消失的 ta 解析

>>>

前情提要

一个月前， A 公司在某项目的竞标中突然失利，长期竞对 B 公司以微弱优势中标。近期，经多方打探后得知失利原因竟是 B 公司提前拿到了 A 公司内部的报价文件。因此， A 公司 CEO 大发雷霆，要求彻查此事，公司紧急成立「专案组」，势要找出泄露公司机密又混迹在团队中的那个「消失的 ta」！

 

安全部门小王作为专案组成员之一，在清楚事情来龙去脉之后，沉着冷静地凭借他的秘密法宝-青骓 DDR，开始了一段抽丝剥茧、细致入微的追击之旅。

 

说起来，这个安全事件的爆发对他来说是个好机会，之前他在下发青骓 DDR 响应策略的时候，受到了来自业务方极大的阻力，说什么影响业务开展，相信每位员工都是正直善良的，怎么可能存在数据泄露的问题，因此目前根本无任何响应策略，现在证明的机会来了！

 

 

>>>

以下是沉浸式破案时间

破案前 4 小时

专案组首次沟通会议。

 

破案前 3 小时

小王登录了青骓 DDR 后台，进入「数据资产地图」界面，把获得的该项目报价文件进行了上传扫描。近两个月，哪些人和设备拥有过该份文件，结果一目了然。

 

 

接着小王把识别出来的所属信息，根据是否有权限拿到这份报价表进行了分类。

 

 

接下来的选择，你猜小王会先排查哪部分人？

 

小王对没有权限却拥有的人产生了极大疑惑，原因很简单，不是他应该需要的材料，他是怎么获得的？又有什么需要呢？嫌疑很大，查！

 

嫌疑人一号：品牌部傅某

 

此时，小王点开了「数据流转分析」查看傅某是何时通过何种方式得到的报价文件，并对其进行了什么操作。

 

 

哦，原来是销售胡某（该招标项目成员）想要向傅某要一份公司介绍的材料，在毫无防护意识的情况下，就把项目相关材料都发给了傅某。傅某在完成相关内容填写后又发还给了胡某，并且无其他外发的记录。

 

随后，与相关人员都进行了约谈，并对时间点及细节完成了逐一确认，品牌部傅某嫌疑基本解除。

 

破案前 2 小时

排除了品牌部傅某的嫌疑，小王又把视角切换到有权限能拿到报表的这部分人身上，其中有：

• 公司管理层：CEO、CFO、CMO（没有外发行为，基本可以排除）
• 销售部门：销售胡某、销售管理钱某
• 解决方案部：售前张某、售后段某

 

破案前 1 小时

嫌疑人二号：销售胡某

嫌疑人三号：销售管理钱某

嫌疑人四号：售前张某

嫌疑人五号：售后段某

 

重新锁定了嫌疑人，几位都有报价表的外发行为，那要如何再进一步锁定内鬼呢？

 

随后，小王打开了「用户行为日志」功能，详细展示了各位嫌疑人近期的行为动态。终于，在行为分析中，发现了突破口。

 

 

那么，真相只有一个！

 

 

小王一键导出安全事件分析报告，并快速召集专案组进行商讨，在其他成员一筹莫展之时，他已经快速完成了整个事件的溯源。

 

随着证据链的完整呈现，售后段某终于供认不讳，并流下了悔恨的泪水，消失的他终于浮出水面！

 

---

 

>>>

青骓 DDR 小贴士

青骓 DDR，作为下一代 DLP，凭借「全生命周期数据监测」技术，在敏感数据生命周期的初始阶段就开始对它们生成、更改、流转进行持续追踪与监测，形成数据流转图。同时，以事件触发为条件，快速串联起「用户-终端-数据」，明晰三者之间的关系，为企业数据合规、动态、高效的管控提供最大助力。

 

基于本案，青骓 DDR 有一些企业数据安全小贴士：

01.

根据对中国裁判文书网络历年的判例，企业数据泄露角色 80% 来自内部人员，因此建议企业仍需要通过合理的权限管控、策略配置等来尽可能降低数据泄露风险；

02.

业务和安全需要找到合适的平衡点，发展固然重要，但是必要的响应策略也不可或缺。企业可以从自身出发，对于不同价值的数据配以提醒、审批、阻断等不同程度的管控，从而保障企业可持续发展；

03.

定期可以进行内部安全意识的培训，提醒员工数据安全的重要性。同时，对于窃取企业重要数据的行为不能抱有侥幸心理，监管无声但行为有痕。