Кейс расследования инцидента утечек с помощью DLP системы
Информационная безопасность Информационная безопасность

Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера.

Главная>Информационная безопасность>История одного DLP-расследования
Информационная безопасность Тема номера

История одного DLP-расследования

Дата публикации:
04.08.2017
Посетителей:
1256
Просмотров:
1188
Время просмотра:
2.3

Авторы

Автор
Антон Бочкарев В прошлом - консультант по ИБ / специалист по тестированию на проникновение компании «Инфосистемы Джет»
Мы все привыкли к тому, что в каждой уважающей себя компании есть DLP-система, этим уже никого не удивишь. Я расскажу вам историю, как экспресс-расследование инцидента позволило купировать утечку конфиденциальной информации и пресечь работу инсайдера. Для того чтобы сохранить живость повествования, рассказ буду вести от первого лица. Итак, 14:00 — я сидел в своем кабинете и занимался обычной деятельностью: тестированиями на проникновение и сканированиями.

Авторы

Теги

День 1.

 

14:01. Прозвенел звонок из соседнего отдела, который занимается внедрениями средств защиты:

 

— Привет! Мы внедряем DLP-систему у заказчика, а тут какая-то странная активность, похожая на массовую утечку. Ты не мог бы посмотреть?

 

— А как это выглядит? Можешь подробнее объяснить?

 

— Похоже на работу вируса. Проще тебе самому посмотреть, подойди к нам в кабинет, я покажу.

 

14:05. Пришел в соседний отдел. Расследование инцидента началось.

 

14:25. Было установлено:

 

  1. Утечка точно централизованная, управляемая, с более чем 30 адресов письма отправляются на один и тот же адрес «evilcorp»@ hotmail.com.
  2. Фактов отправки писем на иные внешние адреса не обнаружено.
  3. Отправлялись не все письма, а только определенные, выбираемые по определенному критерию.

 

14:45. Обнаружено:

 

  1. Отправляются только письма с вложениями, при этом отправляются и финансовая документация, и договора, и шаблоны документов.
  2. Отправляются на почту злоумышленников в ту же секунду, как были отправлены легитимному адресату.
  3. Судя по всему, входящая почта злоумышленниками не сканируется, только исходящая.

 

15:00. Журнал DLP-системы не позволял обнаружить первое письмо, судя по всему, утечка началась задолго до внедрения DLP-системы.

 

15:10. В поисковых системах о почтовом адресе «evilcorp»@hotmail. com ничего не найдено.

 

15:30. Принято решение ехать в командировку, чтобы на месте у заказчика продолжать расследование.

 

15:40. Куплены авиабилеты, забронирован отель, заказчик предупрежден и ожидает к 8 утра.

Итоги первого дня.

 

  • DLP-система однозначно обнаружила контролируемую автоматизированную утечку с более чем 30 адресов электронной почты заказчика.
  • Утечка была начата до внедрения DLP-системы и имела избирательный характер, критерий отбора неизвестен.
  • Данные, получаемые только от DLP-системы, не позволяют выполнить расследование инцидентов, принято решение организовать командировку.

 

День 2. Работа в «поле»

 

7:59. На проходной заказчика меня встретил обеспокоенный происходящим начальник отдела информационной безопасности (назовем его Куликов), повел к себе в кабинет, выспрашивая подробности по дороге. Из разговора с ним были получены следующие сведения:

 

  1. Все, что знает Куликов об инциденте, сообщили ему вчера мы.
  2. Подозревает, что кто-то из сотрудников мог принести вирус, так как «были такие случаи — суют свои флешки куда попало…».
  3. Обещает максимальную помощь, однако не имеет прямого влияния на IT-отдел, поэтому могут быть сложности.

 

8:30. По приказу Куликова мне сделана учетная запись и дан полный доступ к одному из компьютеров, с которого обнаружена утечка.

 

8:45. Запущен инструментальный анализ для поиска руткитов, вирусов, неизвестных служб, а также нетипичных записей в ветках реестра и объектов в автозапуске.

 

9:00. Был выполнен ручной анализ, включающий следующие действия:

 

  1. Проанализированы журналы доступа к рабочим станциям — следов нелегитимного доступа не обнаружено, целостность журналов предположительно не нарушена.
  2. Проанализированы ветки реестра, отвечающие за автоматически запуск программ, — следов вредоносного ПО не обнаружено.
  3. Проанализированы системные процессы и службы — следов вредоносного ПО не обнаружено.
  4. Проанализирована очередь в планировщике задач — следов вредоносного ПО не обнаружено.
  5. Проанализированы средства защиты хоста: антивирусное ПО обновлено, сконфигурировано верно, исключения отсутствуют, в журналах инциденты и угрозы отсутствуют, проверка хоста осуществляется еженедельно.
  6. Выполнен полнотекстовый поиск адреса злоумышленников на рабочих станциях, в том числе в ветках реестра, упоминаний адреса не обнаружено.

 

9:30. Инструментальный анализ был завершен, обнаружен руткит.

 

9:40. Руткитом оказался агент DLP-системы, ложное срабатывание, к сожалению.

 

9:50. На рабочей станции установлено ПО для удаленного доступа DameWare, журналы доступа которого были очищены.

 

Итог обследования рабочей станции.

 

  • Рабочая станция выглядит чистой, подозрительной  активности не обнаружено.
  • Но ведь кто-то очистил журнал DameWare! Это означало зацепку, о которой я планировал доложить руководству.

10:00. Вернулся к анализу журнала DLP-системы, за утро уже были отправлены 5 писем на адрес злоумышленников, последнее ушло минуту назад!

 

10:01. В кабинете у Куликова убеждаю его в том, что срочно нужен доступ к компьютеру сотрудницы, от которой 2 минуты назад ушло письмо.

 

10:10. Сотрудница отправлена пить кофе, доступ к машине получен.

 

10:40. Сотрудница вернулась, однако результат отрицательный, машина выглядит на удивление чистой, как и предыдущая.

 

10:41. Прошу сотрудницу открыть почтовый клиент, анализирую настройки, правила пересылки сообщений, надстройки… Ничего не обнаружено.

 

10:50. Сотрудница возвращается к своим должностным обязанностям, а я к журналам DLP-системы.

 

11:25. Закономерность в отправке писем обнаружена, на внешний адрес была отправлена следующая информация:

 

  • Финансовая информация.
  • Налоговая информация.
  • Информация о печатях организации.
  • Информация о расписании руководства.

 

А также шаблоны документов, которые по ключевым словам попадали под фильтр злоумышленников. Судя по всему, все эти документы связаны общей темой, но какой именно, без представителя заказчика разобраться невозможно. Оперативно докладываю об этом Куликову.

11:30. Возвращаюсь к сотруднице, прошу переотправить на легитимный адрес то самое письмо, которое ушло к злоумышленнику 1,5 часа назад.

 

11:31. В журнале DLP-системе добавлена запись, что письмо повторно ушло к злоумышленникам, хотя машина выглядит чистой.

 

11:32. Сотрудница заскучала и достала айфон. Спросил ее, подключена ли у нее рабочая почта на телефоне, ответ утвердительный. Появился новый вектор.

 

11:40. Куликов ушел на обед; ожидая его, прорабатываю иные векторы компрометации.

 

Версия 1. Скомпрометированы хосты высокачественными образцами вредоносного ПО, которое не обнаружено и косвенные признаки работы которого также не обнаружены:

 

Доводы «ПРОТИВ»:

 

  • Сканируется исключительно исходящая почта.
  • Следов, даже косвенных, не обнаружено.

 

Версия 2. Скомпрометированы мобильные устройства сотрудников с подключенной корпоративной почтой.

 

Доводы «ПРОТИВ»:

 

  • Заражение несет массовый характер.
  • Не установлено, что у всех сотрудников есть IOS.

 

Версия 3. Скомпрометирован почтовый сервер заказчика.

 

Доводы «ПРОТИВ»:

 

  • На данный момент отсутствуют.

 

Версия 4. Работа инсайдера в компании с правами администратора.

 

Доводы «ПРОТИВ»:

 

  • На данный момент отсутствуют.

 

12:30. Куликов вернулся с обеда, по моей просьбе вызвал случайного сотрудника из тех, ящик которого был замечен в рассылке.

 

12:40. Сотрудник пришел, однако у него не IOS-устройство и даже не смартфон, вычеркиваем версию с мобильными устройствами.

 

13:00. Инструментальные средства переданы главному системному администратору, на почтовых серверах и exchange-сервере запущена проверка.

 

13:40. Проверка завершена, результат отрицательный.

 

14:00. От ручной проверки администратор отказался. Во всем было видно, что его не заботит утечка, на сотрудничество не идет. Думаю, на это стоит обратить внимание руководства заказчика.

 

14:30. Вызывают на совещание высшего руководства заказчика, там сообщают следующую информацию:

 

  1. О крупном финансовом споре, в котором сейчас участвует заказчик.
  2. Все сотрудники, почтовые адреса которых были скомпрометированы, так или иначе связаны со спором.
  3. Все отправленные документы были связаны со спором или выглядели таковыми.

14:40. Результаты проведенных работ доложены заказчику. Запрашиваю расширение полномочий для обследования серверов и опроса администраторов. Заказчик просит сделать паузу в расследовании, так как ему, по его словам, ситуация ясна.

 

Вечером улетаю в Москву, ожидая, что в любой момент придется лететь обратно. Как оказалось позже, этого не потребовалось.

Найденных нами зацепок заказчику оказалось достаточно для выявления источника проблем. Как нам было сказано, проблема была решена на организационном уровне. Обеспечение ИБ — комплексный процесс. Когда-то нужно решать технические задачи, а когда-то работать с людьми.

 

Утечка была купирована, и больше в DLP-системе подозрительной деятельности не появлялось.

Уведомления об обновлении тем – в вашей почте

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

Интервью с Ларисой Борисевич, начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ

Общеизвестно, что страховые компании избавляют нас от рисков, связанных с потенциальным ущербом. Но насколько они сами могут быть застрахованы от угроз информационной безопасности? Об этом и многом другом мы поговорим сегодня с Ларисой Борисевич , начальником отдела информационной защиты департамента экономической и информационной защиты бизнеса компании РОСГОССТРАХ.

База знаний предприятия на основе систем управления контентом

Самой большой ценностью любой компании является прежде всего ее «интеллект» – практические знания и опыт всех сотрудников, полученные в процессе выполнения различного рода задач.

DLP - не роскошь, а средство комфортного предупреждения утечек

Как нам кажется, DLP-систему в части ее назначения и функционирования вполне можно сравнить с автомобилем.

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

Контроль контролирующих, или Расширение возможностей DLP-систем

Если ваши сервисы работают без сбоев, можете смело их продавать. Эту несложную аксиому понимают владельцы любого бизнеса, вне зависимости от его масштаба или сферы деятельности.

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

Заглянуть в цифровую черную дыру

При упоминании Big Data у окружающих появляется мысль о том, что речь идет о передовых технологиях, о новых невероятных возможностях для хранения, обработки и анализа данных, но так ли это на самом деле

DLP как пазл, который должен сложиться

О практике использования DLP-решения беседуем с Алексеем Фроловым, руководителем Департамента по безопасности и режиму ПАО «Корпорация Иркут»

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня