Мотивы инсайдеров не сильно варьируются от случая к
случаю, и в общем виде укладываются в простой список:
·
Месть (коллегам, работодателю, несправедливой
системе и т.д.);
·
Деньги (продать информацию самостоятельно,
красть информацию по наводке, красть информацию для того, чтобы открыть
собственный бизнес);
·
Идея (например, обострённое чувство
справедливости, как у небезызвестного Сноудена).
И сегодня мне бы хотелось вспомнить простую ситуацию,
связанную с местью. Представьте себе, сотрудник увольняется и в качестве
«дембельского аккорда» (копирует и) удаляет некоторую информацию. Зачем он это
делает? Например, из-за того, что он вложил в её создание много сил и теперь
считает справедливым последовать примеру Карандышева из «Бесприданницы» с
криками «Так не доставайся же ты никому!».
В итоге, задачу можно разделить на две подзадачи:
во-первых, нужно выяснить, какую информацию удалял пользователь и удалял ли он
её вообще; во-вторых, восстановить данные в том случае, если они были удалены.
Для первого шага понадобится DLP-система. В частности, у нашего «Контура» есть модуль под названием «FileSniffer», в задачу
которого как раз и входит ведение журнала «телодвижений» пользователя с файлами.
Выдача выглядит так:
На первый взгляд проще будет удавиться, чем разобраться в этой простыне. Но это впечатление ошибочное. Во-первых, никто не отменял фильтрацию: по дате, учётке пользователя, произведённому действию с файлом и т.п. А во-вторых, приглядитесь к серой полоске вверху выдачи. Это блок, в котором можно сортировать выдачу, создавая цепочки условий.
В итоге, всё сводится к паре нехитрых манипуляций:
1.
Определить период времени, за которых мы хотим
увидеть выдачу.
2.
Отсортировать выдачу по действию с файлом
(удаление).
3.
В качестве дополнительного условия отсортировать
по пользователю.
Можно было эти значения сразу в фильтрах задавать,
кстати. Теперь перед нами все файлы, которые пользователь удалил за указанный
период. Проанализировав столбец «Имя файла» мы увидим все пути к файлам, то
есть сможем узнать, в каких директориях напакостили. Дальше – этап
восстановления.
А вот этого DLP делать не умеет. Поэтому для восстановления используется
сторонний софт. Когда «гром грянул» мне помогла утилита от Hetman Partition
Recovery одноимённой компании, найденная
в закромах админских recovery-дисков. Честно сказать, пробовал подряд (чуть ли не по алфавиту), но
здесь получился вменяемый результат. Глянуть, что умеет утилита и как выглядит
можно здесь. Дабы не порождать холивары, сразу скажу: чем она лучше – не знаю.
Комментариев нет:
Отправить комментарий