“Проблема утечек данных через личную почту выглядит как нечто неизбежное и недоказуемое. Инциденты возникают, но найти и доказать виновника — сложно. Я покажу, как можно получить структурированные цифры по всем несанкционированным передачам данных из корпоративной инфраструктуры за прошлый месяц, не нарушая закон и не запуская страшные DLP-системы. Всё, что нужно,, это облачные логи доступа к файлам и немного SQL.”
Почему личная почта, это брешь, а не мелочь
Облачное хранилище файлов часто рассматривается как изолированная система. Настроили доступ по корпоративным учётным записям, прописали политики безопасности — и проблема решена. Однако пользователи редко работают только в рамках выделенного им инструмента. Бизнес-процессы не стоят на месте: нужно отправить файл контрагенту, поделиться макетом с фрилансером, срочно получить доступ к чертежу с личного устройства. И здесь начинается параллельная реальность.
Данные покидают контролируемый периметр не через хакерские атаки, а через стандартные, «безобидные» действия: скачивание файла на личный компьютер с последующей отправкой через Gmail, Yandex Почту или любой другой веб-клиент. В корпоративных DLP этот канал часто остаётся слепым пятном, особенно если речь идёт о личных устройствах или почтовых сервисах, не проходящих через корпоративный шлюз.
Задача не в тотальном запрете. Задача в измерении. Без понимания масштаба явления любые меры, это стрельба в темноте. Следующий раздел показывает, откуда взять сырые данные для такого анализа.
Источник данных: логи доступа к облачным файлам
Современные облачные платформы для хранения и совместной работы ведут детальные логи всех операций с файлами. Каждый раз, когда пользователь открывает, скачивает, редактирует или делится файлом, в системный журнал записывается событие. В этих событиях содержится ключевая для расследования информация: кто, что, когда и откуда.
Основные поля, которые представляют интерес:
- timestamp: Дата и время события.
- actor_email: Адрес электронной почты пользователя, совершившего действие.
- ip_address: IP-адрес, с которого было выполнено действие.
- event_name: Тип события (например, «download», «view», «share»).
- file_name: Имя файла, над которым производилось действие.
- file_path: Путь к файлу в облачном хранилище.
Эти логи обычно доступны для экспорта администратором в форматах JSON или CSV. Они и станут основой для нашего расследования.
Как отделить корпоративный трафик от личного
Самый важный этап — фильтрация. Не каждое скачивание файла является подозрительным. Сотрудники работают с офисных компьютеров, корпоративных ноутбуков и иногда — с разрешённых мобильных устройств. Весь этот трафик должен быть исключён из анализа, чтобы не утонуть в шуме.
Фильтрация происходит по двум основным векторам: IP-адресам и временным интервалам.
Белый список IP-адресов
Составьте список доверенных сетей:
- Офисные сети (например, 192.168.1.0/24, 10.10.0.0/16).
- Диапазоны адресов, выделенные для корпоративных VPN