Программный комплекс Staffcop Enterprise
StaffCop Enterprise – информационно-аналитическая система для контроля действий сотрудников, потоков информации и событий системы. StaffCop фиксирует все события, каналы движения информации и файлов внутри компании и их передачу за пределы. Позволяет анализировать эффективность деятельности сотрудников, получить реальный KPI, а также обеспечить контроль и защиту важной информации, расследовать инциденты, выявлять инсайдеров и злоумышленников.
Программный комплекс состоит из двух компонентов — серверной части и программы-агента. Одной из ключевых функций Staffcop Enterprise является функция контроля продуктивности и работы персонала. Несмотря на субъективность термина, продуктивность можно оценивать вполне объективными показателями. Для этого в StaffCop Enterprise предусмотрена возможность разделить действия пользователя на категории. Например: развлекательные ресурсы, игры, офисные приложения, графические редакторы, бухгалтерские программы и т.п. Причем настройки можно задать как на группу пользователей, отдел, департамент, так и на конкретного сотрудника. Система автоматически будет рассчитывать сколько времени пользователь использовал на продуктивные или непродуктивные приложения и сайты.
StaffCop фиксирует все действия пользователей и предоставляет несколько отчётов:
- Ленточный график рабочего времени всех сотрудников;
- Детализированный отчёт по каждому сотруднику;
- Табель учёта рабочего времени по форме Т-12;
- Рассылка ежедневных отчётов по электронной почте.
- Контроль электронной почты
- Мониторинг файлов и папок
- Блокировка нежелательных сайтов
- Блокировка USB-устройств
- Логирование всех подключений по IP-протоколам
- Блокировка запуска приложений
- Контроль социальных сетей
- Отслеживание поисковых запросов
- Удаленное администрирование
- Контроль продуктивности сотрудников
- Скриншоты рабочих столов
- Онлайн просмотр рабочего стола сотрудника
- Мониторинг шифрованного трафика
- Контроль присутствия на рабочем месте
- Инвентаризация компьютеров
- Мониторинг процессов и приложений
Staffcop: взгляд со стороны
Всем привет! Меня зовут Михаил, и я работаю с данными в системах класса предотвращения утечек информации (DLP) и системах поведенческого анализа. За много лет работы в сфере ИБ мне посчастливилось познакомиться со многими системами. Одно из недавних знакомств — StaffCop Enterprise v.4.4.
В этом обзоре я буду делиться впечатлениями от использования в работе системы StaffCop.
Интерфейс
Для подобных продуктов толковый, удобный интерфейс очень важен, все-таки аналитику приходится работать с ним каждый день.
Снимок рабочего стола:
Мне понравилось то, как всё структурировано, но расположение панелей поначалу вызывает лёгкий ступор. Впрочем, позднее привыкаешь к такой реализации и довольно быстро начинаешь выполнять задачи.
А за удачное отображение информации StaffCop стоит похвалить! При анализе событий доступны такие измерения как таблица, линейный график, круговая диаграмма, граф и дерево. В разных задачах эти представления данных могут очень помочь в поиске решения.
Для просмотра событий можно использовать таблицу, список, снимки, переписку, формирующую беседы по темам, и тепловую диаграмму, которая позволяет взглянуть на ситуацию в целом и быстро обнаружить подозрительную активность.
Единственное, что пока огорчает — отсутствие «кейс-менеджмента», то есть полноценной работы с инцидентами.
Инструменты
Теперь о задачах, которые приходилось решать и о том, как это делать с помощью StaffСop.
Важное замечание: пока у меня не было опыта использования Staffcop на больших объемах, поэтому что-то сказать о скорости поиска в глубоких архивах не могу.
1. Чем сотрудник занят на рабочем месте?
Нажимаем всего ОДНУ кнопку и загружаем карточку измерений (в данном случае по сотруднику):
В ней много полезного: данные из AD, последняя активность, активности на сайтах и в приложениях, информация, на каких ПК пользователь авторизовывался, контакты и графы переписки, поисковые запросы и учет рабочего времени.
Причем в системе есть возможность для редактирования этой карточки, т.е. можно добавить/убрать различные модули информации. Есть и карточки измерений по многим другим сущностям: например, по файлу, сайту, устройству и т.д.
Но есть и некоторые недочеты, при попытке выгрузить карточку для отправки, её необходимо отправить на печать и сохранить в формате PDF. Неудобно, к тому же есть проблемы с масштабированием: в некоторых случаях используются слишком мелкие шрифты.
2. Контроль сотрудников в реальном времени
Речь идет о подключении к рабочему столу конкретного сотрудника и контроль за его действиями. Да-да, не удивляйтесь, такие задачи не редкость.
Такой механизм есть, и он реально работает, причем в текущей версии, был внедрен так называемый «квадратор», то есть одновременный показ нескольких рабочих столов.
Но, как всегда, хочется большего. Например, если сотрудник заблокировал рабочий стол и ушел по делам, у вас по-прежнему будет отображаться его рабочий стол. Заметить, что самого сотрудника нет, можно только по остановившемуся времени на часах.
Возможность захвата управления проверил в тестовых целях. Работает хорошо, но на практике пока не пригодилось.
3. Детектор аномалий и задачи по отслеживанию движения файла
Сразу отмечу, что не все подобные системы обладают подобной функциональностью, поэтому расскажу об этих инструментах подробнее.
Выдержка про детектор аномалий из базы знаний вендора:
Новый вид отчёта, в котором выражены «аномалии» в перехваченных событиях на рабочих станциях пользователя.
Аномалией считается превышение количества событий определённого типа за час, если оно в 10 и более раз превышает стандартное значение, вычисленное за прошлую неделю работы системы.
Порог срабатывания системы для аномалий можно менять. Этот порог задаётся в виде цифры превышения количества раз от стандартизированных значений событий, собранных за определённый период времени работы.
Выглядит просто и понятно, а как использовать информацию зависит только от вас.
Отдельно о карте распространения.
Для поиска упоминания какого-то файла нужно, как и в случае с сотрудником, открыть карточку измерения файла. В ней содержится информация, о том кто, где, когда и как работал с ним. При этом можно быстро построить визуальную схему движения информации.
Для чего это нужно? Для решения стандартной задачи: найдите мне кто работал с … /слил отчет по продажам.
4. Отчеты об эффективности работы сотрудников
Это один из важных инструментов для продуктов этого класса, которые уходят от DLP в чистом виде. У StaffCop много различных вариантов отчетов, и они выдают довольно реалистичную информацию.
Эта тема наверняка близка тем, кто пытался делать отчеты об активности пользователя, например, с помощью систем web-proxy. Обычно у пользователя тысячи сработок на баннеры, открытые на сайте, и вычислить, сколько же он реально «сёрфил» в интернете, практически невозможно.
Причем запросов от руководства, чем занят тот или иной сотрудник поступает примерно столько же, сколько и задач по расследованию утечек информации. В случае со StaffCop на составление такого отчета тратится всего лишь минута, а с другими DLP-системами, не обладающими подобными инструментами, можно угробить весь день на выполнение такого задания.
Заключение
StaffCop развивается стремительно. Основной упор делается на контроль рабочего места сотрудника. В арсенале есть такие фишки, как контроль установки/удаления ПО, реестр этого ПО и железа, имеющиеся далеко не у всех систем, представленных на рынке ИБ.
Сейчас StaffCop — это система контроля рабочего времени сотрудников с рядом удобных инструментов и некоторыми возможностями DLP. Какой она станет завтра — открытый вопрос.
Да, есть недостатки: где-то что-то не отображается или не перехватывается. Вендор такие баги старается оперативно устранять.
В общем, StaffCop — достойный продукт для решения нетиповых задач ИБ.
Михаил Годжаев, руководитель направления анализа событий Блока DLP компании Infosecurity a Softline Company.
- Блог компании Softline
- Информационная безопасность
Возможности StaffCop Enterprise для системных администраторов
Система мониторинга действий пользователей StaffCop Enterprise имеет функции, полезные не только для специалистов ИБ, но и для системных администраторов. В частности, она позволяет блокировать съемные носители, контролировать сетевой трафик, проводить инвентаризацию программных приложений и оборудования, организовывать песочницу для тестирования программ.
Когда компания приобретает систему мониторинга поведения пользователей, то цель администрирования не первая в списке. Тем приятнее узнать, что такая система (StaffCop, например) сильно облегчает жизнь системному администратору.
И это логично: система, которая фиксирует действия сотрудников, установлена на всех машинах в компании и работает не только внутри сети, имеет едва ли не самый полный каталог оборудования и программного обеспечения, которое есть в компании. А таким аналитическим инструментарием, как у StaffCop, просто грех не воспользоваться в мирных целях сисадмина. Поскольку система предназначена для работы в условиях, когда у компаний много филиалов, точек, удаленных сотрудников, не объединенных внутренней сетью, в ней изначально заложена и с каждым релизом развивается способность решать как можно больше задач дистанционно.
Одно из базовых требований защиты информации — обеспечение контроля портов, поскольку периферийные устройства — самый распространенный канал утечек информации. Если у вас есть StaffCop, то можно заблокировать CD и USB-порты на любой рабочей станции компании, буквально не вставая с места. При этом не важно, входит компьютер во внутреннюю сеть, находится в филиале или принадлежит удаленному сотруднику. Можно настроить использование USB-носителей только из разрешенного списка (система умеет идентифицировать устройства по GUID).
Рисунок 1. Настройка контроля USB-носителей в StaffCop Enterprise
В системе StaffCop есть возможность контроля сетевого трафика. Можно получать информацию о том, кто какими сайтами пользуется, с разбивкой по времени, по пользователям, с возможностью записи видео экрана. Система позволяет настраивать доступ к сайтам по белым и черным спискам. Отслеживается выход пользователей на внешние (некорпоративные) почтовые ящики, отправка документов и сохранение их на облачных сервисах, использование разнообразных интернет-мессенджеров. Есть средства анализа, позволяющие получить информацию в виде удобных отчетов, которые формируются в реальном времени, например, о самых используемых интернет-приложениях.
Рисунок 2. Контроль сетевого трафика в StaffCop Enterprise
Таким образом, система справляется с задачами, которые решаются с помощью прокси-сервера. Все эти возможности настраиваются из одного интерфейса, причем вы можете гибко настраивать доступ в сеть по отделам, по группам пользователей и индивидуально. Кроме того, StaffCop позволяет выяснить, по каким ip-адресам и портам и с помощью какого приложения осуществлялся выход в интернет.
Рисунок 3. Аналитическая сводка в StaffCop Enterprise
Удаленное управление АРМ с помощью StaffCop — решение, которое лежит на поверхности. Если у вас есть StaffCop Enterprise, то вам уже не нужны программы, подобные TeamViewer. Вы можете подключиться к рабочему месту сотрудника и помочь решить проблему, понаблюдать за действиями пользователя (до 16 компьютеров одновременно). При необходимости можно перехватить управление.
Рисунок 4. Удаленное управление АРМ с помощью StaffCop Enterprise
Специальная возможность StaffCop — инвентаризация программного обеспечения и оборудования. Вам не нужно лично ходить по офису или ездить по филиалам, чтобы провести инвентаризацию. StaffCop Enterprise с заданной частотой будет производить ее в автоматическом режиме и сверять список имеющихся приложений и устройств с тем, который был задан при установке агента. Если произошла пропажа или подмена оборудования, это не останется неизвестным. Например, случались истории, когда сотрудники снимали дорогую видеокарту или карту памяти и ставили дешевую, но системный администратор вовремя получал уведомление, и оборудование возвращали на место. Кроме того, система даст знать, если было установлено какое-либо программное обеспечение, вредоносное, нелицензионное или просто нештатное. Список инвентаризации можно выгрузить и работать с ним вне StaffCop.
Рисунок 5. Инвентаризация программного обеспечения и оборудования в StaffCop Enterprise
Одна из самых интересных функций StaffCop для администратора — возможность организовать так называемую песочницу: своеобразный полигон для тестирования новых программ, писем с незнакомых адресов и т. п. Вы устанавливаете программу, определяете для нее строго контролируемую среду, закрытую для остальной сети, и наблюдаете, как программа будет себя проявлять. Иногда получаются очень интересные результаты, когда в безобидную на вид программу зашит алгоритм хищения данных, или вполне лицензионный солидный продукт ищет доступ к внутренним ресурсам и отправляет информацию производителю. Не говоря уже об откровенно вредоносных программах или фишинговых письмах, для которых вредительство — основная цель.
По отзывам системных администраторов, работа со StaffCop Enterprise удобна, к интерфейсу быстро привыкаешь. Функции, которые раньше были головной болью, теперь выполняются практически сами собой.
При подготовке материала использовались источники:
https://www.altx-soft.ru/catalog/staffcop/programmnyy-kompleks-staffcop-enterprise/
https://habr.com/ru/companies/softline/articles/433646/
https://www.anti-malware.ru/analytics/Technology_Analysis/scope-StaffCop-Enterprise-for-system-administrator