[Anti-Malware] Случай из практики: выявление инсайдера в отделе продаж удалённого филиала

[Anti-Malware] Случай из практики: выявление инсайдера в отделе продаж удалённого филиала
Источники внутренних угроз — настоящая головная боль для любой организации. Особняком среди них стоят так называемые инсайдеры, у которых есть доступ к конфиденциальным данным и которые готовы продать коммерческую тайну конкурирующим компаниям. Разберём интересный инцидент, в ходе которого решение класса DAM / DBF «Гарда БД» помогло выявить инсайдерские действия.

Введение

В территориально распределённых компаниях задачи по контролю всех процессов взаимодействия сотрудников и клиентов не всегда решаются сразу — пока не наступает ситуация с упущенной выгодой, причиной которой становится инсайдер, имеющий доступ к данным и продающий их в конкурирующие компании. И если в головном офисе все работники — на виду, то в удалённых филиалах может создаваться иллюзия отсутствия такого контроля.

Задача по поиску инсайдера в удалённом филиале

В компанию «Гарда Технологии» обратился заказчик — территориально распределённая коммерческая компания с филиалами по всей стране — с задачей по выявлению менеджеров отдела продаж, которые продают третьим лицам информацию по сделкам. Все сделки фиксировались в CRM. Проблема заключалась в том, что в CRM действия пользователя, который открывает данные по сделкам, абсолютно легитимны и неотличимы от его стандартных операций.

Настройка дополнительных полей в политике для анализа


Решение задачи выявления нелегитимных запросов пользователей к данным о клиентах

Для контроля доступа к базам данных и веб-приложениям, таким как CRM-системы, применяется комплекс «Гарда БД» — решение класса DAM / DBF (Data Access Management / DataBase Firewall — управление доступом к данным / брандмауэр базы данных), обладающее функциями поведенческой аналитики. 

В «Гарде БД» настроена политика, выявляющая все факты открытия карточек сделок в CRM. При этом важно, что контролируется доступ не к СУБД, а именно к веб-приложению. Дополнительно при мониторинге индексируются поля содержимого ответа (в формате XML или JSON), соответствующие полям веб-страницы, отображаемой пользователю в CRM: «ответственный за сделку», «регион сделки». Затем в настройках политики включается режим профилирования и выявления статистических аномалий.

Настройки выявления отклонений от нормального профиля

Выявление инсайдерских действий с помощью «Гарда БД»

Для каждого сотрудника, который открывал карточку сделки, в системе автоматически создаётся профиль, учитывающий следующие параметры:
  • имя пользователя (как основание профиля),
  • регион сделки, которую он открывает,
  • лицо, ответственное за сделку, которую он открывает.


Настройка политики на открытие карточки в CRM

Каждому пользователю в профиле при нормальной работе присваивается одна запись в параметре «регион» (так как за каждым менеджером закреплён свой регион) и одна запись в поле «ответственный». Соответственно, если в чьём-то профиле появляются новые записи в этих параметрах — или, иными словами, происходит нарушение профиля по ним, — то это означает, что сотрудник просматривает чужие сделки.

Обнаружение аномалии

Для каждого пользователя считалось среднее число срабатываний по конкретной политике, а значит, и среднее количество открытых карточек сделок за промежуток времени. Включённый механизм выявления статистических аномалий позволил обнаружить следующие события:

  • пользователь открыл в 10 раз больше карточек (порог срабатывания системы задаётся в настройках выявления аномалий), чем он это делает обычно;
  • пользователь открыл в 10 раз больше карточек, чем другие сотрудники.

Далее в «Гарде БД» были созданы автоматические отчёты.

Обнаружение отклонения от профиля
Обнаружение отклонения от профиля

Отображение карточки в CRM и настройка индексирования дополнительного поля
Отображение карточки в CRM и настройка индексирования дополнительного поля

Во-первых, все данные по нарушениям профиля и выявленным аномалиям были выгружены в CSV для последующей обработки службой экономической безопасности и для выявления корреляций.

Перехват открытия карточки компании в системе «Гарда БД»

Во-вторых, был создан автоматический отчёт по пользователям, у которых произошло срабатывание по обоим параметрам (нарушение профиля и выявленные аномалии).

Выводы

С помощью поведенческой аналитики и мониторинга доступа к данным в разных филиалах с помощью настроенных политик в системе «Гарда БД» удалось выявить группу инсайдеров, которые, обладая легитимным доступом к данным отдела продаж в CRM, на протяжении трёх месяцев передавали данные по сделкам в конкурирующую организацию.


Источник (Anti-Malware.Ru/2020)