Spam. Για τον πελάτη μας, έναν μικρό αλλά αναπτυσσόμενο διαδικτυακό λιανοπωλητή που ειδικεύεται στη χειροποίητη διακόσμηση σπιτιού και στα δώρα κατά παραγγελία, αυτή η λέξη με τα τέσσερα γράμματα απείλησε ολόκληρο το εμπορικό σήμα του. Η εταιρεία ήταν υπερήφανη για την πιστή πελατειακή της βάση και την εξατομικευμένη προσέγγιση σε κάθε πελάτη.
Κάποια στιγμή, το ηλεκτρονικό κατάστημα άρχισε να δέχεται παράπονα πελατών για μηνύματα ηλεκτρονικού ταχυδρομείου και τηλεφωνήματα spam. Τα ανεπιθύμητα μηνύματα συχνά αναφέρονταν στις προηγούμενες αγορές τους από το κατάστημα λιανικής πώλησης. Όπως είναι λογικό, οι πελάτες ήταν θυμωμένοι και ανησυχούσαν για το πώς διέρρευσαν τα στοιχεία επικοινωνίας τους.
The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.
Η λύση
Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.
Τα βασικά χαρακτηριστικά του CleverControl που χρησιμοποιήθηκαν από την εταιρεία περιλαμβάνουν:
- Ζωντανή προβολή: an opportunity to view employees' screens in real time could help catch the culprit red-handed.
- Εγγραφές οθόνης: these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
- Στιγμιότυπα: since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
- Παρακολούθηση εφαρμογών και ιστότοπων: tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
- Παρακολούθηση εξωτερικών συσκευών αποθήκευσης: η εταιρεία έπρεπε να γνωρίζει αν κάποιος αντέγραψε τη βάση δεδομένων των πελατών σε μονάδα USB ή άλλη εξωτερική συσκευή αποθήκευσης.
- Παρακολούθηση ηλεκτρονικού ταχυδρομείου: σε περίπτωση που η βάση δεδομένων διαρρεύσει μέσω ηλεκτρονικού ταχυδρομείου, το CleverControl θα καταγράψει τη διαρροή.
- Αναγνώριση προσώπου: αυτή η λειτουργία θα μπορούσε να αποκαλύψει ποιος είχε πρόσβαση σε υπολογιστές γραφείου, ιδίως σε εκείνους με πρόσβαση σε βάσεις δεδομένων πελατών.
- Βιντεοσκόπηση και ηχογράφηση σε συγκεκριμένους χώρους γραφείων με κατάλληλες ειδοποιήσεις: η καταγραφή ήχου κοντά σε σταθμούς εργασίας θα μπορούσε ενδεχομένως να αποκαλύψει προφορικές επικοινωνίες που σχετίζονται με διαρροές δεδομένων ή μη εξουσιοδοτημένες συζητήσεις.
Η έρευνα
The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.
In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:
- The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
- Τα στιγμιότυπα οθόνης και οι καταγραφές οθόνης έδειξαν ότι ο χρήστης εξήγαγε ένα μεγάλο αρχείο CSV από το φάκελο της βάσης δεδομένων πελατών στην επιφάνεια εργασίας του. Αμέσως μετά αντέγραψε το αρχείο σε μια μονάδα USB.
Όταν ο διευθύνων σύμβουλος αντιμετώπισε τον εκπρόσωπο εξυπηρέτησης πελατών για την ύποπτη αυτή δραστηριότητα την επόμενη ημέρα, εκείνος αρνήθηκε όλες τις κατηγορίες. Ο υπάλληλος επέμεινε ότι βρισκόταν σε ένα μπαρ με μερικούς συναδέλφους την ώρα του περιστατικού και οι συνάδελφοι επιβεβαίωσαν τα λεγόμενά του.
Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.
Το ψήφισμα
Τα δεδομένα που συλλέχθηκαν από την CleverControl εντόπισαν μια εσωτερική απειλή. Ο βοηθός μάρκετινγκ ήταν υπεύθυνος για την κλοπή της βάσης δεδομένων πελατών. Η εξαγωγή αρχείων, η μεταφορά USB, η δραστηριότητα μετά το πέρας του ωραρίου και η αναζήτηση εργασίας υποδείκνυαν μια σκόπιμη απόπειρα κλοπής δεδομένων.
Όταν του παρουσιάστηκαν τα λεπτομερή αρχεία καταγραφής της δραστηριότητας των αρχείων και τα αρχεία σύνδεσης USB, ο βοηθός μάρκετινγκ ομολόγησε ότι κατέβασε και αντέγραψε τη βάση δεδομένων των πελατών. Ήξερε ότι ο εκπρόσωπος εξυπηρέτησης πελατών συχνά ξεχνούσε να κλειδώνει τον υπολογιστή του και άρπαζε την ευκαιρία να κλέψει ευαίσθητα δεδομένα. Η βοηθός το έκανε πριν από μερικούς μήνες και σκόπευε να πουλήσει μια ενημερωμένη βάση δεδομένων σε έναν ανταγωνιστή για να συμπληρώσει το εισόδημά της, καθώς αναζητούσε νέα δουλειά.
The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.
Ο Διευθύνων Σύμβουλος εφάρμοσε επίσης αυστηρότερους ελέγχους πρόσβασης στη βάση δεδομένων των πελατών, έλεγχο ταυτότητας πολλαπλών παραγόντων και ενισχυμένη εκπαίδευση των εργαζομένων σχετικά με την ασφάλεια των δεδομένων και τις ηθικές ευθύνες.
Συμπέρασμα
Το CleverControl διαδραμάτισε ζωτικό ρόλο στην ανίχνευση εσωτερικών απειλών σε αυτή την περίπτωση. Παρείχε τα στοιχεία που χρειάζονταν για τον γρήγορο εντοπισμό του κλέφτη δεδομένων και τη λήψη γρήγορων μέτρων για τον περιορισμό της ζημίας και την αποτροπή μελλοντικών περιστατικών. Εκτός αυτού, η περίπτωση αυτή υπογραμμίζει ότι η στήριξη αποκλειστικά σε αρχεία καταγραφής αρχείων ή στην παρακολούθηση δραστηριοτήτων μπορεί να είναι παραπλανητική. Η αναγνώριση προσώπου λειτούργησε ως ένα επιπλέον επίπεδο αναγνώρισης και βοήθησε στον εντοπισμό του πραγματικού χρήστη που διέπραξε την κλοπή. Το CleverControl αποδείχθηκε ανεκτίμητο όχι μόνο για την παρακολούθηση της ασφάλειας αλλά και για τη διασφάλιση της δικαιοσύνης και της ακρίβειας στις εσωτερικές έρευνες.




