Обзор Staffcop Enterprise 5.2, системы расследования инцидентов во внутренней безопасности

1. Введение
2. Функциональные возможности Staffcop Enterprise
   1. 2.1. Возможности интеграции в Staffcop Enterprise
3. Архитектура Staffcop Enterprise
4. Системные требования Staffcop Enterprise
5. Лицензирование Staffcop Enterprise
6. Сертификация Staffcop Enterprise и соответствие требованиям законодательства
7. Применение Staffcop Enterprise
8. Выводы

Введение

Борьба с утечками конфиденциальной информации, которые входят в число самых серьёзных угроз для бизнеса сегодня, а также с нецелевым использованием рабочего времени, влекущим за собой вполне конкретные финансовые потери, всегда являлось головной болью руководства компаний.

Как правило, источниками этой проблемы являются сами работники организации, допущенные к таким сведениям (инсайдеры). Немаловажен и риск мошенничества со стороны персонала: «откаты», серые схемы, которые также ведут к репутационным и финансовым издержкам.

В этой ситуации компании обращают внимание на системы, которые помогают повышать эффективность сотрудников и контролировать их работу, а также позволяют решить проблемы информационной безопасности, связанные с утечкой информации.

В 2020 году мы публиковали подробный обзор Staffcop Enterprise версии 4.8. Сейчас мы детально рассмотрим новую версию 5.2.

Функциональные возможности Staffcop Enterprise

Staffcop Enterprise в контексте информационной безопасности является «швейцарским ножом» и позволяет решать следующие основные задачи:

• Поиск возможных утечек информации и защита от инсайдеров.
• Выявление нелояльных сотрудников и мошеннических схем.
• Оперативный контроль сотрудников и определение групп риска.
• Расследование инцидентов в информационной безопасности.
• Учёт рабочего времени сотрудников.
• Оценка и контроль эффективности работы персонала.
• Контроль и блокировка съёмных носителей.
• Блокировка сайтов и приложений по группам пользователей.
• Удалённое администрирование рабочих мест.

Всё это можно реализовать при помощи функций контроля каналов и событий, а также аналитических возможностей Staffcop Enterprise.

Рисунок 1. Контролируемые Staffcop Enterprise каналы и события

Спектр возможностей Staffcop Enterprise можно разделить на следующие группы:

Контроль отправки информации посредством электронной почты и мессенджеров. Staffcop Enterprise обеспечивает перехват почтовых сообщений и вложений по протоколам SMTP / SMTPS, POP3 / POP3S, IMAP / IMAPS, MAPI, а также текстовых сообщений Skype, VKTeams, Telegram, ICQ / QIP, Jabber, Mail.ru Agent, WhatsApp, Microsoft Teams, Bitrix24 и отправляемых файлов в Skype и Telegram.

В новой версии Staffcop Enterprise 5.2 добавилась поддержка набирающего популярность российского корпоративного мессенджера Express. При этом перехват выполнен напрямую через ICAP. Кроме того, в новой версии поддерживается перехват событий мессенджера VKTeams (приватные чаты, групповые чаты, файлы, голосовые сообщения).

Контроль информации передаваемой по протоколам HTTP / HTTPS. Staffcop Enterprise обеспечивает перехват и анализ сообщений и файлов, которые отправляются в блоги, форумы, файлообменные сервисы и иные веб-службы.

Продукт также обеспечивает перехват входящих и исходящих данных веб-коммуникаций (переписки в чатах, публикация статусов, комментарии) в социальных сетях, включая российские. Поддерживается перехват исходящих электронных писем и вложений, переданных или полученных через почтовые веб-сервисы (mail.yandex.ru, mail.google.com, mail.rambler.ru, e.mail.ru, outlook.com).

В части веб-сёрфинга Staffcop Enterprise позволяет перехватывать и отслеживать поисковые запросы пользователя, сохранять URL-адреса посещённых сайтов, блокировать посещения веб-ресурсов. Можно исключить сайты из мониторинга по чёрным и белым спискам.

Возможен также поиск по тексту и атрибутам сообщений и файлов, переданных и перехваченных по протоколу HTTP(S).

Контроль информации отправляемой на печать. Staffcop Enterprise перехватывает документы отправляемые на печать, а также извлекает и анализирует информацию из текста.

Контроль внешних накопителей. USB-накопители в Staffcop можно полностью заблокировать, настроить для них частичный доступ (чёрный и белый списки) или открыть только для чтения.

В новой версии Staffcop Enterprise 5.2 добавилась возможность перехвата файлов при работе с CD- / DVD-дисками.

Staffcop Enterprise обеспечивает теневое копирование файлов при работе со внешними накопителями (съёмные жёсткие диски, карты памяти, флеш-накопители, CD / DVD) с возможностью настройки правила для перехвата по указанным расширениям.

Контроль облачных хранилищ. Staffcop Enterprise контролирует передачу информации в облачные хранилища OneDrive, Dropbox, Google Drive, Yandex Disk, O-disk (файловый канал). В рамках контроля также обеспечивается теневое копирование файлов.

Осуществляется аудит событий отправки файлов в облачные хранилища (фиксируются имя файла, пользователь, дата, время и имя облачного сервиса).

Также возможен поиск по тексту и атрибутам перехваченных файлов, отправленных в облачные хранилища.

Контроль файлов и файловой активности. Staffcop Enterprise осуществляет контроль файловых операций (запись, копирование, оглавление диска, отключение, очистка корзины, перезапись, переименование, перемещение, подключение, создание, удаление, чтение). Кроме того, реализовано теневое копирование файлов, отправленных контролируемой рабочей станцией за информационный периметр.

Возможен поиск по тексту и атрибутам перехваченных файлов, реализован особый контроль путей и файлов (для создания теневых копий при любых файловых операциях).

Скриншоты рабочего стола. Staffcop Enterprise позволяет делать снимки экрана рабочего стола сотрудника с заданным интервалом, а также по переключению активного окна. Существует возможность настройки для определённых приложений и сайтов с более частым интервалом снятия скриншотов.

Контроль ввода данных. Доступна регистрация нажатий клавиш на клавиатуре с фиксацией приложения, в котором пользователь вводил информацию, и времени. Для отдельных пользователей и рабочих станций возможны индивидуальные политики контроля.

Аудиомониторинг и запись звука. Staffcop Enterprise позволяет записывать звук с обнаруженных микрофонов или колонок на рабочем месте сотрудника. Воспроизвести файл можно средствами веб-интерфейса Staffcop Enterprise. Предусмотрена возможность скачивания записи; доступна осциллограмма для визуального определения моментов разговоров. Кроме того, есть функция преобразования аудиозаписей в текст.

Видеомониторинг и запись видео. Staffcop Enterprise позволяет подключаться к монитору компьютера сотрудника и просматривать изображения в режиме реального времени. При этом возможен просмотр рабочих столов нескольких пользователей одновременно. Также в продукте предусмотрена запись видео с рабочих столов сотрудников.

Распознавание изображений и документов. Staffcop Enterprise распознаёт изображения, включая перевёрнутые, благодаря встроенному модулю OCR Tesseract. Существует возможность выбора языков: русский, английский и казахский. Для распознавания доступны форматы PDF, JPEG и PNG. Также есть возможность подключения облачного SDK от ABBYY.

Возможности интеграции в Staffcop Enterprise

Открытый прикладной программный интерфейс (API) в Staffcop Enterprise позволяет обогащать данными системы класса SIEM для комплексного анализа и обработки инцидентов.

Возможность интеграции с почтовым сервером IMAP даёт возможность контролировать и анализировать рабочие коммуникации и передаваемую по почте информацию.

Получение данных сетевого трафика в Staffcop Enterprise со стороны шлюзов может осуществляться посредством интеграции на основе ICAP.

Синхронизация с Active Directory на основе LDAP позволяет обогатить профиль пользователя в Staffcop Enterprise дополнительными данными. Таким образом появляется возможность группировать и анализировать данные по отделам, формировать отчёты для руководителей. Для доменных пользователей возможно предоставить доступ к системе с определёнными правами и установить агенты контроля в рамках инфраструктуры.

Для комплексного анализа рабочего дня сотрудников система позволяет дополнять расписание содержимым табеля отсутствия из 1С.

Для анализа пребывания сотрудников на рабочем месте реализована интеграция со СКУД.

Архитектура Staffcop Enterprise

Staffcop Enterprise — клиент-серверное приложение. Серверная часть может быть установлена на Ubuntu Server 18.04 LTS или 20.04 LTS на физической или виртуальной машине. Агент (endpoint module) — это системная служба на рабочих станциях под управлением операционных систем Windows, Linux, macOS. Агент собирает все необходимые данные и передаёт их на сервер, а также может предотвращать некоторые действия пользователей.

Для работы Staffcop Enterprise необходим только один сервер под управлением ОС семейства GNU/Linux, предназначенный для сбора, хранения, анализа и просмотра информации об активности пользователей.

Рисунок 2. Архитектура Staffcop Enterprise

Подключение к серверу осуществляется по защищённому соединению. Поддерживается работа в любых сетевых инфраструктурах, обеспечивающих подключение от клиента к серверу: через VPN, NAT и другие каналы.

Программа-агент запускается на рабочих станциях под управлением Windows, Linux, macOS или терминальных серверах под управлением Windows Server, отслеживает действия пользователя и события на его компьютере, передаёт их на сервер, а также реализовывает различные блокировки и запреты доступа. Агент Staffcop Enterprise может работать на удалённом компьютере, не находящемся в локальной сети компании.

Staffcop Enterprise поддерживает работу в офлайн-режиме: если у агента нет связи с сервером, он собирает информацию в локальную базу данных и передаёт её на сервер при первой возможности. Эта функция позволяет обеспечить постоянный контроль сотрудников, выходящих в интернет через временные каналы связи — мобильные 3G- / 4G-модемы, публичные вайфай-подключения и т. п. Таким образом, в случае, например, отъезда сотрудника с рабочим ноутбуком в командировку контроль над его действиями не теряется и мониторинг происходит в обычном порядке.

Чтобы обеспечить бесперебойный приём данных от клиентов, при недоступности основного сервера агент будет передавать данные на резервный.

Системные требования Staffcop Enterprise

Требования к аппаратному и программному обеспечению для установки компонентов Staffcop Enterprise подробно описаны на сайте вендора.

Лицензирование Staffcop Enterprise

Staffcop Enterprise имеет гибкую политику лицензирования. Лицензирование производится по числу пользователей. Кроме того, предусмотрены тарифные планы:

• «Бессрочный» — бессрочная лицензия на Staffcop Enterprise, техническая поддержка — 12 месяцев, сервер разворачивается локально на стороне заказчика.
• «Стандарт» — лицензия на 3, 12 или 24 месяца, техническая поддержка — на весь срок действия лицензии, сервер разворачивается локально на стороне заказчика.
• «ФСТЭК» — версия Staffcop Enterprise с сертификатом ФСТЭК России № 4234 от 15 апреля 2020 года (переоформлен 04 июля 2022 г.), срок действия лицензии — бессрочно, сервер разворачивается локально на стороне заказчика.
• «Sky» — облачная версия (на 3 или 12 месяцев). Staffcop Sky полностью дублирует функции локального Staffcop Enterprise в инфраструктуре заказчика. Основным отличием является сервер Staffcop: вместо стационарного используется сервис на облачной платформе «Яндекса». Staffcop Sky можно опробовать перед полноценной установкой.

Гибкая система лицензирования, а также наличие облачной версии продукта предоставляют потенциальному заказчику вариативность выбора. Также существует возможность реализации пилотного проекта, чтобы потенциальный заказчик мог получить качественную и достоверную информацию о том, как работает Staffcop Enterprise.

Сертификация Staffcop Enterprise и соответствие требованиям законодательства

Программный комплекс Staffcop Enterprise соответствует «Требованиям к средствам контроля съёмных машинных носителей информации», утверждённым приказом ФСТЭК России от 28 июля 2014 г. № 87, по 4-му классу защиты, а также «Профилю защиты средств контроля подключения съёмных машинных носителей информации четвёртого класса защиты (ИТ.СКН.П4.ПЗ)» ФСТЭК России (2014), заданию по безопасности АЛМЮ.501410.СКЭ4-01.ЗБ и оценочному уровню доверия ОУД3 (усиленный) в соответствии с ГОСТ Р ИСО/МЭК 15408.

Наличие действующего сертификата по требованиям безопасности ФСТЭК России даёт возможность использовать Staffcop Enterprise в государственных информационных системах до класса защищённости К1 включительно, в информационных системах персональных данных до уровня защищённости УЗ1 включительно, на значимых объектах критической инфраструктуры до первой категории значимости включительно, в автоматизированных системах до класса 1Г включительно и в АСУ ТП до класса защищённости К1 включительно.

Далее в обзоре будет подробно рассмотрена работа с продуктом.

Применение Staffcop Enterprise

Интерфейс управления доступен по IP-адресу сервера через браузер. После авторизации открывается основной интерфейс, представляющий собой журнал событий со множеством гибко настраиваемых фильтров.

Рисунок 3. Основное окно консоли Staffcop Enterprise

Основное окно консоли Staffcop Enterprise включает в себя следующие основные элементы:

• «Панель измерений» — находится слева и предназначена для задания фильтрации по измерениям.
• «Линза событий» — находится справа и предназначена для отображения данных от агентов.
• «Меню фильтров» — находится сверху слева и содержит информацию об управлении фильтром, его состоянии и настройке.
• «Меню администрирования» — находится в правом верхнем углу, состоит из частей «Админ» и «Меню», предназначено для детальной настройки агентов и сервера.
• «Представление отчётов» — предназначено для смены режимов отображения данных в «Линзе событий».
• «Домой» — кнопка для сброса всех фильтров и возвращения к фильтру по умолчанию.
• «Создать» — кнопка для создания нового фильтра или политики.
• «Конструктор» — специальная панель измерений с агрегированными данными по выбранному событию.

Агенты передают на сервер Staffcop Enterprise события, вокруг которых и строится вся основная работа. Собранные данные можно просматривать и анализировать с помощью различных таблиц, графиков, диаграмм, дашбордов и отчётов.

При этом каждый тип событий имеет свой набор измерений, по которым события могут быть связаны между собой. Каждое событие имеет стандартный набор измерений — данные о компьютере, пользователе, дате и времени, — а также собственные атрибуты.

Отчёт «Учёт рабочего времени» отображает график активности сотрудников в течение дня, а также количественные показатели: начало и окончание работы, общее время работы за сутки, активное время (когда работник пользовался клавиатурой, мышью, приложениями и т. д.), суммарное время простоя, время опоздания (период рабочего времени можно задать в настройках для групп сотрудников и персонально для каждого), сверхурочные часы, продуктивное и непродуктивное время.

На графике активности красные области — это непродуктивное время, когда пользователь был в тех приложениях или на тех сайтах, которые не относятся к его рабочему процессу. Зелёные полоски — продуктивное время, работа в приложениях и на сайтах, которые нужны для решения рабочих задач. Серые области — нейтральная активность, пустые области означают отсутствие действий сотрудника за компьютером.

С помощью календаря можно выбрать нужный интервал времени, а с помощью конструктора отчётов — отфильтровать интересующих нас пользователей.

Рисунок 4. Пример отчёта «Учёт рабочего времени» в Staffcop Enterprise

Для разных категорий сотрудников можно настроить те программы и сайты, которые требуются им для выполнения задач или, наоборот, «противопоказаны» к использованию, а также задавать уникальное расписание.

Нажав на имя пользователя, можно получить детализацию по нему, где отражено распределение времени по категориям, приложениям и активности на сайтах.

Рисунок 5. Просмотр отчёта «Учёт рабочего времени» для конкретного сотрудника в Staffcop Enterprise

Рисунок 6. Просмотр событий для конкретного сотрудника в Staffcop Enterprise

Staffcop Enterprise позволяет делать снимки экранов сотрудников. В консоли управления администратор может ознакомиться с результатами такой фиксации.

Рисунок 7. Просмотр снимков экрана в Staffcop Enterprise

В сводном отчёте отображаются рейтинги: опоздавших по количеству и по времени; самых активных и неактивных сотрудников; самых продуктивных и самых непродуктивных работников. Есть также сводная таблица ключевых показателей.

Рисунок 8. Пример сводного отчёта по эффективности сотрудников в Staffcop Enterprise

Ещё можно сформировать сводный отчёт по сотруднику. Там будут отображены последняя активность, действия на сайтах и в приложениях, информация о том, на каких рабочих местах пользователь авторизовывался, контакты и графы переписки, поисковые запросы и учёт рабочего времени. Есть возможность индивидуализировать формы отчёта, т. е. добавить или убрать различные разделы. Есть и формы измерений по многим другим сущностям: например, по файлу, сайту, устройству и т. д.

Рисунок 9. Пример сводного отчёта по сотруднику в Staffcop Enterprise

Рисунок 10. Граф переписки в рамках сводного отчёта по сотруднику в Staffcop Enterprise

Рисунок 11. Список перехваченных файлов в рамках сводного отчёта по сотруднику в Staffcop Enterprise

В Staffcop Enterprise есть возможность удалённого подключения и управления подконтрольными рабочими станциями.

Рисунок 12. Удалённое управление компьютерами в Staffcop Enterprise

Просмотр экранов позволяет видеть снимки или рабочие столы нескольких пользователей одновременно (режим «видеостены»).

Рисунок 13. Просмотр экранов сразу нескольких пользователей в Staffcop Enterprise

Также есть консоль инцидентов, которая предназначена для создания, хранения, обработки и отображения минимальной статистики по инцидентам.

Рисунок 14. Консоль управления инцидентами в Staffcop Enterprise

В консоли можно выделить основные группы инцидентов, создать описания этих групп, определить, какой пользователь системы за какую группу инцидентов будет отвечать (назначить ответственного за расследование).

Выводы

Staffcop Enterprise 5.2 представляет собой многофункциональный набор инструментов для анализа событий по безопасности. Продукт даёт возможность оценивать и контролировать продуктивность сотрудников за компьютерами, расследовать инциденты в информационной безопасности.

Глобальная система записи всех возможных событий позволяет решить широкий спектр задач, связанных с ИБ-аналитикой. Таким образом можно контролировать критически важные информационные ресурсы на предмет подозрительной активности и нетипичного поведения. Гибкие конфигурации фильтров и оповещений позволяют выявить возможные утечки и вторжения на ранней стадии и тем самым существенно уменьшить последствия. В случае инцидента Staffcop Enterprise поможет быстро добраться до источника утечки и точно назвать время, автора и объём утраченной информации.

Достоинства:

• Российский продукт, имеет сертификат соответствия требованиям ФСТЭК России по безопасности.
• Широкий набор функций по анализу регистрируемых событий и собранной информации.
• Гибкая система лицензирования.
• Кроссплатформенность (агенты для операционных систем Windows, Linux и macOS).
• Нулевые затраты на покупку сопутствующих серверных ОС и СУБД.
• Постоянные обновления и полноценная поддержка продукта, возможность индивидуализации в соответствии с требованиями клиента.

Недостатки:

• Необходимость настройки исключений антивируса.