Сертификат AM Test Lab
Номер сертификата: 242
Дата выдачи: 10.01.2019
Срок действия: 10.01.2024
- Введение
- Архитектура StaffCop Enterprise 4.4
- Основные функциональные возможности StaffCop Enterprise 4.4
- Что нового в StaffCop Enterprise версии 4.4
- Основные сценарии использования StaffCop Enterprise 4.4
- Выводы
Введение
Обеспечение информационной безопасности складывается из многих функций: контролировать прием-отправку электронных сообщений, следить за действиями пользователей, блокировать нежелательные коммуникации, работать с содержанием отправлений и многих других. Поскольку главной угрозой вот уже много лет называют человеческий фактор, служба безопасности изо всех сил старается ничего не упустить. Но возможности современных систем по логированию действий всё больше, времени у сотрудников всё меньше, и быстрый ответ на главный вопрос — инцидент или нет? — по-прежнему требует внимания.
Здесь на помощь DLP-системе может прийти система мониторинга действий пользователей, которая поможет:
- качественно и быстро проводить расследование инцидентов ИБ;
- получать структурированную информацию о трудовой дисциплине;
- осуществлять администрирование в условиях беспериметровой архитектуры ИБ.
В современных условиях традиционные средства исчерпали свои возможности. Уже не устраивает формирование отчета «на ночь», бессмысленно говорить о контент-анализе без распознавания отсканированных текстов, да и слежение за одним рабочим столом уже вчерашний день. Для обеспечения информационной безопасности на современном уровне требуется обработка больших массивов информации в режиме реального времени, мультифункциональность, использование дополнительных инструментов, таких, как OCR, шардирование и другие.
Постоянные читатели Anti-Malware.ru уже знакомились с публикациями о StaffCop Enterprise. Это информационно-аналитическая система, обладающая функциями контроля неправомерного доступа, модификации, перемещения и уничтожения информации, а также создания теневых копий документов и последующего контентного анализа содержимого файлов и метаданных. Система логирует и ведет полный архив всех действий пользователей с возможностью поиска и визуализации собранной информации в виде статистических отчетов и графических диаграмм. StaffCop Enterprise предоставляет возможность осуществлять анализ активности пользователей и обрабатывать критически важную информацию на предмет контроля утечек информации, соблюдения политик безопасности, учета рабочего времени и показателей эффективности труда, с возможностью автоматического оповещения об опасной и непродуктивной деятельности. Также в системе реализована функциональность защиты информации путем мониторинга и блокировок каналов передачи данных, работы в программах и приложениях, а также контроля и протоколирования доступа пользователей к устройствам, портам ввода-вывода и сетевым протоколам, с функционалом средства контроля съемных машинных носителей информации и средства защиты от несанкционированной передачи (вывода) информации на персональных компьютерах. Программа осуществляет сбор данных о состоянии рабочих станций, проводит инвентаризацию программного и аппаратного обеспечения компьютеров, с возможностью удаленного управления и администрирования рабочих станций.
Рисунок 1. Возможности программного комплекса StaffCop Enterprise
В новой версии системы еще больше каналов распространения информации поставлены под полный контроль.
Архитектура StaffCop Enterprise 4.4
На архитектуре решения мы подробно останавливались в предыдущем обзоре, поэтому сейчас лишь кратко коснемся основных моментов.
Сервер
Серверная часть предназначена для сбора, хранения, анализа и отображения собранной от агентов информации. Устанавливается на компьютер под управлением Ubuntu 16.04 LTS и использует для хранения данных БД PostgreSQL.
Доступ к данным и управление мониторингом осуществляется через веб-консоль, работа с которой возможна с любого компьютера при наличии выхода в интернет или по локальной сети. Для загрузки веб-интерфейса рекомендуем использовать современный браузер: Chrome, Firefox или Safari.
Агенты
Агент представляет собой программу, устанавливаемую на рабочей станции. Она собирает и передает на сервер информацию о событиях на компьютере и о действиях сотрудника. Работа агента происходит в скрытом режиме, незаметно для пользователя. Данные накапливаются в локальной базе, а после передачи на сервер автоматически удаляются. Если нет связи с сервером, то сбор продолжается, но, по достижении лимита на максимальный размер локальной базы, агент начинает циклично перезаписывать информацию, затирая самые старые данные.
Установка Агента для Windows производится локально или удаленно с помощью встроенной утилиты либо через групповые политики (GPO) Active Directory. Для установки требуются права локального (доменного) администратора.
Установка Linux-Агента выполняется путем запуска инсталлятора с правами root.
Данные передаются по шифрованному каналу (openSSL) пакетами, максимальный размер и интервал отправки которых задаются в настройках. При установке можно установить адреса и порты основного и альтернативного серверов. При недоступности основного сервера агент будет передавать данные на альтернативный адрес. Таким образом можно обеспечить связь с сервером при выходе за рамки локальной сети предприятия (ноутбуки мобильных сотрудников).
Системные требования подробно описаны в документации на сайте вендора.
Основные функциональные возможности StaffCop Enterprise 4.4
Перечислим основные возможности решения:
- Контроль доступа пользователей к портам ввода-вывода информации и сменным носителям. Правила доступа задаются в зависимости от должностных обязанностей и типа устройства. Возможно ограничение возможностей чтения, копирования, модификации и удаления информации, содержащейся на съемных машинных носителях.
- Запрещение на использование съемных машинных носителей, кроме разрешенных. Разрешенные носители идентифицируются по модели, уникальному серийному номеру и другим признакам.
- Контроль доступа к веб-ресурсам, в том числе к социальным сетям, с возможностью составления логов электронной переписки, перехватом и копированием пересылаемых файлов и голосовых сообщений. Анализ поисковых запросов в интернете с возможностью сохранения адресов и заголовков посещаемых страниц, сохранения вводимой в web-формы информации (POST-запросов) и ограничения доступа к веб-ресурсам по составлению белых и черных списков.
- Контроль доступа к интернет-мессенджерам, логирование сообщений, мониторинг переписки по контрольным фразам и копирование отправляемых и получаемых медиафайлов.
- Контроль электронной почты по протоколам SMTP, POP3, IMAP, MAPI (в т. ч. по их шифрованным версиям), с поддержкой текстовых, HTML-, RTF-форматов электронных писем. Перехват и блокировка сообщений из почтовых клиентов и веб-сервисов, сохранение резервной (теневой) копии приложенных файлов, даты, времени, темы, адресов отправителя и получателя письма.
- Мониторинг операций, проводимых с файлами, папками и архивами: чтения, изменения, удаления, отправки по электронной почте. Запрет на операции с файлами из особого списка. Теневое копирование файловых операций. Создание правил для мониторинга файлов определенного типа, оповещение администратора о проводимых сомнительных операциях.
- Контроль содержимого буфера: сохранение текстовой, графической информации, копируемых файлов.
- Мониторинг шифрованного трафика, передаваемого по протоколам SSL и HTTPS.
- Контроль печати на локальных и сетевых принтерах, теневое копирование файлов, сбор информации о дате, времени, наименовании файла и имени пользователя, отправляющего файлы на печать.
- Контроль и регистрация нажатий клавиш на клавиатуре (кейлоггер), настройка алертов по заданным стоп-словам, сопоставления комбинаций нажатия клавиш с определенными пользователями и приложениями.
- Запись звука с микрофона и колонок, подключенных к рабочим станциям.
- Создание снимков экрана монитора пользователя, а также снимков с подключенной к рабочей станции веб-камеры, в том числе и в режиме реального времени.
- Удаленное подключение и управление рабочим столом компьютера как в локальной сети, так и вне нее, поддержка просмотра всех подключенных к компьютеру мониторов.
- Мониторинг запущенных процессов и приложений с возможностью блокировки запуска приложений в режиме черных и белых списков. Блокировка процессов по расписанию, а также фиксация полного пути к файлу процесса, названию процесса и времени его запуска.
- Протоколирование всех системных процессов, в том числе включения и выключения компьютера, входа и выхода из системы, установки, запуска и удаления приложений, с фиксированием имени пользователя и времени. Подключение и отключение USB-устройств, установка и удаление оборудования.
- Контроль сетевых подключений независимо от используемых портов, логирование всех подключений по IP-протоколам.
- Формирование отчетов, графических диаграмм по установленным параметрам, устройствам, пользователям или группам пользователей. Построение агрегированных таблиц по нескольким параметрам с возможностью сортировки и фильтрации.
- Контентный анализ собранной текстовой информации, в том числе текста, введенного с клавиатуры, сообщений электронной почты и интернет-мессенджеров, а также содержимого перехваченных файлов, в том числе в графических форматах.
- Обнаружение аномальной активности пользователей.
- Оповещение администратора об инцидентах и нарушениях политик безопасности.
- Учет рабочего времени пользователей, контроль присутствия на рабочем месте, продуктивной и непродуктивной деятельности в соответствии с заданным расписанием. Возможность построения гибких отчетов с показателями дисциплинарных нарушений, политик продуктивности, информацией о затраченном времени работы в программах и веб-ресурсах.
- Аппаратная, программная и аппаратно-программная инвентаризация сети (как в самой сети, так и за ее пределами) предприятия с возможностью построения отчетов по результатам проверки.
Что нового в StaffCop Enterprise версии 4.4
Windows-агент
- Перехват звука, воспроизводимого на устройстве. Если раньше можно было записывать звук с микрофона, то теперь записывается и звук, воспроизводимый на компьютере через колонки или наушники.
Рисунок 2. Настройка записи звука в StaffCop Enterprise
- Перехват всех файлов при подключении USB-носителя. В новой версии системы есть возможность перехватывать файлы с флешки, как только она подключена к компьютеру, независимо от того, открыл пользователь файл или нет. Можно перехватывать файлы по имени, по расширению или вообще все файлы, сохраненные на флешке.
Для выбора перехватываемых форматов файлов их нужно указать в настройках «Правила: перехват файлов с внешних носителей».
Рисунок 3: Настройка работы с файлами в StaffCop Enterprise
- Блокировка подключения к Wi-Fi-сетям по черным и белым спискам.
Если раньше можно было отслеживать подключение к Wi-Fi-сетям, то теперь доступна блокировка нежелательных подключений, при этом остаются доступными только выбранные сети.
Рисунок 4. Настройка работы с беспроводными сетями в StaffCop Enterprise
Учет рабочего времени
- Система формирует отчет о нарушениях дисциплины «Учет ранних уходов и приходов», с учетом ранних уходов и поздних приходов с обеда. Данный отчет отлично дополняет «Учет рабочего времени» и «Отчет по опозданиям». Таким образом, кадровая служба имеет полную картину трудовой дисциплины.
Рисунок 5. Учет рабочего времени в StaffCop Enterprise
Анализ событий
- Встроенная функция OCR (оптического распознавания символов) позволяет распознавать тексты в графических файлах, в том числе отсканированные. Приобретение дополнительных лицензий не требуется.
Рисунок 6. Работа с OCR в StaffCop Enterprise
- Автоматическая распаковка архивов и прикрепление распакованных файлов к событию — факту перехвата архива. Если перехватывается архив, нет необходимости скачивать его полностью и распаковывать. В линзе событий мы сразу увидим заархивированные файлы и можем скачать нужный.
Рисунок 7. Перехват файлов в StaffCop Enterprise
Просмотр, запись и управление рабочими столами
- Добавлена возможность одновременного наблюдения за несколькими рабочими столами. Эта функция бывает полезна для контроля группы риска. Если администратор замечает неправомерные действия, он может вмешаться и пресечь их.
Рисунок 8. «Квадратор» в StaffCop Enterprise
- Экспорт записи рабочего стола в формате mp4. Если в предыдущих версиях видео рабочего стола можно было только просматривать, то теперь его можно скачать.
Рисунок 9. Запись рабочего стола в StaffCop Enterprise
Архитектура
- В новой версии системы добавлено шардирование — разбиение базы данных на части. Эта возможность позволит производить очистку базы данных по выбранным месяцам. Для того чтобы осталась нужная часть базы, требуется настройка в консоли сервера.
Политики и фильтры
Изменен интерфейс работы с фильтрами. Появились сущности: фильтр, дашборд, поиск по словарю, политика и папка.
- Фильтр — содержит данные по выбранным типам измерений, графики и отчеты.
- Дашборд — может содержать несколько фильтров, при этом можно настроить их взаимное расположение, размер и порядок. Дашборд служит для построения отчетов, удобных для просмотра обобщенной информации по пользователям или обобщенных просмотров инцидентов.
- Поиск по словарю — осуществляется поиск по заданным словам в перехваченных документах, вводе с клавиатуры, посещенным сайтам и др. Поддерживаются регулярные выражения в формате PCRE.
- Политика — комплекс фильтров, для которых можно настроить категорию продуктивности. Нет необходимости рассматривать все события. Если фильтр срабатывает, то событие в соответствии с политикой сразу попадает в папку «Сработавшие фильтры».
- Папка — позволяет объединять другие фильтры в дереве фильтров.
Администрирование
- Единая панель управления администратора. Теперь администратор может из единой панели управления устанавливать и удалять агентов, настраивать конфигурацию.
- Установка, удаление, обновление и отслеживание статуса агентов из веб-интерфейса
Рисунок 10. Администрирование в StaffCop Enterprise
Основные сценарии использования StaffCop Enterprise 4.4
Перечислим наиболее популярные ситуации, в которых StaffCop Enterprise оказывает помощь системным администраторам и сотрудникам службы безопасности.
Контроль USB-устройств
Если USB-носители являются потенциальным каналом утечки информации, администратор имеет возможность настроить права пользования всеми возможными способами: запретить или разрешить использовать флешки во всей организации, запретить использовать все флешки, кроме разрешенных, разрешить использовать все, кроме запрещенных, запретить или разрешить использование USB-носителей на отдельных рабочих местах, настроить разрешение/запрещение по отделам. Для того чтобы настроить использование флешек, нужно в веб-консоли отредактировать используемую конфигурацию.
Рисунок 11. Контроль USB в StaffCop Enterprise
Для блокировки определенных носителей можно отредактировать «Правила: Блокировка USB».
Рисунок 12. Блокировка USB в StaffCop Enterprise
Для блокировки устройств нужно ввести ID устройства в поле «Запретить». При вводе ID используется поиск по всем устройствам, которые подключались к агентам, можно выбрать и добавить устройства из списка.
Применив подобную конфигурацию, можно закрыть один из основных каналов утечки информации — через USB-устройства. Но блокировка — не единственный выход. Зачастую требуется оставить возможность использования определенных USB-устройств, и если их состав четко определен, то можно настроить «белый список USB-устройств».
Создание белого списка USB-устройств
Чтобы завести белый список USB-устройств, вам необходимо:
- Определить полный список ID-устройств, которые вы хотите внести в белый список.
- Отредактировать Правила Блокировок USB. Для создания белого списка необходимо внести ID устройств в поле «Разрешить».
Рисунок 13. Блокировка USB в StaffCop Enterprise
Подобная конфигурация позволит использовать только учтенные носители информации. А в паре с функцией «Перехват форматов файлов и подключенных USB-устройств» у вас будет полный контроль за данным каналом утечки информации.
Контроль печати
Для понимания, как используются принтеры в компании, какие документы выводятся на печать, не распечатывается ли информация «на вынос» и не расходуется ли зря бумага, существует специальный отчет, располагающийся в меню веб-консоли «Отчеты — Сводная статистика».
Рисунок 14. Контроль печати в StaffCop Enterprise
Благодаря этому отчету можно увидеть детализированную информацию по напечатанным документам. Возможна детализация по названию документов, их объему и количеству. Для этого необходимо выделить в фильтре интересующие документы.
Отправленные на печать файлы перехватываются, их можно скачать, по ним осуществляется поиск.
Если этой информации недостаточно или нужен табель распечатанных документов за длительный период времени, существует дополнительный отчет: «Табель использования принтера».
Рисунок 15. Табель учета использования принтера в StaffCop Enterprise
При помощи этих отчетов, уточняющих фильтров и настроек в конфигурации можно выявить как аномалии по пользователям, например, аномально большое количество отправленных на печать документов увольняющегося сотрудника, так и предотвратить утечку размножения документов ограниченного доступа на принтерах компании.
Выводы
Система StaffCop Enterprise — это универсальный инструмент для защиты от утечек конфиденциальной информации и контроля информационных потоков в организациях. Она располагает мощным набором инструментов не только для контроля каналов передачи данных, предотвращения утечек конфиденциальной информации и контроля эффективности пользователей, но и для решения комплексных задач.
Применение системы существенно снижает риск утечки информации и возникновения инцидентов, вызванных внутренними пользователями. Помимо ключевой задачи, связанной с мониторингом обращения любой информации в организации, StaffCop Enterprise решает ряд задач, связанных с контролем действий персонала. Получение же в скором времени сертификата ФСТЭК России даст возможность использовать StaffCop Enterprise в комплексе защиты информационных систем, где применение сертифицированных продуктов обязательно.
Предустановленные политики учитывают опыт крупных клиентов из различных отраслей и позволяют ИБ-специалистам учиться на чужих ошибках и повторять успехи коллег по отрасли. К преимуществам продукта можно отнести единую консоль управления, которая позволяет управлять всеми модулями программы и типами агентов через веб-интерфейс.
Преимущества:
- Продукт российской разработки.
- Широкий спектр возможностей для оперативного и детального расследования инцидентов ИБ.
- Современный стек технологий.
- Масштабируемость.
- Мощный аналитический инструментарий.
- Формирование отчетов в режиме реального времени.
- Единая веб-консоль управления.
- Удобный поиск событий и информации.
- Работа в условиях беспериметровой архитектуры ИБ.
- Контроль трудовой дисциплины.
- Дополнительные инструменты (OCR, шардирование и др.).
- Доработка под требования заказчика.
Недостатки:
- На данный момент нет сертификата ФСТЭК России (в стадии получения).
- Нет контроля мобильных устройств под управлением Аndroid, iOS.
- Не все мессенджеры и файловые хранилища попадают в перехват, но они могут быть перехвачены универсальным способом.