我们的客户是金融领域一家公司的安全部门主管,他分享了一个真实案例,讲述了他们如何使用企绩监控员工监控软件和其他信息安全技术手段发现组织内部的内部人员。
应客户要求,我们更改了故事中的一些名字,包括受访者的名字,但一系列事件没有改变。
企绩监控:请告诉我们您是如何发现团队中有内鬼的。
Michael:客户销售管理层的信号开始出现。大约从9月开始,我们的产品使用率急剧下降。当然,我们开始给客户打电话,试图找出是谁给了他们“更好的报价”。但奇怪的是,几乎在所有情况下,受益者都不一样。这意味着公司内部有“敌方间谍”的说法并不成立。
企绩监控:你们是如何确定是内部人员的?销售下降可能是由多种因素造成的。
Michael:一位客户告诉我们,他同时接到了多个机构的电话,这让我们想到了另一个想法。我们与营销部门一起监控各种互联网资源,寻找与我们业务领域相关的客户群销售信息。我们找到了几个资源,并在所谓的“暗网”上测试购买了一个与我们业务领域相同的客户群。
企绩监控:那时你们已经在使用企绩监控了吗?
Michael:不,我们还没有。我们当时(现在仍然)安装有DLP软件,该软件可以控制所有文件操作。只有通过台式机才能访问公司数据——即使是最高管理层也是如此。如果有人通过下载、邮件发送、云端加载、信使发送等方式获取了客户信息,甚至打印并扫描了客户信息,那么我们99%会抓住这个“漏洞”——当然,前提是罪犯不是“黑客高手”。在上述事件发生后,我们决定在DLP之外再下载EMS(注:员工监控软件),以便该工具能够记录用户在个人电脑上的所有操作。
企绩监控:您是立即选择了我们的程序吗?
Michael:总的来说,是的。它满足了我们的主要需求。我们需要监控所有有权访问CRM的人的屏幕,而且,正如我之前所说,我们需要记录用户在计算机上的所有操作。你们比同类软件更好地满足了这些需求。
企绩监控:那么,员工监控软件是如何帮助你们找到罪魁祸首的呢?
迈克尔:我们一直在检查客户群最后一次购买资源的来源。直到有一天,那里出现了有关更新的信息。我们又进行了一次测试购买,结果发现更新实际上只有一天的历史。这意味着大约在两个工作日内又发生了一起盗窃案。我们开始在企绩监控的帮助下监控登录CRM的人员的行为,并分析员工在网站上的活动。在你们的软件(企绩监控)中,可以使用过滤器查看用户与所选网站或程序的所有交互记录。这最终帮助了我们。
企绩监控:如果客户群没有记录在操作文件中,那么犯罪分子是如何窃取客户群的?找到他需要花费很多精力吗?
迈克尔:我们立即意识到,客户群并非直接从CRM中下载的,因为我们是从其他格式的资源中购买的,这些格式与CRM中的格式不同。我们只剩下一个选择——有人使用拍照设备直接从个人电脑屏幕上拍摄了客户群页面,然后手动或通过光学字符识别服务将其转换为文本格式。
这种搜索工作非常辛苦,但我们通过一个小技巧大大简化了搜索过程。我们有大约150人可以访问数据库。其中30人拥有完全访问权限。这些人中可能有人泄露了数据库,也可能有人获得了拥有完全访问权限的员工个人电脑的访问权限。
无论如何,问题在于员工通常使用CRM中的任务列表,此外,他还需要登录客户卡。为了部署他的计划,犯罪分子需要至少访问10页才能拍照。根据这一观察,我们在企绩监控中创建了一个违反网址,即CRM数据库第10页,并查看了访问该页面的人员。
屏幕截图:企绩监控软件违规面板上的CRM活动
然后,我们查看了视频录制功能(企绩监控)在此页面上记录的用户操作视频,识别出多名员工的可疑活动,记录了可疑行为发生的时间,并查看了这些时间段内的闭路电视录像。这就是我们的运气所在。结果发现,一位经理在午休时用手机拍下了办公室无人时个人电脑屏幕的画面。事实上,很多人怀疑是这名员工干的。
企绩监控:他的未来会怎样?
迈克尔:我不能透露这些信息,但我可以告诉你——他已经不再为我们工作了。当然,他造成的损失无法挽回,但至少我们摆脱了这个破坏者,他未来可能还会做很多坏事。
您喜欢这篇文章吗?请在社交媒体上订阅我们。
5 分钟
