В октябре 2017 года компания «Атом Безопасность» представила новую версию информационно-аналитической системы StaffCop Enterprise 4.1, предназначенной для мониторинга действий сотрудников. Функциональные возможности пополнились видеозаписью действий сотрудников, регистрацией действий администраторов на серверах и рабочих станциях под GNU/Linux, расширены возможности контроля USB-устройств. ВведениеЧто нового в Staffcop Enterprise 4.1Архитектура StaffCop Enterprise 4.1Установка StaffCop Enterprise 4.1Настройка StaffCop Enterprise 4.15.1. Конфигурации5.2. Правила мониторинга5.3. Глобальная конфигурация5.4. Разграничение ролей доступаСистемные требования StaffCop Enterprise 4.1Функции мониторинга и блокировок в StaffCop Enterprise 4.1Аналитические возможности StaffCop Enterprise 4.18.1. Конструктор отчетов и фильтров8.2. Контентный анализ и сквозной поиск8.3. Визуальное представление данных8.4. Детектор аномалий8.5. Оповещение об инцидентах информационной безопасности8.6. Поддержка словарей8.7. Учет рабочего времени8.8. Категоризация работы сотрудников по продуктивности8.9. Категоризация работы сотрудников по видам деятельности8.10. Аналитика действий администраторов и пользователей в Linux8.11. Инвентаризация «железа» и программного обеспечения8.12. Удаленное управление АРМ, запись видео рабочего стола, скриншоты и снимки с веб-камеры8.13. Запись окружения с микрофонаВыводы ВведениеStaffCop Enterprise предназначен для контроля действий сотрудников за компьютером и обеспечивает сбор, анализ данных, блокировку устройств, приложений и сайтов, оповещения о событиях и нарушениях политик безопасности.Информационно-аналитическая система StaffCop Enterprise призвана решать следующие задачи:оперативный контроль сотрудников и определение групп риска;поиск возможных утечек информации и защита от инсайдеров;выявление нелояльных сотрудников и мошеннических схем внутри предприятия;расследование инцидентов информационной безопасности;учет рабочего времени сотрудников;оценка и контроль эффективности работы персонала.Благодаря применению модели OLAP-куб возможен гибкий анализ данных: расследование инцидентов по цепочке, быстрый переход об общего к частному, составление аналитических отчетов по выбранным срезам данных. Архитектура позволяет гибко изменять функциональность — добавлять или расширять имеющиеся источники исходных данных, каналы перехвата, добавлять интересующие отчеты, способы визуализации данных.Важно упомянуть, что StaffCop Enterprise 4.1 следует рассматривать не с точки зрения классической DLP, а как информационно-аналитическую систему: StaffCop не блокирует передачу данных на основе анализа содержимого. Отчасти это обусловлено низкой эффективностью такого подхода для обеспечения безопасности — ложные срабатывания, сложность настройки, трудно диагностируемые проблемы в эксплуатации. Кроме того, позволяя пользователю реализовать намерения, регистрируя данные о совершенных действиях, можно делать действительно полезные выводы, выявлять нарушителей и потенциально опасных сотрудников, оперативно реагировать на новые типы и источники угроз.Для работы StaffCop Enterprise достаточно одного виртуального или аппаратного сервера, не требующего покупки лицензий на дополнительное программное обеспечение. Администрирование системы, настройки, просмотр и анализ данных осуществляется через веб-интерфейс. Что нового в Staffcop Enterprise 4.1сводные отчеты по выбранным пользователям и компьютерам (карточка «пользователя»);linux-агент: перехват командной строки, факты печати на принтере, посещение сайтов;запись видео с экранов пользователей;подключение к удаленному рабочему столу по терминальным сессиям;блокировка записи на USB-носители;перехват содержимого при создании файла на USB-носителе;перехват SMS-сообщений в SIP;порог чувствительности детектора аномалий;мониторинг поисковых запросов на стороне агента в поисковых системах;навигация с помощью кнопок браузера «вперед» и «назад»;функции рестарта сервера, сброса настроек и перестройки отчетов в веб-консоли;смена имени сертификата, используемого при перехвате шифрованного трафика;фильтрация почты по домену получателя/отправителя;быстрый переход к событиям из отчетов;определение шифрованных архивов. Архитектура StaffCop Enterprise 4.1StaffCop Enterprise имеет клиент-серверную архитектуру. Подключение агентов и администраторов к серверу осуществляется по защищенному протоколу HTTPs. Поддерживается работа в любых инфраструктурах, включая NAT-трансляцию, VPN-каналы и другие варианты подключения. Благодаря чему StaffCop Enterprise может быть установлен на удаленный компьютер, не находящийся в локальной сети компании.Кроме того, StaffCop Enterprise поддерживает работу в оффлайн-режиме — если у агента нет связи с сервером, он собирает информацию в локальную базу данных и передает ее на сервер при первой же возможности. Эта функция позволяет обеспечить постоянный контроль сотрудников, выходящих в интернет через временные каналы связи — мобильные 3G/4G-модемы, публичные Wi-Fi-подключения и т. п. Таким образом, в случае, например, отъезда сотрудника с рабочим ноутбуком в командировку контроль над его действиями не теряется, и мониторинг происходит в обычном порядке. Рисунок 1. Архитектурная схема StaffCop Enterprise Установка StaffCop Enterprise 4.1Начиная с версии StaffCop Enterprise 4.1 установить сервер можно четырьмя способами:С помощью инсталлятора для Windows-систем.Из ISO-образа на чистую виртуальную или физическую машину.Из OVF-шаблонов для виртуальных машин.На уже развернутой системе GNU/Linux c помощью DEB-пакета.Все способы, кроме последнего, не требуют от администратора, производящего установку продукта, специальных знаний и умений работы с Linux, все варианты установки подробно описаны в базе знаний продукта, включая необходимые команды с параметрами.Установить агентов мониторинга на рабочие станции можно через групповые политики, утилитой удаленной установки StaffCop или локально (вручную на каждый компьютер).При локальной установке используется обычный мастер инсталляции, в котором задаются только данные об IP-адресах основного и резервного сервера. Рисунок 2. Локальная установка агента Утилита удаленной установки претерпела ряд доработок, добавлена возможность загрузки списка рабочих компьютеров без предварительного опроса сети, что существенно сокращает время задания списка компьютеров для установки. Рисунок 3. Интерфейс утилиты удаленной установки Установка через групповые политики осуществляется штатными средствами Active Directory. Настройка StaffCop Enterprise 4.1После установки StaffCop требуется настройка конфигураций агентов: по умолчанию большинство модулей мониторинга отключено: по всей видимости, это «защита от дурака» во избежание непреднамеренного нарушения работы рабочих станций в организации.КонфигурацииКонфигурация агента служит для отключения/подключения модулей мониторинга, настройки иных параметров мониторинга и добавления различного рода правил перехвата и блокировки, что в совокупности дает возможность тонкой настройки агентов для оптимального и эффективного решения поставленных задач.Можно присвоить агенту или группе агентов уникальную конфигурацию. Рисунок 4. Конфигурация по умолчанию: галочки означают, что модуль отключен Рисунок 5. Интерфейс настройки модулей Правила мониторингаНастройка правил позволяет гибко управлять мониторингом и блокировками. Есть возможность создать белый и черный списки устройств и программного обеспечения (комбинируя списки на разрешение и запрет в глобальной и индивидуальной конфигурациях, можно добиться частных исключений в более общих правилах, однако вендор не рекомендует такой прием, чтобы избежать путаницы в конфигурациях). Рисунок 6. Интерфейс настройки правил мониторинга Глобальная конфигурацияГлобальная конфигурация служит для настройки модулей мониторинга для всех агентов, независимо от их уникальных конфигураций. В конфигурацию можно добавлять новые правила. Настройки глобальной конфигурации суммируются с правилами мониторинга конфигурации агентов. Стоит отметить, что удаление и изменение правил глобальной конфигурации не рекомендуется, если администратор не уверен в своих действиях и не обладает достаточным опытом использования продукта. Рисунок 7. Изменение параметров глобальной конфигурации Разграничение ролей доступаС помощью разграничения ролей доступа можно выделить отдельные записи для различных сотрудников компании, отвечающих за работу с персоналом. Рисунок 8. Разграничение ролей доступа Например, для сотрудников отдела кадров предоставить доступ только к учету рабочего времени, для службы безопасности — доступ к информации об утечках данных, а техническим специалистам запретить доступ к данным, но предоставить возможность настройки.Это дает возможность работы с продуктом различным категориям сотрудников, без риска компрометации конфиденциальных данных. Системные требования StaffCop Enterprise 4.1Для рабочих станций:Операционная система: Windows: 10, 8, 7, Vista; Windows Server 2003, 2008, 2012; GNU/Linux системы, в т. ч. Astra Linux, Rosa Linux и т. п. Процессор: Intel Core2Duo 2.2 ГГц. Оперативная память (RAM): 2 Гб.Для терминальных серверов:Оперативная память 2 Гб + 256 МБ на каждого пользователя. Дисковое пространство от 5 ГБ.Вендор заявляет поддержу рабочих мест на тонких клиентах.Для сервера:Вендор рекомендует следующий набор параметров с учетом опыта эксплуатации в различных условиях с учетом хранения данных в течение года: Таблица 1. Требования StaffCop Enterprise 4.1 для сервераКоличество агентовПамять (RAM)Ядер процессораДисковая подсистемадо 104-8 Гб2-4100 Гб для БД 600 Гб для файлового хранилищадо 508-16 Гб4-8100-120 Гб для БД 2 Тб для файлового хранилищадо 10016-24 Гб8-12200 Гб SSD для БД 4 Тб для файлового хранилищадо 20016-32 Гб8-16от 300 Гб SSD для БД 8 Тб для файлового хранилищадо 35024-32 Гб16-24от 500 Гб SSD для БД 12 Тб для файлового хранилищадо 80018-64 Гб24-32от 500 Гб SSD для БД 18 Тб для файлового хранилища Функции мониторинга и блокировок в StaffCop Enterprise 4.1Мониторинг активности пользователейКонтроль присутствия на рабочем местеЛогирование входа и выхода из системыУчет рабочего времениФайловый мониторингРегистрация всех операций с файламиСоздание теневых копий файлов, передаваемых за пределы компанииОтслеживание загрузки файлов в облачные хранилищаСоздание цифровых отпечатков файлов, поиск и корреляция по нимМониторинг коммуникаций сотрудниковМониторинг получаемой и отправляемой почты и вложений по протоколам POP3, IMAP, SMTP, MAPI и их шифрованным аналогамПерехват отправляемых писем и вложений через веб-сервисы электронной почтыРегистрация переписки в интернет-мессенджерах Skype, ICQ, Jabber (XMPP)Регистрация фактов звонков, их длительности и архивация SMS в SIP-телефонииМониторинг и блокировка USB-устройствРегистрация подключений USB-устройств с категоризацией по классам устройствБлокировка подключения USB устройств по классам и идентификаторам устройствОграничение записи на USB (режим «только чтение»)Мониторинг и блокировка сетевой активностиФакты посещения веб-сайтов и время, проведённое на нихРегистрация запросов к популярным поисковым системамРегистрация всех сетевых подключений (программа, ip-адрес, порт)Блокировка подключения к выбранным сайтамМониторинг и блокировка работы приложенийФакты установки и удаления приложенийРегистрация запуска и времени активного использования приложенияБлокировка запуска приложений по черным и белым спискамАудиовизуальный мониторинг сотрудникаСнимки экрана по интервалам времени и при смене фокуса окнаСнимки с веб-камерыОнлайн-просмотр рабочего стола с захватом управленияЗапись видео рабочего столаЗапись с микрофонов компьютеровИнвентаризация компьютеров и программного обеспечения Детектор аномалий поведения пользователейСистема оповещения об инцидентах Аналитические возможности StaffCop Enterprise 4.1StaffCop Enterprise обладает широкими возможностями для анализа собранной информации. В StaffCop реализована модель OLAP-куб, позволяющая быстро находить важные факты и строить многомерные отчеты на основе больших массивов данных в несколько кликов.Доступ к интерфейсу управления осуществляется с помощью перехода по IP-адресу сервера через браузер. После авторизации открывается основной интерфейс панели управления, представляющий собой журнал событий с множеством гибко настраиваемых фильтров. Рисунок 9. Интерфейс StaffCop Enterprise 4.1 Центральный элемент, который ориентирует администратора по месту сбора событий, — это агрегат-бар.Агрегат-бар отображает сгруппированные типы событий, агентов, диалоги, наблюдаемые приложения, позволяя сделать необходимый срез для просмотра в «линзе» — области визуализации данных.Конструктор отчетов и фильтровКонструктор предназначен для поиска и анализа информации, для создания новых фильтров. Для этого используется прием последовательного наложения ограничивающих фильтров. Наложение каждого фильтра в режиме реального времени отсекает лишнюю информацию, что позволяет найти искомое в 2-3 клика мыши.Рассмотрим работу комбинации панели измерений и агрегат-бара. Для примера — найдем, пользуются ли сотрудники не корпоративной почтой на работе, и если да, то кто.На панели измерений выберем «диалоги» → «направление» и в появившемся списке агрегат-бара поставим галочку на «исходящие», отфильтруем события почты с помощью «канал общения» → «Mail», теперь в агрегат-баре по измерению «домен отправителя» мы увидим все домены, с которых отправлялась почта и сколько раз. Рисунок 10. Фильтрация диалогов по домену отправителя Чтобы найти имена нарушителей, исключим корпоративные домены из выборки: Рисунок 11. Исключение корпоративных доменов из фильтра В результате получим список пользователей, отправлявших почту с некорпоративных ящиков. Далее кликом по имени пользователя получаем список всех сообщений.Заданный набор фильтров можно сохранить для дальнейшего использования и настройки оповещений на последующие события.Такой способ особенно удобен для расследования инцидентов и выявления групп риска. Рисунок 12. StaffCop Enterprise имеет богатую библиотеку шаблонов фильтров и отчетов Карточки измеренийКарточка измерения — сводный отчет, отображающий характеристики объекта или множества объектов и события, с ними связанные, в удобном виде.Рядом с любым объектом в агрегат-баре есть иконка, при нажатии на которую открывается карточка объекта. Рисунок 13. Отчет «Карточка пользователя» Рисунок 14. Отчет «Карточка USB-устройства» Карточки значительно сокращают время и объем работ за счет агрегации данных по измерению или типу события.Контентный анализ и сквозной поискВ StaffCop Enterprise реализован сквозной поиск по всем событиям и теневым копиям текстовых файлов и документов (.txt, .doc, .rtf, .pdf и др.). Поиск можно производить по ключевым словам, фразам и регулярным выражениям. Поиск по ключевым словам и фразам производится с учетом морфологии. Рисунок 15. Сквозной поиск по слову в перехваченных файлах Это удобно для поиска всех типов событий, связанных фразой или словом, которые в дальнейшем можно отфильтровать и детализировать.С помощью регулярных выражений можно отфильтровать сложные конструкции, например паспортные данные, номера кредитных карт и т. д.Визуальное представление данныхАнализировать данные в StaffCop Enterprise можно с помощью таблиц, линейных графиков, гистограмм, круговых диаграмм, тепловых диаграмм, графов взаимосвязи, дерева событий, а также с помощью отдельных отчетов для контроля эффективности работы сотрудников.Каждый отчет имеет собственный конструктор, с помощью него можно удобно группировать и детализировать данные по измерениям. В отчетах поддерживается техника дрилл-даун (drill down), когда по нажатию на элемент можно получить детализированные данные.В табличном виде удобно просматривать количественные показатели, делая разбивку по атрибутам. Рисунок 16. Линейный график — отображение операций копирования по часам На линейном графике удобно обнаруживать различные аномальные всплески активности пользователей или их компьютеров, это могут быть операции копирования данных на флешки, загрузка в облачные хранилища или сетевая активность вредоносных программ. Рисунок 17. Граф взаимосвязи. Пример миграции файлов между пользователями С помощью графов взаимосвязи можно визуализировать пути миграции определенного файла, увидеть коммуникации сотрудников внутри и снаружи компании. При использовании в связке со словарем ненормативной лексики можно определить «натянутые» отношения в коллективе.Граф взаимосвязи подойдет для:выявления махинаций внутри компании;отслеживания несанкционированного распространения конфиденциальных документов;контроля коммуникаций сотрудников. Рисунок 18. Круговая диаграмма Круговая диаграмма удобна для визуального статистического анализа различных показателей и определения трендов.Детектор аномалийФункция анализирует поведение пользователей на выбранном промежутке времени и показывает отклонения от нормального для каждого пользователя. Порог срабатывания можно задать вручную. Рисунок 19. Детектор аномалий в StaffCop Enterprise 4.1 Детектор аномалий упрощает задачу специалиста службы безопасности по поиску возможных утечек и помогает обнаружить деятельность вредоносов.Оповещение об инцидентах информационной безопасностиStaffCop Enterprise может оповещать о нарушении политик безопасности в панели администратора и по электронной почте. С помощью конструктора фильтров легко создавать всевозможные политики, соответствующие политикам безопасности вашей организации, и назначать оповещения при их срабатывании.Политики могут быть настроены на группы или персонально на каждого сотрудника. Рисунок 20. На заданный адрес электронной почты приходят оповещения при срабатывании события Таким образом можно проводить экспресс-расследования инцидентов. Оповещения содержат всю необходимую информацию для идентификации нарушителя и послужат доказательством нарушений.Система оповещений позволяет оперативно отреагировать на инциденты и снизить экономические и репутационные потери компании.Поддержка словарейВ StaffCop Enterprise 4.1 есть предустановленные словари:Словарь нецензурных выраженийСловарь наркоманского сленгаСловарь поиска работыТакже можно создавать собственные словари, соответствующие отрасли предприятия. Рисунок 21. Встроенные и пользовательские словари Рисунок 22. Шаблон для создания собственного словаря С помощью словарей можно:идентифицировать коммуникации с конкурентами;выявить нелояльных сотрудников;определить группу риска сотрудника.Учет рабочего времениStaffCop Enterprise может вести учет рабочего времени сотрудников за компьютерами. Для этого есть целый ряд специальных отчетов:Ленточный график — наглядное представление о начале и окончании работы, перерывах, распределении активности в течение дня.Месячный табель рабочего времени.Отчеты и рейтинги по опозданиям, как по количеству, так и по суммарному времени. Рисунок 23. Отчет по учету рабочего времени. Зеленые полоски — продуктивное время, красные — непродуктивное, серые — нейтральное Рисунок 24. Сводный отчет с рейтингами сотрудников Категоризация работы сотрудников по продуктивностиМожно задавать различные политики продуктивности для разных групп пользователей, вплоть до персональных политик для отдельных сотрудников, что позволяет наблюдать на графиках активность пользователей в приложениях и на сайтах в виде полосок, раскрашенных в соответствующие цвета, а также показатели времени с точностью до минуты.Категоризация работы сотрудников по видам деятельностиАктивность пользователя можно разбить на категории, например, «работа в графических редакторах», «посещение развлекательных ресурсов» и т. п. StaffCop Enterprise позволяет категорировать события на компьютерах сотрудника на основе политик безопасности и продуктивности исходя из особенностей конкретной организации. Рисунок 25. Распределение деятельности сотрудника в течение дня Отчеты учета рабочего времени дают наглядную и полную картину рабочего дня сотрудников и помогают выявить самых недисциплинированных.Аналитика действий администраторов и пользователей в LinuxStaffCop может перехватывать командную строку в Linux-системах, что позволяет мониторить действия системных администраторов на серверах и рабочих станциях. Рисунок 26. История командной строки в StaffCop Enterprise 4.1 Кроме этого, программа поддерживает для Linux-систем:скриншоты экранов;время работы в приложениях;перехват ввода с клавиатуры;подключение USB-устройств;локальный/удаленный вход или выход из системы;слежение за системными лог-файлами;история посещения сайтов;факты печати на принтере.Перечисленные функции работают в большинстве современных дистрибутивов (Ubuntu, Debian, CenOS, Gentoo, Arch, Rosa, Astra).Инвентаризация «железа» и программного обеспеченияStaffCop Enterprise 4.1 собирает данные об устройствах и установленном программном обеспечении на компьютерах сотрудников. Рисунок 27. Устройства компьютера Рисунок 28. Установленные приложения Функция полезна как для служб безопасности, так и для администраторов — возможность обнаружить пропажу или подмену оборудования, а также «запрещенные» программы.Удаленное управление АРМ, запись видео рабочего стола, скриншоты и снимки с веб-камерыС помощью StaffCop Enterprise 4.1 можно просматривать действия сотрудников в онлайн-режиме и при необходимости получить управление. Рисунок 29. Удаленное подключение Иногда для получения полной информации о событии удобно посмотреть видеозапись его рабочего стола или скриншоты экрана, чтобы получить больше информации.А снимки с веб-камеры помогут идентифицировать сотрудника за рабочим местом. Рисунок 30. Просмотр снимков с веб-камеры Запись окружения с микрофонаЗапись с микрофонов компьютеров активизируется при срабатывании задаваемого шумового порога. Прослушивание возможно непосредственно в веб-интерфейсе. Рисунок 31. Прослушивание записей в интерфейсе StaffCop Enterprise 4.1 ВыводыСистема StaffCop Enterprise была разработана с учетом запросов современного бизнеса и полностью соответствует функциональным требованиям по обнаружению, анализу и расследованию инцидентов информационной безопасности.Особенностью системы является контроль командной строки GNU/Linux, что позволяет регистрировать все действия администраторов на рабочих станциях и серверах с установленным агентом StaffCop. Такая функция расширяет список сотрудников, которые могут находиться под наблюдением. Преимуществом также является возможность просмотра карточки сотрудника, которая консолидирует всю информацию по определенному пользователю в одном месте. Несмотря на то, что StaffCop Enterprise 4.1 не позволяет блокировать отправку электронных сообщений в соответствии с созданными политиками (в отличие от традиционных DLP), система позволяет ограничить работу с USB-устройствами до режима «только чтение».StaffCop Enterprise 4.1 включен в единый реестр российских программ Минсвязи РФ №3337, что дает возможность использовать его на предприятиях в рамках политики импортозамещения. Продукт поддерживает идею «О Стратегии развития информационного общества в Российской Федерации на 2017 – 2030 годы» (Указ Президента Российской Федерации от 09.05.2017 г. № 203).Достоинства:Простота установки.Низкие требования к конфигурации сервера, технологии, позволяющие обойтись без покупки дополнительных лицензий сервера и БД .Конкурентная стоимость решения по сравнению с другими DLP-системами.Возможность мониторинга удаленных пользователей в режиме реального времени.Поддержка GNU/Linux-систем.Российское решение — включено в единый реестр отечественного программного обеспечения.Возможность доработки продукта в соответствии с требованиями заказчика.Недостатки: Отсутствие классической функции DLP — блокировки электронных сообщений.Нет возможности получить расшифровку записи микрофона в текстовом виде.