КАК РАССЛЕДОВАТЬ УТЕЧКИ ИНФОРМАЦИИ. ЧАСТЬ 2
#расследования

Безусловно, на рынке масса решений призванных помочь с расследованием утечек данных. Конечно же на ум сразу приходят коммерческие deception решения типа Xello, R-TDP или разработки от той же AVsoft. И это я только российские вспомнил. Но мы будем стараться решать задачи с минимумом бюджета или полным его отсутствием. Знакомая история, ведь правда?

Одним из основных способов отслеживания утечек является маркировка данных, собственно, для дальнейшего их отслеживания. И тут вариантов может быть масса- и «контролируемые утечки» в стиле романа «Статский советник» (помните, как Фандорин, назначил встречу в банях всем подозреваемым, но в разных номерах?) и отслеживания факта открытия или редактирования файла используя различные «маяки» и применение различной «дополнительной нагрузки» которая бы вела различную контрразведывательную деятельность уже на стороне злоумышленника и еще много чего того на что будет способна ваша фантазия и оперативный опыт.

Сегодня я остановлюсь на трех методах из собственного арсенала:

Метод №1 «Водяные знаки»
Физические объекты (ценные бумаги, документы и тп) всегда можно отмаркировать, чтобы сделать их в своем роде уникальными носителями идентифицируемых признаков. То же самое можно сделать с файлами при помощи «стеганографии» - методики помещения одной информации в другую. Тут конечно же приходит на ум старички OpenStego и OpenPuff которые из удобного и лаконичного интерфейса позволяет проводить все операции с файлами и их маркировкой.
Есть одно «но» - детектируется антивирусами уже достаточно регулярно, но вы всегда можете найти альтернативу или свежий форк.

Основываясь на этом же методе, работает решение wholaked получая файл, который будет использоваться совместно, и список получателей оно создает уникальную подпись для каждого получателя и скрыто добавляет ее в файл. После этого wholaked автоматически отправляет файлы соответствующим получателям с помощью интеграции Sendgrid, AWS SES или SMTP, ну или по старинке «вручную»

Метод №2 «Маяки»
Тут во всю правит бал знаменитая «канарейка» и ее различные вариации с открытым исходным кодом. Штука хорошая и удобная, ввиду своей формы - может быть как внешний сервис, а может быть и развернута где-нибудь у вас на сервере. И содержания – повесить «маяк» можно на очень разные действия.

Метод №3 «Хакерский»
Тут уже на свой страх и риск, ибо законодательство той страны в которой вы находитесь может это расценивать не в вашу пользу. Я же плохому вас не учу и всячески это порицаю, но про способ рассказать должен.
К вашему документу вполне может быть прикреплен микро сервис, который при открытии документа будет захватывать например доступ к микрофону или камере на компьютере злодея как это делают SayHello или CamPhish