Spam. Ügyfelünk, egy kicsi, de növekvő online kiskereskedő, aki kézzel készített lakberendezési tárgyakra és egyedi ajándékokra specializálódott, ez a négybetűs szó az egész márkáját veszélyeztette. A vállalat büszke volt hűséges vásárlói bázisára és minden ügyfélhez való személyre szabott hozzáállására.
Egy bizonyos ponton az online áruházba panaszok érkeztek a vásárlóktól, hogy spam e-maileket és telefonhívásokat kapnak. A spamek gyakran hivatkoztak a kiskereskedőtől korábban történt vásárlásaikra. A vásárlók érthető módon dühösek voltak, és aggódtak amiatt, hogy kiszivárogtak az elérhetőségeik.
The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.
A megoldás
Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.
A vállalat által használt legfontosabb CleverControl funkciók a következők voltak:
- Élő megtekintés: an opportunity to view employees' screens in real time could help catch the culprit red-handed.
- Képernyőfelvételek: these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
- Pillanatképek: since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
- Alkalmazás- és weboldal-felügyelet: tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
- Külső tárolóeszközök felügyelete: a vállalatnak tudnia kellett, hogy valaki átmásolta-e az ügyféladatbázist egy USB-meghajtóra vagy más külső tárolóeszközre.
- E-mail megfigyelés: amennyiben az adatbázis e-mailen keresztül szivárogna ki, a CleverControl rögzítené a szivárgást.
- Arcfelismerés: ez a funkció felfedheti, hogy ki férhetett hozzá az irodai számítógépekhez, különösen azokhoz, amelyek hozzáférnek az ügyféladatbázisokhoz.
- Video- és hangfelvételek készítése bizonyos irodai területeken, megfelelő értesítésekkel: a munkaállomások közelében történő hangrögzítés potenciálisan felfedheti az adatszivárgással vagy illetéktelen megbeszélésekkel kapcsolatos szóbeli kommunikációt.
A nyomozás
The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.
In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:
- The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
- A képernyőképek és képernyőfelvételek azt mutatták, hogy a felhasználó egy nagyméretű CSV-fájlt exportált az ügyféladatbázis mappájából az asztalára. A fájlt röviddel ezután átmásolta egy USB-meghajtóra.
Amikor a vezérigazgató másnap szembesítette az ügyfélszolgálati képviselőt a gyanús tevékenységgel, az tagadta az összes vádat. Az alkalmazott ragaszkodott ahhoz, hogy az incidens idején néhány kollégájával egy bárban volt, és a kollégák megerősítették a szavait.
Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.
Az állásfoglalás
A CleverControl által gyűjtött adatok belső fenyegetést észleltek. A marketing asszisztens volt felelős az ügyféladatbázis ellopásáért. A fájl exportálás, az USB átvitel, a munkaidő utáni tevékenység és a munkakeresés szándékos adatlopási kísérletre utalt.
Amikor bemutatták neki a részletes fájltevékenységi naplókat és az USB-kapcsolati nyilvántartásokat, a marketingasszisztens bevallotta, hogy letöltötte és lemásolta az ügyféladatbázist. Tudta, hogy az ügyfélszolgálati munkatárs gyakran elfelejtette lezárni a számítógépét, és megragadta a lehetőséget, hogy ellopja az érzékeny adatokat. Az asszisztens néhány hónappal ezelőtt tette ezt, és szándékában állt eladni egy frissített adatbázist egy versenytársának, hogy kiegészítse a jövedelmét, mivel új állást keresett.
The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.
A vezérigazgató emellett szigorúbb hozzáférési ellenőrzéseket vezetett be az ügyféladatbázishoz, többfaktoros hitelesítést, valamint az alkalmazottak fokozott képzését az adatbiztonságról és az etikai felelősségről.
Következtetés
A CleverControl ebben az esetben létfontosságú szerepet játszott a belső fenyegetések felderítésében. Ez szolgáltatta a szükséges bizonyítékokat az adattolvaj gyors azonosításához, és gyors intézkedéseket tett a kár enyhítésére és a jövőbeli incidensek megelőzésére. Emellett ez az eset hangsúlyozza, hogy a kizárólag a fájlnaplókra vagy a tevékenységkövetésre való hagyatkozás félrevezető lehet. Az arcfelismerés további felismerési rétegként szolgált, és segített azonosítani a lopást elkövető tényleges felhasználót. A CleverControl nem csak a biztonsági megfigyelésben bizonyult felbecsülhetetlen értékűnek, hanem a belső vizsgálatok tisztességességének és pontosságának biztosításában is.




