Nuestro cliente, el jefe de seguridad de una empresa del sector financiero, nos compartió un caso real de detección de un insider (persona que trafica con información privilegiada), utilizando el programa de Monitoreo en línea de computadoras de Kickidler, así como otros medios técnicos para proteger la información.
A solicitud de nuestro cliente, cambiamos los nombres que aparecen en la historia, incluido el nombre del encuestado, pero la serie completa de eventos se mantuvo sin cambios.
Kickidler: Dígame, ¿cómo supo que apareció un insider en su equipo?
Michael: Comenzaron a llegar algunas señales a nuestro departamento de ventas al cliente. Por ejemplo, desde septiembre, el porcentaje del uso renovado de nuestros productos disminuyó considerablemente. Por supuesto, comenzamos a llamar por teléfono y descubrimos quién hizo la "mejor oferta". Pero, extrañamente, el beneficiario en casi todos los casos fue diferente. Es decir, la hipótesis de tener un insider (de una empresa enemiga), aún no había sido confirmada.
Kickidler: ¿Cómo decidió que esto era un insider? La disminución de las ventas puede ser causada por una serie de otros factores.
Michael: Uno de los clientes dijo que lo llamaron de varias organizaciones a la vez, lo que nos llevó a otra hipótesis. Así que junto con el departamento de marketing, buscamos ofertas en Internet para vender bases de clientes en nuestra área de negocios. Entre las cuales se descubrieron varias organizaciones, en el mercado negro, se realizó una compra-venta de una base que resultó ser idéntica a la nuestra.
Kickidler: ¿Y ya usaba Kickidler para entonces?
Michael: No, no usaba Kickidler. Nosotros tenemos instalado un sistema-DLP que controla todas las operaciones de archivos. Incluso para la alta gerencia el acceso a los datos corporativos solo es posible desde una PC. Si alguien hubiera descargado la base de datos de nuestros clientes, enviado por correo, subirlo a la nube, arrojado al messenger, incluso imprimirlo y luego escaneado, entonces, habríamos detectado "la descarga de datos” con una probabilidad del 99%, por supuesto, si el atacante no es un "hacker profesional". Después del incidente antes mencionado, se decidió, además del sistema-DLP, instalar un Programa de Monitoreo de Empleados, el software puede monitorear las actividades que lleva a cabo cada empleado para el rastreo del tiempo en una PC.
Kickidler: ¿Eligió inmediatamente nuestro programa?
Michael: Bueno, en realidad sí. Este programa satisfizo nuestros requisitos básicos. Era necesario el Monitoreo en línea de computadoras y la Grabación de vídeo de pantallas de todos los que tienen acceso a la Base de Datos de Nuestros Clientes CRM, así como, el Keylogger (Registrador de las teclas presionadas) de los usuarios. Ustedes lo han implementado mejor que otros programas similares.
Kickidler: ¿Cómo le ayudó el Programa de Monitoreo de Empleados a detectar al atacante?
Michael: Continuamos monitoreamos los lugares en internet en donde se compró la base de datos la última vez. Hasta que un día, de pronto apareció la información actualizada allí. Hicieron otra compra, resultó que la actualización fue literalmente ayer. Es decir, en aproximadamente dos días hábiles, se cometió otro robo. Pero esta vez, a diferencia del pasado, todos los movimientos con nosotros fueron grabados.
Entonces, comenzamos a monitorear con Kickidler las acciones de quienes ingresaron al CRM, para analizar la actividad de los empleados en el sitio. En su programa (Kickidler) se puede aplicar un filtro y ver el historial completo de las interacciones del usuario con el sitio o programa seleccionado, lo que finalmente nos ayudó.
Kickidler: ¿Cómo robó un atacante una base de datos de clientes si no se registró en las operaciones de archivos? ¿Fue mucho esfuerzo encontrarlo?
Michael: Inmediatamente nos dimos cuenta de que la base de datos no se descargaba directamente de CRM, porque en el recurso donde la compramos, estaba en un formato diferente de aquellos en los que se podía descargar de CRM. Solo había una opción: alguien fotografió las páginas de la base de datos directamente desde la pantalla de la PC usando un dispositivo de fotografía, y luego manualmente o mediante el servicio de reconocimiento óptico de caracteres las tradujo a un formato de texto.
Tal búsqueda no es un trabajo fácil, pero lo hemos simplificado enormemente con un solo truco. Tenemos alrededor de 150 personas que tienen acceso a la base de datos. De estos, 30 personas tienen acceso completo. Cualquiera de estas 30 personas o alguien que obtuvo acceso a la PC de un empleado con acceso completo podría "descargar” la base.
En realidad, el truco era que, por lo general, un empleado en CRM usa una lista de tareas, además de ir a las tarjetas de clientes. Para implementar su plan, el atacante necesitaba pasar al menos 10 páginas para fotografiarlos. En base a esta observación, creamos un Control de infracciones del personal, básicamente, es identificar y ver las infracciones durante la jornada laboral es una violación en Kickidler en la dirección web, es decir, en la página 10 de la base de datos CRM y vimos a todos los que la visitaron.
Luego, observamos la Grabación de vídeo de pantallas (Kickidler) de las acciones de los usuarios registrados por el programa en esta página, y descubrimos la actividad sospechosa de varios empleados, registramos el momento en que sucedió y observamos las grabaciones de las cámaras a estos intervalos, y aquí la suerte nos esperaba. Resultó que uno de los gerentes a la hora del almuerzo estaba fotografiando la pantalla de la PC en su teléfono cuando no había nadie en la oficina. En realidad, era precisamente este empleado del que muchos sospechaban.
Kickidler: ¿Cuál es el futuro del insider?
Michael: No puedo difundir esta información, pero te diré una cosa: ya no trabaja con nosotros. Por supuesto, el daño no puede ser compensado, pero por otro lado, nos deshicimos de la plaga, que podría haber hecho muchos más trucos sucios.