我们的客户是一家金融行业公司的安全部门负责人。他向我们分享了一个真实案例:他们如何借助 Kickidler 员工监控软件以及其他信息安全技术手段,在组织内部找到了泄密人员。
应客户要求,我们在文中更改了一些姓名,包括受访者的姓名;但事件经过没有做任何改动。
Kickidler:请告诉我们,您是如何发现团队中存在内部人员的?
Michael:销售管理层开始陆续收到一些信号。大约从 9 月开始,我们产品的续约率急剧下降。当然,我们开始给客户打电话,试图弄清楚是谁向他们提供了“更好的报价”。但奇怪的是,几乎每一次背后的受益方都不一样。这意味着,公司内部存在“敌方间谍”的版本并不成立。
Kickidler:那您是如何判断这就是内部人员所为的?毕竟销售下滑可能由很多因素造成。
Michael:有一位客户告诉我们,他同时接到了几家机构的电话,这让我们产生了另一个想法。我们与市场部门一起对各类互联网资源进行了监测,寻找是否有人出售我们所在业务领域的客户数据库。我们发现了几个来源,并在所谓的“暗网”上进行了一次测试购买,买到的数据库看起来与我们的数据库完全相同。
Kickidler:那时你们已经在使用 Kickidler 了吗?
Michael:没有,当时还没有。我们已经安装了 DLP 软件(现在也仍在使用),用于控制所有文件相关操作。公司数据只能从台式电脑访问,即使是高层管理人员也一样。如果有人下载、通过邮件发送、上传到云端、通过即时通讯工具发送,甚至打印后再扫描客户数据库,那么我们有 99% 的概率可以抓住这次“泄漏”——当然,前提是作案者不是一个“顶级黑客”。在上述事件发生之后,我们决定在 DLP 之外再下载 EMS(注:员工监控软件),以便记录用户在个人电脑上的所有操作。
Kickidler:你们是马上就选择了我们的程序吗?
Michael:总体来说,是的。它符合我们的主要需求。我们需要能够广播所有拥有 CRM 访问权限人员的屏幕,而且正如我之前所说,我们需要记录用户在电脑上的所有操作。与类似软件相比,你们在这些需求上的实现更好。
Kickidler:那么,员工监控软件是如何帮助你们找到作案者的?
Michael:我们一直在检查上一次购买到客户数据库的那个资源。直到有一天,那里出现了数据库更新的信息。我们又做了一次测试购买,结果发现这次更新几乎就是前一天的数据。这意味着,在大约两个工作日之内,又发生了一次盗窃。我们开始借助 Kickidler 监控登录 CRM 的人员操作,并分析员工在网站上的活动。在你们的软件(Kickidler)中,可以使用筛选器查看用户与指定网站或程序交互的完整历史。最终正是这一点帮助了我们。
Kickidler:如果文件操作没有记录到泄漏,那作案者是如何偷走客户数据库的?找到他需要很大力气吗?
Michael:我们立即明白,数据库并不是直接从 CRM 中导出的,因为我们从那个资源买到的数据格式与 CRM 中可导出的格式不同。剩下的可能性只有一个:有人使用拍摄设备,直接从个人电脑屏幕上拍摄数据库页面,然后手动或借助光学字符识别服务将其转换成文本格式。
这样的排查工作非常艰难,但我们通过一个技巧大大简化了流程。大约有 150 人可以访问该数据库,其中 30 人拥有完整访问权限。泄露数据库的可能是这些人中的某一个,也可能是某个获得了拥有完整权限员工电脑访问权的人。
无论如何,关键点在于:员工通常会使用 CRM 中的任务列表,并打开客户卡片。为了实施他的计划,作案者至少需要访问 10 个页面来拍摄它们。基于这一观察,我们在 Kickidler 中创建了一个 Web 地址违规规则,具体来说,就是 CRM 数据库第 10 页的访问违规。这样,我们就看到了所有访问过该页面的人。
Michael:随后,我们查看了由视频录制功能(Kickidler)记录的用户在该页面上的操作视频,识别出几名员工的可疑活动,记录下这些可疑行为发生的时间,并查看这些时间段内的 CCTV 监控录像。也正是在这里,我们很幸运。结果发现,其中一名经理在午休时间、办公室里没有其他人的时候,用手机拍摄了个人电脑屏幕。事实上,很多人本来就怀疑这名员工。
Kickidler:他的后续情况如何?
Michael:我不能披露这类信息,但我可以说的是——他已经不在我们公司工作了。当然,他造成的损失无法挽回,但至少我们摆脱了这个破坏者,否则他未来还可能做出更多有害的事情。
喜欢这篇文章吗?欢迎在社交媒体上订阅我们。
目录
分享该帖子