Всем привет! Меня зовут Михаил, и я работаю с данными в системах класса предотвращения утечек информации (DLP) и системах поведенческого анализа. За много лет работы в сфере ИБ мне посчастливилось познакомиться со многими системами. Одно из недавних знакомств — StaffCop Enterprise v.4.4.

В этом обзоре я буду делиться впечатлениями от использования в работе системы StaffCop.



Интерфейс


Для подобных продуктов толковый, удобный интерфейс очень важен, все-таки аналитику приходится работать с ним каждый день.

Снимок рабочего стола:



Мне понравилось то, как всё структурировано, но расположение панелей поначалу вызывает лёгкий ступор. Впрочем, позднее привыкаешь к такой реализации и довольно быстро начинаешь выполнять задачи.

А за удачное отображение информации StaffCop стоит похвалить! При анализе событий доступны такие измерения как таблица, линейный график, круговая диаграмма, граф и дерево. В разных задачах эти представления данных могут очень помочь в поиске решения.



Для просмотра событий можно использовать таблицу, список, снимки, переписку, формирующую беседы по темам, и тепловую диаграмму, которая позволяет взглянуть на ситуацию в целом и быстро обнаружить подозрительную активность.



Единственное, что пока огорчает — отсутствие «кейс-менеджмента», то есть полноценной работы с инцидентами.

Инструменты


Теперь о задачах, которые приходилось решать и о том, как это делать с помощью StaffСop.

Важное замечание: пока у меня не было опыта использования Staffcop на больших объемах, поэтому что-то сказать о скорости поиска в глубоких архивах не могу.

1. Чем сотрудник занят на рабочем месте?

Нажимаем всего ОДНУ кнопку и загружаем карточку измерений (в данном случае по сотруднику):



В ней много полезного: данные из AD, последняя активность, активности на сайтах и в приложениях, информация, на каких ПК пользователь авторизовывался, контакты и графы переписки, поисковые запросы и учет рабочего времени.

Причем в системе есть возможность для редактирования этой карточки, т.е. можно добавить/убрать различные модули информации. Есть и карточки измерений по многим другим сущностям: например, по файлу, сайту, устройству и т.д.

Но есть и некоторые недочеты, при попытке выгрузить карточку для отправки, её необходимо отправить на печать и сохранить в формате PDF. Неудобно, к тому же есть проблемы с масштабированием: в некоторых случаях используются слишком мелкие шрифты.

2. Контроль сотрудников в реальном времени

Речь идет о подключении к рабочему столу конкретного сотрудника и контроль за его действиями. Да-да, не удивляйтесь, такие задачи не редкость.

Такой механизм есть, и он реально работает, причем в текущей версии, был внедрен так называемый «квадратор», то есть одновременный показ нескольких рабочих столов.



Но, как всегда, хочется большего. Например, если сотрудник заблокировал рабочий стол и ушел по делам, у вас по-прежнему будет отображаться его рабочий стол. Заметить, что самого сотрудника нет, можно только по остановившемуся времени на часах.

Возможность захвата управления проверил в тестовых целях. Работает хорошо, но на практике пока не пригодилось.

3. Детектор аномалий и задачи по отслеживанию движения файла

Сразу отмечу, что не все подобные системы обладают подобной функциональностью, поэтому расскажу об этих инструментах подробнее.

Выдержка про детектор аномалий из базы знаний вендора:

Новый вид отчёта, в котором выражены «аномалии» в перехваченных событиях на рабочих станциях пользователя.
Аномалией считается превышение количества событий определённого типа за час, если оно в 10 и более раз превышает стандартное значение, вычисленное за прошлую неделю работы системы.
Порог срабатывания системы для аномалий можно менять. Этот порог задаётся в виде цифры превышения количества раз от стандартизированных значений событий, собранных за определённый период времени работы.


Выглядит просто и понятно, а как использовать информацию зависит только от вас.



Отдельно о карте распространения.

Для поиска упоминания какого-то файла нужно, как и в случае с сотрудником, открыть карточку измерения файла. В ней содержится информация, о том кто, где, когда и как работал с ним. При этом можно быстро построить визуальную схему движения информации.



Для чего это нужно? Для решения стандартной задачи: найдите мне кто работал с … /слил отчет по продажам.

4. Отчеты об эффективности работы сотрудников

Это один из важных инструментов для продуктов этого класса, которые уходят от DLP в чистом виде. У StaffCop много различных вариантов отчетов, и они выдают довольно реалистичную информацию.

Эта тема наверняка близка тем, кто пытался делать отчеты об активности пользователя, например, с помощью систем web-proxy. Обычно у пользователя тысячи сработок на баннеры, открытые на сайте, и вычислить, сколько же он реально «сёрфил» в интернете, практически невозможно.

Причем запросов от руководства, чем занят тот или иной сотрудник поступает примерно столько же, сколько и задач по расследованию утечек информации. В случае со StaffCop на составление такого отчета тратится всего лишь минута, а с другими DLP-системами, не обладающими подобными инструментами, можно угробить весь день на выполнение такого задания.

Заключение


StaffCop развивается стремительно. Основной упор делается на контроль рабочего места сотрудника. В арсенале есть такие фишки, как контроль установки/удаления ПО, реестр этого ПО и железа, имеющиеся далеко не у всех систем, представленных на рынке ИБ.

Сейчас StaffCop — это система контроля рабочего времени сотрудников с рядом удобных инструментов и некоторыми возможностями DLP. Какой она станет завтра — открытый вопрос.
Да, есть недостатки: где-то что-то не отображается или не перехватывается. Вендор такие баги старается оперативно устранять.

В общем, StaffCop — достойный продукт для решения нетиповых задач ИБ.

Михаил Годжаев, руководитель направления анализа событий Блока DLP компании Infosecurity a Softline Company.