang itu dibagikan begitu saja.
Dalam kasus ini, tidak ada serangan cyber atau kebocoran informasi rahasia. Namun, berkat perhatian terhadap anomali yang tampaknya tidak signifikan dalam tindakan pengguna, adalah mungkin untuk mencegah pencurian, untuk mengungkapkan pemalsuan dokumen, untuk mendeteksi karyawan yang tidak jujur. Jadi jangan abaikan keanehan kecil yang dilaporkan oleh DLP - kadang-kadang itu berarti peringatan langsung tentang kebocoran.