Привет! Меня зовут Роман Франк, я специалист по информационной безопасности.
До недавнего времени я работал в крупной компании в отделе безопасности (техническая защита).
У меня было 2 проблемы: не было нормальных современных технических средств защиты и денег на охрану в бюджете не было.
Но у меня было свободное время для изучения программных решений, и сегодня я хочу подробно рассказать об одном из них — StaffCop Enterprise. Опыт показал мне, что 90% времени, которое я потратил на выявление и расследование утечек информации самостоятельно, было решено с помощью программы за несколько минут. Я настолько глубоко вник в технические детали решения, что ушел из этой компании и теперь работаю в StaffCop специалистом технической поддержки.
Давайте разберемся в StaffCop Enterprise
СтаффКоп Энтерпрайз – система мониторинга действий сотрудников с функционалом DLP. Программа способна:- обеспечивать информационную безопасность в компании (обнаруживает утечки информации и расследует инциденты);
- контролировать действия сотрудников (отслеживает рабочее время, оценивает продуктивность сотрудников, проводит поведенческий анализ, контролирует бизнес-процессы);
- проводить удаленное администрирование (администрирование рабочих станций, инвентаризация компьютеров).
На мой взгляд, ощутимым преимуществом является отсутствие необходимости быть привязанным к локальной сети и невозможность работы через Интернет. Поскольку о периметре информационной безопасности сейчас говорить сложно (любая компания имеет удаленные филиалы или внештатных сотрудников), шлюзовые решения не столь гибки и часто требуют наличия агента на рабочей станции пользователя.
StaffCop легко справляется с этой задачей полного контроля рабочих станций вне локальной сети.
Стек технологий, использованных при разработке, позволяет системе быть менее требовательной к ресурсам и легко интегрироваться с другими системами, а разработчикам — дорабатывать функционал при необходимости.
Также в ближайшее время выйдет дистрибутив с сертификатом ФСТЭК, который подойдет для защиты объектов, требующих 4 класса защиты и ниже.
Все это позволяет системе быть прибыльной, надежной и полезной для различных специалистов.
Начнем с самого главного.
Как система StaffCop может облегчить жизнь охранникам? Давайте рассмотрим основные головные боли человека, задача которого – не допустить взрыва бочек с порохом.
Пороховая бочка может содержать ограниченную информацию, которая становится известна за пределами компании.
Соответственно, главное беспокойство в том, чтобы оно не прошло.
А, если его нет, то как найти злоумышленника и наказать его.
Контроль конфиденциальной информации
Staffcop контролирует все основные каналы передачи информации с компьютеров пользователей на Windows. Агент Linux движется в том же направлении, но пока существует необходимость мониторинга сети.
- Управление операциями с файлами/специальный контроль файлов.
Если вы определили, какие файлы необходимо защитить от посторонних глаз, настройки позволяют перехватывать любые операции с этими файлами, в том числе копирование, печать, сохранение в другом месте и т.п.
Если кто-либо вносит изменения в такие файлы или в их имя, будет создана теневая копия документа.
Стоит подчеркнуть, что если в организации имеется перечень конфиденциальной информации, то сотрудники должны подписать договор о неразглашении этой информации и, что более важно, в этом договоре должно быть указано, что персональные компьютеры являются собственностью компании и данные, обрабатываемые на эти компьютеры могут копироваться, храниться и обрабатываться персоналом службы безопасности.
- Управление съемными носителями.
Флешка – самый популярный способ утечки информации.
Staffcop позволяет настроить мониторинг USB-устройств.
Это означает, что как только кто-то использует флешку, чекист отображает в ленте событий факт подключения съемного устройства.
Более того, любые файлы, отправленные на съемный носитель, будут перехвачены.
Всегда можно будет восстановить полную картину того, как именно была скопирована база данных или другая конфиденциальная информация.
Если есть необходимость, а в крупных организациях необходимость всегда есть, можно запретить все устройства, кроме разрешенных, тех, что находятся в белом списке.
Данные настройки позволяют работать как с блокировкой на ПК пользователей, так и на самих пользователях.
Помимо этого есть контроль над типами устройств, например, можно разблокировать съемные жесткие диски и заблокировать USB-накопители.
- Контроль сетевого трафика/контроль специального сайта .
StaffCop отслеживает все действия пользователей в сети.
Для контроля сетевого трафика используется метод подмены сертификатов; благодаря такой подмене перехватывается весь трафик, идущий через https-соединение.
По умолчанию он зашифрован протоколом TLS, но благодаря подмене его можно расшифровать, перехватить переписку и тем самым закрыть один из важнейших каналов утечки информации — Интернет.
- Перехват почты.
Вы можете перехватить тело письма, список получателей, включая копию и скрытую копию, а также все вложения.
Контроль почты реализован по нескольким направлениям: контроль веб-почты, контроль почты, использующей протоколы POP3, POP3S, SMTP, SMTPS, IMAP, IMAPS, MAPI. Если вашего варианта здесь нет, сообщите нам!
- Контроль мессенджеров.
Основная особенность перехвата, позволяющая не привязываться к исходному коду мессенджеров, — привязка всех событий друг к другу.
Соответственно, указав приложение WhatsApp, мы получим все скриншоты для этого приложения и ввод с клавиатуры.
Вы можете фильтровать связанные события по времени.
То же самое касается и веб-мессенджеров.
Еще я бы рекомендовал настроить специальный контроль для сайтов-мессенджеров, при котором скриншоты будут делаться каждые несколько секунд, если пользователь находится на таком сайте.
- Контроль запуска и установки приложений/контроль специальных программ.
Вы всегда будете знать, какими программами пользуются ваши сотрудники.
Вы можете отфильтровать те приложения, которые неприемлемы в вашей организации, и заблокировать их.
StaffCop дает возможность отслеживать пользователей, которые устанавливают и запускают нелегальное программное обеспечение или, например, работают в AutoCAD или другом корпоративном ПО в личных целях, выполняя заказы сторонних клиентов.
Так же, как и для сайтов, можно настроить выборочный усиленный контроль: если сотрудник запускает определенное приложение, скриншоты будут делаться с повышенной частотой, например, каждые 2 секунды.
- Управление принтером.
Теперь для вас уже не будет секретом, куда уходит бумага.
Фиксируются события отправки документов на печать; если теневое копирование включено, будет создана теневая копия печатных документов.
Обнаружение потенциальных утечек
Организационные меры хороши лишь до тех пор, пока они реализуются; в других случаях меры технической защиты являются необходимостью.
- Используют ли ваши коллеги личную электронную почту и облачные сервисы для отправки рабочих файлов? Существует специальный фильтр, позволяющий отслеживать всю почту, отправленную не с корпоративного домена.
Вы можете увидеть, что человек пользуется личной почтой, перехватить сообщение, заметить утечки.
Реализован перехват документов, отправляемых в облако.
Если сотрудник загружает туда документ, его теневая копия сохраняется.
Вы можете отфильтровать всех пользователей, которые отправляли электронные письма, кроме корпоративной электронной почты.Это особенно важно, поскольку как только документ попадает в Интернет, вы больше не имеете над ним контроля.
Важно помнить, что не все утечки информации совершаются со злым умыслом.
Простые ошибки пользователей могут стоить организации больших денег.
- Знаете ли вы, с кем общаются ваши сотрудники в рабочее время? Вы имеете право знать это, если предупредили их.
Есть специальный график, позволяющий увидеть взаимоотношения между пользователями по любым каналам связи.
Самый популярный случай – конфиденциальная информация.
Имена файлов известны.
Благодаря такому графику вы всегда сможете отследить, кто и на какие адреса отправлял эти документы.
Как только документ покидает организацию, это становится наглядно видно.
Этот отчет подойдет менеджеру, который хочет видеть результат работы охранника и не хочет разбираться во всех фильтрах, информационных потоках и данных.
Ему просто нужен какой-то итоговый отчет, желательно небольшой, где видно имя файла, канал отправки, внешний адрес.
- Словари.
Вы можете настроить отправку уведомлений при использовании ненормативной лексики и таким образом отслеживать всплески негатива и принимать меры.
Особенно если пользователи работают с клиентами, для них недопустимо использование ненормативной лексики в общении.
- Личные карточки сотрудников.
Личная карточка содержит всю информацию для конкретного пользователя.
Например, на каком компьютере он работает, топ сайтов, топ приложений, которые он запускает, поисковые запросы, перехваченные файлы, последние скриншоты.
Вы можете отслеживать граф коммуникаций – связи с другими сотрудниками внутри организации: с кем он чаще всего общается, по каким каналам связи.
Это своего рода досье, личное дело, из которого можно получить общие сведения о сотруднике.
Такие карты можно создавать не только для людей, но и для файлов и компьютеров.
Карты сотрудников хорошо подходят для расследования инцидентов.
В качестве вводной информации о пользователе.
- Для обнаружения утечек используется детектор аномалий поведения пользователей.
Внезапное изменение поведения сотрудников – повод обратить на это внимание.
Детектор StaffCop Enterprise по умолчанию настроен на превышение среднего значения любого события в 10 раз.
Самый популярный случай — увеличение операций копирования.
Например, был случай, когда на USB-накопитель было скопировано большое количество документов.
Кроме того, выяснилось, что информация была скопирована из закрытого сегмента сети, необходимого для работы с чертежами с пометкой «Конфиденциально».
Далее вступают в силу меры физической защиты информации и служба безопасности.
Сотрудник задержан для дальнейшего расследования.
Детектор аномалий существенно сократит время выявления инцидентов, для которых сложно или невозможно настроить автоматический фильтр.
Закрытие дыр
Меры пассивной защиты не всегда являются дешевой заменой мер активной защиты.В нашем случае Staffcop является инструментом активной защиты и позволяет контролировать и перекрывать некоторые каналы утечек информации.
- Мы блокируем персональные USB-накопители и компакт-диски.
Организация может запретить использование личных съемных носителей.
Введен так называемый «белый» список разрешенных устройств, и все остальные носители, не вошедшие в него, будут блокироваться.
- Блокируем посещение «непродуктивных» сайтов или разрешаем только «продуктивные».
Вы можете установить правила блокировки сайтов по адресу.
Правила блокировки работают по подстроковому принципу — указывать точные адреса и домены не обязательно.
Можно обойтись без продуктов, которые используются для блокировки сайтов.
- Блокировка запуска приложений.
Вы можете ввести список приложений, которые можно заблокировать, или наоборот, использовать только разрешенные.
При создании закрытой программной среды нужно очень внимательно относиться к списку разрешенных приложений.
В случае возникновения ошибки вход может быть заблокирован.
- Настраиваем оповещения о вредоносных действиях.
Для любых событий, которые мы считаем инцидентом, мы можем построить фильтр и настроить оповещение.
Перечень таких событий определяется заказчиком самостоятельно на этапе тестирования.
Например, копирование на USB-накопитель считается вредоносным, если по каким-либо причинам невозможно настроить «белый» список.
Такие события фиксируются и отчет отправляется с заданной периодичностью, например, каждый день или раз в неделю.
Вы можете настроить немедленное оповещение при возникновении определенного события.
Расследование инцидентов
При расследовании происшествий очень важна доказательная база.Staffcop позволяет хранить историю всех событий, которые были совершены пользователем во время мониторинга.
- Происшествие или не происшествие? Нам нужно посмотреть подробнее.
В системе предусмотрена связь событий и построение многомерных отчетов, методика «Drill-down».
Все события взаимосвязаны, например, перехват веб-форм связан с посещением сайтов; когда при входе на сайт человек вводит логин и пароль в веб-форму, эта информация может быть перехвачена.
Если включен перехват этой формы, то мы увидим не только то, что было в этих формах, но и сайт, на котором была введена форма.
«Детализация» — это сбой, то есть можно углубиться в подробную информацию о событии и увидеть связанные события.
Система StaffCop использует технологию OLAP (многомерный куб).
Используя гибридный режим с двумя базами данных, пользователь получает отличные результаты по производительности.
StaffCop Enterprise формирует отчеты, создание которых в других системах занимает несколько часов, за несколько (десятков) секунд. Из отчета можно уточнить любую информацию, касающуюся конкретного события.
- Записи микрофона, видео с рабочего стола и снимки экрана используются для предоставления контекста событиям.
Например, сработал определенный фильтр, произошло событие, но его контекст неясен.
Запись микрофона и запись видео с рабочего стола — это два модуля, которые по умолчанию отключены.
Звук записывается короткими отрезками по 10 минут (можно задать больше или меньше), тишина не записывается.
Вы также можете записывать видео.
Каждое событие сохраняется с отметкой времени.
Если включен модуль видеозаписи рабочего стола, записывается все, что происходит на рабочем столе.
Стоит понимать, что хранение больших объемов информации обходится дорого.
Эту функцию можно использовать специально, например, если под подозрение попадает определенный сотрудник, вы можете установить на него такой модуль и следить за всем происходящим.
Скриншоты используются, когда требуется особый контроль сайтов и программ.
С помощью этих модулей любое событие можно детализировать по частям.
Тонкая настройка позволит выбрать для расследования инцидентов только те модули, которые позволят поэтапно выявить не только факт утечки информации и причины, но и, возможно, дополнительных лиц и событий, причастных к ней.
- Быстрое формирование отчетов.
В продукте используется гибридная база данных PostgreSQL + ClickHouse, благодаря чему отчеты формируются очень быстро.
Недостатком ClickHouse является то, что он требует ресурсов.
Например, сервер должен иметь не менее 16 ГБ оперативной памяти, 8 или 16 ядер, поэтому такое решение используется только для систем с большим количеством агентов.
В таких системах происходит очень много событий, и чтобы быстро их загрузить, нужен ClickHouse. Если используется PostgreSQL, возникает проблема: если в базе несколько десятков миллионов событий, то при загрузке в веб-консоль происходит задержка до 1 минуты, но если постоянно обновлять страницу, то все новые события попадет в объектив событий.
Иногда используется гибридный режим, когда две базы данных работают одновременно.
Стоит отметить, что система StaffCop Enterprise не использует облачные технологии, за исключением ABBYY — облачного сервиса распознавания текста.
Требования к ресурсам можно посмотреть здесь .
А если вы хотите протестировать систему и убедиться, подходит ли вам StaffCop, вы можете отправьте заявку здесь , или через нашего партнера .
Роман Франк, Специалист технической поддержки StaffCop Теги: #информационная безопасность #безопасность #безопасность #dlp #dlp #StaffCop #StaffCop Enterprise
-
Чжуан Цзы
19 Oct, 24 -
Убийцы Времени
19 Oct, 24 -
Первый Час Жизни С Яндекс.модулем
19 Oct, 24 -
Linkmeup. Выпуск 2
19 Oct, 24
