Всем привет! Меня зовут Михаил, и я работаю с данными в системах класса предотвращения утечек информации (DLP) и системах поведенческого анализа. За много лет работы в сфере ИБ мне посчастливилось познакомиться со многими системами. Одно из недавних знакомств — StaffCop Enterprise v.4.4.
В этом обзоре я буду делиться впечатлениями от использования в работе системы StaffCop.
Для подобных продуктов толковый, удобный интерфейс очень важен, все-таки аналитику приходится работать с ним каждый день.
Снимок рабочего стола:
Мне понравилось то, как всё структурировано, но расположение панелей поначалу вызывает лёгкий ступор. Впрочем, позднее привыкаешь к такой реализации и довольно быстро начинаешь выполнять задачи.
А за удачное отображение информации StaffCop стоит похвалить! При анализе событий доступны такие измерения как таблица, линейный график, круговая диаграмма, граф и дерево. В разных задачах эти представления данных могут очень помочь в поиске решения.
Для просмотра событий можно использовать таблицу, список, снимки, переписку, формирующую беседы по темам, и тепловую диаграмму, которая позволяет взглянуть на ситуацию в целом и быстро обнаружить подозрительную активность.
Единственное, что пока огорчает — отсутствие «кейс-менеджмента», то есть полноценной работы с инцидентами.
Теперь о задачах, которые приходилось решать и о том, как это делать с помощью StaffСop.
Важное замечание: пока у меня не было опыта использования Staffcop на больших объемах, поэтому что-то сказать о скорости поиска в глубоких архивах не могу.
1. Чем сотрудник занят на рабочем месте?
Нажимаем всего ОДНУ кнопку и загружаем карточку измерений (в данном случае по сотруднику):
В ней много полезного: данные из AD, последняя активность, активности на сайтах и в приложениях, информация, на каких ПК пользователь авторизовывался, контакты и графы переписки, поисковые запросы и учет рабочего времени.
Причем в системе есть возможность для редактирования этой карточки, т.е. можно добавить/убрать различные модули информации. Есть и карточки измерений по многим другим сущностям: например, по файлу, сайту, устройству и т.д.
Но есть и некоторые недочеты, при попытке выгрузить карточку для отправки, её необходимо отправить на печать и сохранить в формате PDF. Неудобно, к тому же есть проблемы с масштабированием: в некоторых случаях используются слишком мелкие шрифты.
2. Контроль сотрудников в реальном времени
Речь идет о подключении к рабочему столу конкретного сотрудника и контроль за его действиями. Да-да, не удивляйтесь, такие задачи не редкость.
Такой механизм есть, и он реально работает, причем в текущей версии, был внедрен так называемый «квадратор», то есть одновременный показ нескольких рабочих столов.
Но, как всегда, хочется большего. Например, если сотрудник заблокировал рабочий стол и ушел по делам, у вас по-прежнему будет отображаться его рабочий стол. Заметить, что самого сотрудника нет, можно только по остановившемуся времени на часах.
Возможность захвата управления проверил в тестовых целях. Работает хорошо, но на практике пока не пригодилось.
3. Детектор аномалий и задачи по отслеживанию движения файла
Сразу отмечу, что не все подобные системы обладают подобной функциональностью, поэтому расскажу об этих инструментах подробнее.
Выдержка про детектор аномалий из базы знаний вендора:
Новый вид отчёта, в котором выражены «аномалии» в перехваченных событиях на рабочих станциях пользователя.
Аномалией считается превышение количества событий определённого типа за час, если оно в 10 и более раз превышает стандартное значение, вычисленное за прошлую неделю работы системы.
Порог срабатывания системы для аномалий можно менять. Этот порог задаётся в виде цифры превышения количества раз от стандартизированных значений событий, собранных за определённый период времени работы.
Выглядит просто и понятно, а как использовать информацию зависит только от вас.
Отдельно о карте распространения.
Для поиска упоминания какого-то файла нужно, как и в случае с сотрудником, открыть карточку измерения файла. В ней содержится информация, о том кто, где, когда и как работал с ним. При этом можно быстро построить визуальную схему движения информации.
Для чего это нужно? Для решения стандартной задачи: найдите мне кто работал с … /слил отчет по продажам.
4. Отчеты об эффективности работы сотрудников
Это один из важных инструментов для продуктов этого класса, которые уходят от DLP в чистом виде. У StaffCop много различных вариантов отчетов, и они выдают довольно реалистичную информацию.
Эта тема наверняка близка тем, кто пытался делать отчеты об активности пользователя, например, с помощью систем web-proxy. Обычно у пользователя тысячи сработок на баннеры, открытые на сайте, и вычислить, сколько же он реально «сёрфил» в интернете, практически невозможно.
Причем запросов от руководства, чем занят тот или иной сотрудник поступает примерно столько же, сколько и задач по расследованию утечек информации. В случае со StaffCop на составление такого отчета тратится всего лишь минута, а с другими DLP-системами, не обладающими подобными инструментами, можно угробить весь день на выполнение такого задания.
StaffCop развивается стремительно. Основной упор делается на контроль рабочего места сотрудника. В арсенале есть такие фишки, как контроль установки/удаления ПО, реестр этого ПО и железа, имеющиеся далеко не у всех систем, представленных на рынке ИБ.
Сейчас StaffCop — это система контроля рабочего времени сотрудников с рядом удобных инструментов и некоторыми возможностями DLP. Какой она станет завтра — открытый вопрос.
Да, есть недостатки: где-то что-то не отображается или не перехватывается. Вендор такие баги старается оперативно устранять.
В общем, StaffCop — достойный продукт для решения нетиповых задач ИБ.
Михаил Годжаев, руководитель направления анализа событий Блока DLP компании Infosecurity a Softline Company.
В этом обзоре я буду делиться впечатлениями от использования в работе системы StaffCop.
Интерфейс
Для подобных продуктов толковый, удобный интерфейс очень важен, все-таки аналитику приходится работать с ним каждый день.
Снимок рабочего стола:
Мне понравилось то, как всё структурировано, но расположение панелей поначалу вызывает лёгкий ступор. Впрочем, позднее привыкаешь к такой реализации и довольно быстро начинаешь выполнять задачи.
А за удачное отображение информации StaffCop стоит похвалить! При анализе событий доступны такие измерения как таблица, линейный график, круговая диаграмма, граф и дерево. В разных задачах эти представления данных могут очень помочь в поиске решения.
Для просмотра событий можно использовать таблицу, список, снимки, переписку, формирующую беседы по темам, и тепловую диаграмму, которая позволяет взглянуть на ситуацию в целом и быстро обнаружить подозрительную активность.
Единственное, что пока огорчает — отсутствие «кейс-менеджмента», то есть полноценной работы с инцидентами.
Инструменты
Теперь о задачах, которые приходилось решать и о том, как это делать с помощью StaffСop.
Важное замечание: пока у меня не было опыта использования Staffcop на больших объемах, поэтому что-то сказать о скорости поиска в глубоких архивах не могу.
1. Чем сотрудник занят на рабочем месте?
Нажимаем всего ОДНУ кнопку и загружаем карточку измерений (в данном случае по сотруднику):
В ней много полезного: данные из AD, последняя активность, активности на сайтах и в приложениях, информация, на каких ПК пользователь авторизовывался, контакты и графы переписки, поисковые запросы и учет рабочего времени.
Причем в системе есть возможность для редактирования этой карточки, т.е. можно добавить/убрать различные модули информации. Есть и карточки измерений по многим другим сущностям: например, по файлу, сайту, устройству и т.д.
Но есть и некоторые недочеты, при попытке выгрузить карточку для отправки, её необходимо отправить на печать и сохранить в формате PDF. Неудобно, к тому же есть проблемы с масштабированием: в некоторых случаях используются слишком мелкие шрифты.
2. Контроль сотрудников в реальном времени
Речь идет о подключении к рабочему столу конкретного сотрудника и контроль за его действиями. Да-да, не удивляйтесь, такие задачи не редкость.
Такой механизм есть, и он реально работает, причем в текущей версии, был внедрен так называемый «квадратор», то есть одновременный показ нескольких рабочих столов.
Но, как всегда, хочется большего. Например, если сотрудник заблокировал рабочий стол и ушел по делам, у вас по-прежнему будет отображаться его рабочий стол. Заметить, что самого сотрудника нет, можно только по остановившемуся времени на часах.
Возможность захвата управления проверил в тестовых целях. Работает хорошо, но на практике пока не пригодилось.
3. Детектор аномалий и задачи по отслеживанию движения файла
Сразу отмечу, что не все подобные системы обладают подобной функциональностью, поэтому расскажу об этих инструментах подробнее.
Выдержка про детектор аномалий из базы знаний вендора:
Новый вид отчёта, в котором выражены «аномалии» в перехваченных событиях на рабочих станциях пользователя.
Аномалией считается превышение количества событий определённого типа за час, если оно в 10 и более раз превышает стандартное значение, вычисленное за прошлую неделю работы системы.
Порог срабатывания системы для аномалий можно менять. Этот порог задаётся в виде цифры превышения количества раз от стандартизированных значений событий, собранных за определённый период времени работы.
Выглядит просто и понятно, а как использовать информацию зависит только от вас.
Отдельно о карте распространения.
Для поиска упоминания какого-то файла нужно, как и в случае с сотрудником, открыть карточку измерения файла. В ней содержится информация, о том кто, где, когда и как работал с ним. При этом можно быстро построить визуальную схему движения информации.
Для чего это нужно? Для решения стандартной задачи: найдите мне кто работал с … /слил отчет по продажам.
4. Отчеты об эффективности работы сотрудников
Это один из важных инструментов для продуктов этого класса, которые уходят от DLP в чистом виде. У StaffCop много различных вариантов отчетов, и они выдают довольно реалистичную информацию.
Эта тема наверняка близка тем, кто пытался делать отчеты об активности пользователя, например, с помощью систем web-proxy. Обычно у пользователя тысячи сработок на баннеры, открытые на сайте, и вычислить, сколько же он реально «сёрфил» в интернете, практически невозможно.
Причем запросов от руководства, чем занят тот или иной сотрудник поступает примерно столько же, сколько и задач по расследованию утечек информации. В случае со StaffCop на составление такого отчета тратится всего лишь минута, а с другими DLP-системами, не обладающими подобными инструментами, можно угробить весь день на выполнение такого задания.
Заключение
StaffCop развивается стремительно. Основной упор делается на контроль рабочего места сотрудника. В арсенале есть такие фишки, как контроль установки/удаления ПО, реестр этого ПО и железа, имеющиеся далеко не у всех систем, представленных на рынке ИБ.
Сейчас StaffCop — это система контроля рабочего времени сотрудников с рядом удобных инструментов и некоторыми возможностями DLP. Какой она станет завтра — открытый вопрос.
Да, есть недостатки: где-то что-то не отображается или не перехватывается. Вендор такие баги старается оперативно устранять.
В общем, StaffCop — достойный продукт для решения нетиповых задач ИБ.
Михаил Годжаев, руководитель направления анализа событий Блока DLP компании Infosecurity a Softline Company.
Комментарии (2)
0xb00dda
25.12.2018 15:28Использую в своей компании(150 ПК), проблем с софтом нет, очень крутое ПО, хорошая поддержка
ipswitch
Уж сколько разработчиков этот продукт сменил… То AtomPark, то кто-то ещё был. На одной из выставок дали диск с демкой версии 2.1 или 2.3, так я к ней за вечер сделал кейген натурально из кубиков, на Sign of Misery (был такой чудесный продукт от InqSoft). Этот софт, StaffCop, круто вешал компы своим драйвером ring0. Как StarForce практически. Молчу уж о том, как этот софт всех бесил. До сих пор помню как отказывался от заказа установить его на 20+ компов в одной из организаций на постсоветских просторах. А уж сколько «начальников» нагуглив этот продукт мечтало установить его ТАЙНО и «за всеми следить»! Бррр.