Система мониторинга действий пользователей StaffCop Enterprise имеет функции, полезные не только для специалистов ИБ, но и для системных администраторов. В частности, она позволяет блокировать съемные носители, контролировать сетевой трафик, проводить инвентаризацию программных приложений и оборудования, организовывать песочницу для тестирования программ.
Когда компания приобретает систему мониторинга поведения пользователей, то цель администрирования не первая в списке. Тем приятнее узнать, что такая система (StaffCop, например) сильно облегчает жизнь системному администратору.
И это логично: система, которая фиксирует действия сотрудников, установлена на всех машинах в компании и работает не только внутри сети, имеет едва ли не самый полный каталог оборудования и программного обеспечения, которое есть в компании. А таким аналитическим инструментарием, как у StaffCop, просто грех не воспользоваться в мирных целях сисадмина. Поскольку система предназначена для работы в условиях, когда у компаний много филиалов, точек, удаленных сотрудников, не объединенных внутренней сетью, в ней изначально заложена и с каждым релизом развивается способность решать как можно больше задач дистанционно.
Одно из базовых требований защиты информации — обеспечение контроля портов, поскольку периферийные устройства — самый распространенный канал утечек информации. Если у вас есть StaffCop, то можно заблокировать CD и USB-порты на любой рабочей станции компании, буквально не вставая с места. При этом не важно, входит компьютер во внутреннюю сеть, находится в филиале или принадлежит удаленному сотруднику. Можно настроить использование USB-носителей только из разрешенного списка (система умеет идентифицировать устройства по GUID).
Рисунок 1. Настройка контроля USB-носителей в StaffCop Enterprise
В системе StaffCop есть возможность контроля сетевого трафика. Можно получать информацию о том, кто какими сайтами пользуется, с разбивкой по времени, по пользователям, с возможностью записи видео экрана. Система позволяет настраивать доступ к сайтам по белым и черным спискам. Отслеживается выход пользователей на внешние (некорпоративные) почтовые ящики, отправка документов и сохранение их на облачных сервисах, использование разнообразных интернет-мессенджеров. Есть средства анализа, позволяющие получить информацию в виде удобных отчетов, которые формируются в реальном времени, например, о самых используемых интернет-приложениях.
Рисунок 2. Контроль сетевого трафика в StaffCop Enterprise
Таким образом, система справляется с задачами, которые решаются с помощью прокси-сервера. Все эти возможности настраиваются из одного интерфейса, причем вы можете гибко настраивать доступ в сеть по отделам, по группам пользователей и индивидуально. Кроме того, StaffCop позволяет выяснить, по каким ip-адресам и портам и с помощью какого приложения осуществлялся выход в интернет.
Рисунок 3. Аналитическая сводка в StaffCop Enterprise
Удаленное управление АРМ с помощью StaffCop — решение, которое лежит на поверхности. Если у вас есть StaffCop Enterprise, то вам уже не нужны программы, подобные TeamViewer. Вы можете подключиться к рабочему месту сотрудника и помочь решить проблему, понаблюдать за действиями пользователя (до 16 компьютеров одновременно). При необходимости можно перехватить управление.
Рисунок 4. Удаленное управление АРМ с помощью StaffCop Enterprise
Специальная возможность StaffCop — инвентаризация программного обеспечения и оборудования. Вам не нужно лично ходить по офису или ездить по филиалам, чтобы провести инвентаризацию. StaffCop Enterprise с заданной частотой будет производить ее в автоматическом режиме и сверять список имеющихся приложений и устройств с тем, который был задан при установке агента. Если произошла пропажа или подмена оборудования, это не останется неизвестным. Например, случались истории, когда сотрудники снимали дорогую видеокарту или карту памяти и ставили дешевую, но системный администратор вовремя получал уведомление, и оборудование возвращали на место. Кроме того, система даст знать, если было установлено какое-либо программное обеспечение, вредоносное, нелицензионное или просто нештатное. Список инвентаризации можно выгрузить и работать с ним вне StaffCop.
Рисунок 5. Инвентаризация программного обеспечения и оборудования в StaffCop Enterprise
Одна из самых интересных функций StaffCop для администратора — возможность организовать так называемую песочницу: своеобразный полигон для тестирования новых программ, писем с незнакомых адресов и т. п. Вы устанавливаете программу, определяете для нее строго контролируемую среду, закрытую для остальной сети, и наблюдаете, как программа будет себя проявлять. Иногда получаются очень интересные результаты, когда в безобидную на вид программу зашит алгоритм хищения данных, или вполне лицензионный солидный продукт ищет доступ к внутренним ресурсам и отправляет информацию производителю. Не говоря уже об откровенно вредоносных программах или фишинговых письмах, для которых вредительство — основная цель.
По отзывам системных администраторов, работа со StaffCop Enterprise удобна, к интерфейсу быстро привыкаешь. Функции, которые раньше были головной болью, теперь выполняются практически сами собой.
