Компания «ТехноЛогик» столкнулась с серьезным инцидентом в отделе IT. Один из сотрудников, Антон Малинин, который находился в процессе увольнения, попал под особый контроль службы безопасности. Его доступ к важным ресурсам был ограничен, включая блокировку USB-портов, чтобы исключить возможность утечки конфиденциальной информации.
В последний день работы система «СёрчИнформ КИБ» зафиксировала подозрительную активность. Программа обнаружила, что Малинин пытается передать большие объемы данных по внутренней сети. Скриншоты показали, что он копировал файлы на диск H:, который принадлежал его коллеге, оставшемуся работать в компании.
ИБ-служба провела детальный анализ и выявила, что приятель Малинина заранее подготовил этот диск, освободив его и предоставив доступ увольняющемуся сотруднику. План был прост: Малинин собирался перенести важные документы, которые затем можно было бы спокойно забрать с помощью флешки.
Благодаря оперативной реакции службы информационной безопасности, утечку данных удалось предотвратить. Малинину не удалось вынести файлы за пределы компании, а его коллега получил строгий выговор. В дальнейшем его деятельность попала под особое внимание ИБ-специалистов, чтобы исключить повторение подобных инцидентов.
Этот случай показал, насколько важны меры контроля и мониторинга сотрудников в критические моменты, такие как увольнение, и как технологические решения могут предотвратить крупные утечки информации.
Врез: Хотите узнать об информационной безопасности больше? Мы подготовили для вас бесплатную запись вебинара на эту тему
Выявить нарушение помогли модули DLP: FileAuditor и MonitorController.
Как FileAuditor помог раскрыть мошенническую схему
Первым шагом FileAuditor классифицировал файлы, которые Малинин копировал на сетевой диск H:, присвоив метки, указывающие на их критичное содержание — данные, относящиеся к коммерческой тайне компании. Далее система провела аудит прав доступа и выявила, что приятель Малинина, еще остававшийся в компании, заранее предоставил ему доступ к своему диску, подготовив его для передачи файлов.
FileAuditor также автоматически создал теневые копии файлов, которые Малинин пытался передать, зафиксировав их изменения и сохранив важные доказательства для дальнейшего расследования. Контроль действий пользователя показал точную хронологию действий, включая перемещение и копирование файлов, что позволило ИБ-службе не только пресечь утечку, но и полностью восстановить картину происходящего.
Как MonitorController помог в расследовании
MonitorController незаметно создавал скриншоты экрана Малинина в процессе копирования данных на сетевой диск H:, предоставленный его коллегой. Программа фиксировала все активные процессы и приложения, что позволило выявить подозрительные действия еще на стадии подготовки. Например, снимки показали, как Малинин открывал корпоративные документы с конфиденциальной информацией и копировал их на удаленный диск. Использование функции LiveView позволило ИБ-специалистам наблюдать за происходящим в режиме реального времени, что ускорило реакцию.
Дополнительно, мониторинг показал, что коллега Малинина, который предоставил доступ к своему диску, также был вовлечен в схему передачи данных. Оба сотрудника действовали слаженно, и только благодаря своевременной активации MonitorController удалось пресечь этот инцидент.
Записи и скриншоты были сохранены в базе данных под управлением SQL Server, предоставив надежные доказательства для служебного расследования.
Попробуйте продукты от «СёрчИнформ» в действии! Мы предлагаем бесплатный пробный период на 30 дней без ограничений.