Олег Аварский, сотрудник компании «ФинИнвест», не получил желанную руководящую должность, на которую долго рассчитывал. Разочарованный и обиженный, он решил отомстить и «слить» в прессу конфиденциальную информацию о количестве ценных бумаг, принадлежащих акционерам компании. Эти данные были настолько точными, что включали распределение долей до второго знака после запятой. Олег знал, что контроль за деятельностью сотрудников – слабое место в компании.
Аварский планировал передать документы конкурентам через журналистов, что могло бы создать крупный скандал и нанести серьезный удар по репутации компании. Но благодаря бдительности службы информационной безопасности под руководством Александра Громова, инцидент удалось вовремя предотвратить. Используя «СёрчИнформ КИБ», команда оперативно обнаружила подозрительную активность и перехватила попытку передачи данных.
Если бы утечка все-таки произошла, компания могла бы потерять более 72,1 млн рублей за год, но благодаря слаженной работе специалистов угрозу удалось нейтрализовать.
Выявить нарушение помогли модули DLP: FileAuditor и FTPController.
Хотите узнать об информационной безопасности больше? Мы подготовили для вас бесплатную запись вебинара на эту тему
Смотреть видео
Как FileAuditor помог в расследовании
Первым сигналом стало обнаружение файлов с метками «коммерческая тайна», которые Аварский пытался переместить из защищенного хранилища на внешний носитель. FileAuditor автоматически классифицировал эти данные как критичные, поскольку они содержали информацию о долях акционеров, и запустил аудит прав доступа. Было выявлено, что у Аварского, несмотря на его должностные обязанности, не должно было быть привилегированных прав на доступ к этим документам.
Далее система архивировала все изменения, сделанные в этих файлах, включая их копирование и перемещение. Благодаря постоянному мониторингу действий сотрудников FileAuditor зафиксировал попытку изменения и удаления критичной информации.
Как FTPController помог раскрыть мошенническую схему
Первое, что сделал FTPController, – это зафиксировал активное использование доменной учетной записи Аварского при подключении к внешнему FTP-серверу. Идентификация пользователя и целевого FTP-адреса дала ИБ-службе четкое понимание, что кто-то из сотрудников начал передавать крупные файлы за пределы корпоративной сети.
Далее система применила свою запатентованную технологию «Поиск похожих», что позволило найти файлы, похожие на критичные документы с информацией об акционерах. Используя эту функцию, FTPController смог сопоставить содержимое файлов, передаваемых Аварским, с исходными документами, что подтвердило попытку утечки данных. Полнотекстовый поиск по ключевым словам и фразам добавил дополнительный уровень проверки.
Срез активности Аварского на рабочей станции показал, что он несколько раз пытался передать файлы различного размера на FTP-серверы. Система отследила не только сам факт передачи, но и тип документов, что позволило ИБ-службе блокировать подозрительные операции до завершения передачи данных.
Хотите обезопасить свою компанию от махинаций? Закажите 30-дневный пробный триал бесплатно!