Обзор StaffCop Enterprise 3.1


Обзор StaffCop Enterprise 3.1

Компания «Атом Безопасность» выпустила обновленную версию StaffCop Enterprise — решения для мониторинга рабочих станций и терминальных серверов с целью предотвращения утечек конфиденциальных данных, расследования инцидентов информационной безопасности, учета рабочего времени сотрудников и анализа продуктивности их работы на автоматизированных рабочих местах.

Сертификат AM Test Lab

Номер сертификата: 181

Дата выдачи: 12.12.2016

Срок действия: 12.12.2021

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Функциональные возможности StaffCop Enterprise

3. Архитектура  StaffCop Enterprise

4. Системные требования и поддерживаемые технологии

5. Политика лицензирования

6. Работа с продуктом

7. Выводы

 

 

Введение

Персонал — это один из ключевых активов большинства компаний, и любому руководителю хочется, чтоб эффективность использования этого актива была близка к максимальной. Ведь очевидно: чем продуктивнее работают сотрудники, тем выше может оказаться прибыль компании. Поэтому работодатели всегда стремились так или иначе контролировать своих сотрудников.

С какими же трудностями сталкиваются компании?

Одна из проблем, определенно снижающая продуктивность сотрудников, — опоздания. На первый взгляд нет ничего страшного в том, чтобы, например, прийти попозже или уйти пораньше. Но за долгий период недоработки могут составлять дни и даже недели, за которые сотрудники все равно получают зарплату.

Вторая проблема — использование персоналом рабочего времени в личных целях. По статистике, типичный офисный сотрудник использует от 30 до 70% рабочего времени для решения собственных задач. Вместо работы он может заниматься веб-серфингом, общаться со знакомыми в мессенджерах или даже играть в игры. При этом внешне понять, когда работник занят не тем, чем надо, а когда действительно решает стоящие перед ним задачи, руководителю бывает трудно. Такое нецелевое использование рабочего времени несет вполне определенные экономические потери, т. к. работодатель фактически оплачивает переписку работника в соцсетях.

Головная боль любого руководителя — мошенничество сотрудников. Различные откаты и серые схемы способны принести не только разовый экономический урон, но и серьезно подмочить репутацию организации на долгое время, что приводит к еще большим суммарным финансовым потерям.

Кроме того, неконтролируемое использование интернета (социальные сети, мессенджеры, личная почта) может привести к утечкам конфиденциальной информации, что в свою очередь может нанести бизнесу существенный вред. Как правило, источниками таких угроз являются недобросовестные сотрудники компаний (инсайдеры). А в условиях кризиса проблема утечки информации только возрастает.

В данной ситуации все больше руководителей смотрят в сторону систем, помогающих повышать эффективность сотрудников и контролировать их работу, а также решающих проблемы информационной безопасности, связанные с утечкой информации. Одному из таких решений — StaffCop Enterprise — посвящен данный обзор.

StaffCop Enterprise — предназначен для решения комплекса задач по защите от утечек информации, контроля за использованием рабочего времени сотрудниками, контроля бизнес-процессов и расследования инцидентов внутри организации. Предыдущая версия StaffCop Enterprise 2.4 уже обозревалась на нашем сайте, в этом обзоре мы расскажем о ключевых и новых возможностях продукта версии 3.1.

 

Функциональные возможности StaffCop Enterprise

StaffCop Enterprise 3.1 обладает комплексом функциональных возможностей и решает следующие задачи:

  • Учет рабочего времени сотрудников.
  • Оценка и контроль эффективности работы персонала.
  • Выявление нелояльных сотрудников и мошеннических схем внутри предприятия.
  • Поиск возможных утечек информации и защита от инсайдеров.
  • Расследование инцидентов информационной безопасности.
  • Оперативный контроль сотрудников и определение групп риска.

Функции мониторинга

  • Мониторинг активности пользователя — производится автоматически при наличии действий в системе (движение мыши, набор текста и т. д.), регистрируется время начала и окончание работы за компьютером. Дополнительно может быть активирован контроль с интерактивным запросом подтверждения присутствия работника за компьютером, если активность какое-то время отсутствует.
  • Мониторинг ввода данных — отслеживание нажатий клавиатуры.
  • Контроль доступа к файловым ресурсам — работа с файлами и папками, в том числе и сетевыми: чтение, запись, удаление, перемещение, копирование, переименование.
  • Создание теневых копий всех файлов, передающихся за пределы компании, будь то электронная почта, мессенджеры или загрузка в облачные сервисы. Это касается и файлов, скопированных на USB-носители или распечатанных на принтере. Также поддерживается теневое копирование удаляемых файлов.
  • Контроль подключения USB-устройств — фиксируется время подключения и уникальный идентификатор устройства.
  • Мониторинг сетевого трафика, в том числе контроль шифрованного трафика, разбор email-сообщений с вложениями, контроль мессенджеров и доступа к веб-сайтам.
  • Контроль использования принтеров.
  • Мониторинг инсталляции и запуска приложений.
  • Запись звука с микрофонов.
  • Запись снимков экранов и фотоснимков с веб-камер.
    • Просмотр удаленных рабочих столов из консоли в режиме реального времени
    • Перехват SIP-телефонии — факты звонков с указанием времени и абонента.

Аналитические возможности

  • Категоризация работы сотрудников по продуктивности — можно задавать различные политики продуктивности для разных групп пользователей, вплоть до персональных политик для отдельных сотрудников. Это позволяет наблюдать на наглядных графиках активность пользователей в приложениях и на сайтах в виде полосок, раскрашенных в соответствующие цвета, а также показатели времени с точностью до минуты.
  • Категоризация работы сотрудников по видам деятельности — активность пользователя можно разбить на категории, например, «работа в графических редакторах», «посещение развлекательных ресурсов» и т. п.
  • Подсчет времени активности сотрудника в приложениях и на сайтах — учитывается реальная активность пользователя в приложении или на сайте, а не фокус окна.
  • Конструктор отчетов — для поиска и анализа информации, для создания новых фильтров. Для этого используется прием последовательного наложения ограничивающих фильтров. Наложение каждого фильтра в режиме реального времени отсекает лишнюю информацию, что позволяет найти искомое буквально в 2-3 клика мыши.
  • Табличные отчеты, линейный график, гистограмма, круговая диаграмма — для отображения данных, ограниченных фильтрами из конструктора отчетов с возможностью детализации (техника Drill Down).
  • Тепловая диаграмма — для наглядного анализа количества событий в промежутках времени.
  • Граф взаимосвязи — позволяет наглядно показать связи между различными событиями, может быть использован для визуального представления коммуникаций сотрудников или путей распространения файлов.
  • Контентный анализ и сквозной поиск по всем событиям и теневым копиям файлов, по ключевым словам, маскам и регулярным выражениям.
  • Поддержка словарей —  словарь ненормативной лексики, словарь наркоманского сленга, можно создавать собственные словари.

Функционал блокировки действий

  • Блокировка запуска процессов и приложений
  • Блокировка доступа к сайтам
  • Блокировка съемных USB-устройств по Hardware ID

Все типы блокировок доступны в режиме черных или белых списков. Политики могут быть настроены на группы или персонально на каждого сотрудника.

Дополнительные возможности

  • Система уведомлений (алертов) — в случае регистрации инцидента система сразу оповестит об этом в веб-интерфейсе и отправит на электронную почту письмо, в котором будет описание сработавшего инцидента и прямая ссылка на событие в веб-интерфейсе.
  • Отправка отчетов в формате PDF по электронной почте по расписанию.
  • Выгрузка теневых копий файлов одним ZIP-архивом.
  • Экспорт отчетов в PDF или HTML-формате.
  • Написание собственных фильтров на языке Python.

StaffCop Enterprise 3.1 ведет наблюдение за рабочим компьютером сотрудника и фиксирует всю активность — время начала и окончания работы, простои, время, проведенное с пользой для компании, и непродуктивные периоды. Регистрирует ключевые показатели — количество отправленных писем, коммерческих предложений, фактов совершенных звонков через VoIP, Skype и т. п.

В разрезе информационной безопасности StaffCop Enterprise осуществляет мониторинг запущенных программ, посещаемых сайтов, переписки по электронной почте, общения в социальных сетях и популярных мессенджерах. Теневое копирование всех файлов, передающихся за пределы компании, будь то электронная почта или загрузка в облачные сервисы.

Кроме того, решение может блокировать установку и запуск приложений, ограничивать доступ к сайтам и USB-устройствам в режиме черных и белых списков.

Программа также осуществляет мониторинг HTTP/HTTPS-трафика, теневое копирование всех отправляемых файлов, в том числе и в облачные сервисы, а также документов, копируемых на съемные носители. StaffCop записывает окружение с микрофона рабочей станции, делает снимки с веб-камеры, скриншоты экрана компьютера, контролирует печать на принтерах и USB-устройства.

Набор получаемых данных позволяет получить полную картину рабочего дня сотрудника, детально расследовать нарушения дисциплины, политик безопасности организации, а также прогнозировать возможные утечки информации.

StaffCop Enterprise в версии 3.1 претерпел ряд существенных изменений относительно версии 2.4.

Теперь в качестве платформы применяется операционная система Ubuntu 16.04, а агент StaffCop Enterprise стал работать на более низком уровне (драйверный агент), обеспечивая тем самым бесконфликтную работу.

Добавлен новый функционал мониторинга, аналитические возможности, в том числе контентный анализ, также изменения коснулись пользовательского интерфейса.

Более подробно о новых функциях поговорим в разделе «Работа с продуктом».

 

Архитектура StaffCop Enterprise

StaffCop Enterprise имеет клиент-серверную архитектуру. Подключение к серверу осуществляется по протоколу HTTPS (443 TCP-порт). Поддерживается работа в любых сетевых инфраструктурах, обеспечивающих подключение от клиента к серверу, включая NAT-трансляцию, VPN-каналы и другие варианты подключения. Благодаря этому StaffCop Enterprise может быть установлен на удаленный компьютер, не находящийся в локальной сети компании.

Кроме того, StaffCop Enterprise поддерживает работу в оффлайн-режиме — если у агента нет связи с сервером, он собирает информацию в локальную базу данных и передает ее на сервер при первой же возможности. Эта функция позволяет обеспечить постоянный контроль сотрудников, выходящих в интернет через временные каналы связи — мобильные 3G/4G-модемы, публичные Wi-Fi-подключения и т. п. Таким образом, в случае, например, отъезда сотрудника с рабочим ноутбуком в командировку контроль над его действиями не теряется, и мониторинг происходит в обычном порядке.

 

Рисунок 1. Архитектура StaffCop Enterprise

Архитектура StaffCop Enterprise

 

Чтобы обеспечить бесперебойный прием данных от клиентов, сервер StaffCop Enterprise поддерживает резервирование. При недоступности основного сервера агент будет передавать данные на резервный сервер.

Распределение ролей доступа

Для каждой учетной записи StaffCop Enterprise позволяет гибко задать полномочия — доступ к управлению администраторами, права суперпользователя, группы доступа и права по просмотру отдельных отчетов. С помощью разграничения прав доступа можно выделить отдельные записи для различных сотрудников компании, отвечающих за работу с персоналом. Например, для сотрудников отдела кадров предоставить доступ только к учету рабочего времени, а для службы безопасности — доступ к информации об утечках данных.

Агент StaffCop Enterprise содержит следующие модули:

  • Вход в систему — отслеживание авторизации сотрудника в операционной системе и завершения работы.
  • Активность приложений — сбор информации о времени работы приложений и времени активности (учитывается реальная активность пользователя в приложении, а не фокус окна).
  • Ввод с клавиатуры — отслеживание набора данных на клавиатуре.
  • Установка приложений — мониторинг установки и удаления приложений.
  • Запуск приложений — данные о запуске приложений.
  • Буфер обмена — перехват информации, копируемой в буфер обмена.
  • Файловая активность — информация обо всех файловых операциях.
  • Печать на принтерах — отслеживание заданий на печать, включая функции по созданию теневых копий данных, отправляемых на печать.
  • USB-устройства — контроль подключения и работы с USB-устройствами, также включает в себя теневое копирование выгружаемых файлов.
  • Веб-трафик — перехват и мониторинг информации, запрашиваемой по протоколам HTTP/HTTPS, включая отдельный контроль файлов, загружаемых на веб-сайты.
  • Интернет-пейджеры — перехват и запись отправлений, передаваемых в системах мгновенного обмена сообщениями, а также регистрация фактов звонков SIP-телефонии.
  • Поддерживается работа с протоколами ICQ, MMP, XMPP и приложениями ICQ, QIP, Jabber, [email protected] и другими (за исключением Skype).
  • Скайп — отдельный модуль для контроля Skype-протокола.
  • FTP — контроль передачи файлов по протоколу FTP.
  • Электронная почта — отслеживание почтовых сообщений, включая вложения, при использовании специализированных протоколов — POP, IMAP, SMTP.
  • Веб-почта — отслеживание почтовых сообщений, включая вложения, при работе с почтовым ящиком через веб-интерфейс.
  • Электронная почта MAPI — отслеживание почтовых сообщений при работе с сервером Microsoft Exchange.
  • Снимки с веб-камеры — выполнение периодических снимков с помощью веб-камеры для визуального слежения за сотрудниками.
  • Мониторинг сети — перехват всех сетевых соединений, выполняемых по IP-протоколам.
  • Запись с микрофона — постоянная запись окружающих звуков с контролируемого компьютера, дополнительно этот модуль отвечает за запись разговоров через VoIP, включая голосовое общение в Skype.

 

Системные требования и поддерживаемые технологии

Серверная часть StaffCop Enterprise может быть установлена на Ubuntu Server 14.04 LTS или Ubuntu Server 16.04 LTS на физической, виртуальной машине или выделенном сервере. Серверная часть предназначена для сбора, хранения и просмотра информации об активности пользователей. Метаданные сохраняются в свободно распространяемой базе данных PostgreSQL, перехваченные файлы и скриншоты сохраняются в отдельном разделе, что позволяет при больших объемах данных оптимально настраивать дисковую подсистему для максимальной производительности.

StaffCop Enterprise поддерживает работу в виртуальных средах VMware, Hyper-V, Virtual Box и др. В таблице ниже приведены системные требования для серверной части StaffCop Enterprise.

 

Таблица 1. Системные требования для серверной части StaffCop Enterprise

ПараметрСистемные требования для серверной части StaffCop Enterprise 3.1
Рекомендуемые системные требования для 10-50 агентовРекомендуемые системные требования для 100-200 агентов Рекомендуемые системные требования для 200-500 агентов
Операционная системаUbuntu Server 16.04 LTSUbuntu Server 16.04 LTS  Ubuntu Server 16.04 LTS
Процессор (CPU)Intel Xeon E5-2603 v3Intel® Xeon E5-2630v3Intel® Xeon E5-1660V3
Оперативная память (RAM)8 Гб16 Гб32Гб
Дисковое пространство10 Гб для ОС и 100 Гб для СУБД30 Гб для ОС и 200 Гб для СУБД30 Гб для ОС и 400 Гб для СУБД

 

В документации вендор приводит формулу, по которой можно рассчитать необходимый объем дискового пространства в зависимости от задействованных функций мониторинга.

Агентская часть устанавливается на рабочие места сотрудников с операционной системой Windows и отслеживает действия пользователя, а также реализует различные блокировки и запреты доступа. Поддерживается установка агентской части локально на рабочем месте или удаленно — с помощью встроенных средств развертывания или через групповые доменные политики (GPO). Системные требования для агентов StaffCop Enterprise 3.1 приведены в таблице ниже.

 

Таблица 2. Системные требования для агентов StaffCop Enterprise

ПараметрСистемные требования для агентов StaffCop Enterprise 3.1
Минимальные системные требования для агентаРекомендуемые системные требования для агента
Операционная системаWindows 8, Windows 7, Vista, Windows Server 2003, 2008, 2012Windows 8, Windows 7, Vista, Windows Server 2003, 2008, 2012
Процессор (CPU)Intel Celeron 1.8 ГГцIntel Core2Duo 2.2 ГГц
Оперативная память1 Гб (для работы на терминальном сервере для каждого пользователя необходимо увеличение оперативной памяти на 256 МБ)2 Гб (для работы на терминальном сервере для каждого пользователя необходимо увеличение оперативной памяти на 256 МБ)
Дисковое пространство5 Гбот 5 Гб

 

Стоит отметить, что агенты также могут работать на компьютерах под управлением Windows XP, но с ограничением функциональности.

Для управления StaffCop Enterprise вендор рекомендует использовать браузеры Mozilla Firefox или Google Chrome.

 

Политика лицензирования

StaffCop Enterprise имеет гибкую политику лицензирования. Лицензирование производится по числу агентских модулей, которые привязываются к компьютеру (одна лицензия — один компьютер), а при использовании систем терминального доступа — к пользователю.

Лицензирование StaffCop Enterprise осуществляется по количеству контролируемых компьютеров. Лицензии не ограничены по сроку действия, техническая поддержка предоставляется бесплатно в течение 1 года с момента покупки. Все обновления продукта доступны без дополнительной оплаты в течение срока действия технической поддержки.

Лицензии агентов делятся на два типа: конкурентная (плавающая) и именная.

Именная лицензия позволяет использовать агента только на том компьютере, на котором он был установлен изначально, без переустановки операционной системы.

Конкурентные лицензии (плавающие) не зафиксированы за конкретным рабочим местом и могут быть использованы на любом компьютере.

Учет количества лицензий производится на сервере, во внимание принимается только количество одновременно подключенных клиентов. Использование конкурентной лицензии помогает организовать работу с часто меняющимися удаленными исполнителями. При этом нет необходимости выделять дополнительные средства на закупку лицензий для StaffCop Enterprise.

Производитель предлагает бесплатно внедрить пилотный проект StaffCop Enterprise и оценить его возможности и преимущества в течение 3 месяцев на парке машин любого размера, выделив для этого технического специалиста и организовав обучающие вебинары.

 

Работа с продуктом

Процесс установки и развертывания подробно описан в обзоре StaffCop Enterprise 2.4 и не претерпел существенных изменений.

Доступ к интерфейсу управления осуществляется с помощью перехода по IP-адресу сервера через браузер. При первом открытии интерфейса после установки StaffCop предлагает ввести пароль администратора. После авторизации открывается основной интерфейс панели управления, представляющий собой журнал событий с множеством гибко настраиваемых фильтров.

 

Рисунок 2. Интерфейс консоли управления StaffCop Enterprise 3.1

Интерфейс консоли управления StaffCop Enterprise 3.1

 

Агенты передают на сервер события, вокруг которых и строится вся основная работа в программе StaffCop Enterprise. Собранные данные можно просматривать и анализировать с помощью различных таблиц, графиков и диаграмм.

Каждый тип события имеет свой набор измерений, по которым события разных типов могут быть связаны между собой. Каждое событие имеет стандартный набор измерений — данные о компьютере, пользователе, дате и времени, а также собственные атрибуты характерных для данных событий.

Например, события типа «почта» имеют дополнительные измерения — данные о приложении, атрибуты, специфичные для диалогов: направление (входящие/исходящие), отправитель, получатель, формат сообщения, канал общения, участники переписки.

Типы событий в StaffCop Enterprise:

  • время активности — данные о наличии активности;
  • ввод с клавиатуры;
  • вход/выход из системы;
  • посещение сайтов;
  • операции с файлами;
  • сеть — события, связанные с сетевыми подключениями, содержат информацию об IP-адресе подключения и сокете;
  • снимок экрана;
  • снимок с веб-камеры;
  • запись с микрофона;
  • внешние диски — данные об операциях со съемными USB-накопителями;
  • установка ПО — факты установок и деинсталляция программного обеспечения;
  • буфер обмена;
  • интернет-пейджер;
  • почта;
  • перехваченный файл;
  • устройства — данные о подключении и отключении USB-устройств, в том числе тех, которые не являются накопителями;
  • активность — данные, собранные при помощи модуля контроля присутствия на рабочем месте;
  • системный лог — используется для хранения логов агента при отладке;
  • печать документов.

 

Рисунок 3. Типы событий в StaffCop Enterprise 3.1

Типы событий в StaffCop Enterprise 3.1

 

При помощи панели измерений и агрегат-бара, в котором события сгруппированы по различным измерениям и атрибутам, можно ограничивать отображаемую информацию. Для этого используется прием последовательного наложения ограничивающих фильтров. Наложение каждого фильтра в режиме реального времени отсекает лишнюю информацию, что позволяет найти искомое буквально в 2-3 клика мыши.

На примере той же «почты» мы можем увидеть, например: все письма, отправленные с отслеживаемых компьютеров → все письма, отправленные определенным пользователем → все письма с вложениями, отправленными определенным пользователем → все письма с вложениями, отправленными определенным пользователем через браузер и т. д. Или наоборот, посмотреть, кто отправлял письма с вложениями через браузер в период с 9:00 до 18:00.

 

Рисунок 4. Фильтрация событий в StaffCop Enterprise 3.1

Фильтрация событий в StaffCop Enterprise 3.1

 

В системе предусмотрены исключающие фильтры (анти-фильтры), можно исключить из выборки заведомо неинтересные события. Пример: все письма с вложениями, отправленные определенным пользователем через браузер за исключением получателей с адресом корпоративной почты. Хочется отметить, что обычный уточняющий фильтр превращается в анти-фильтр одним кликом по названию фильтра в нижней части экрана.

Таким образом, можно коррелировать и фильтровать любые события, содержащиеся в базе данных.

Как уже говорилось выше, собранные и отфильтрованные данные можно просматривать и анализировать.

Просмотр событий

Просмотр событий в «линзе» доступен в табличном виде, в виде списка, галереи скриншотов. На тепловой диаграмме можно увидеть распределение интенсивности во времени. Соответствующие вкладки расположены в нижней части линзы в разделе «события».

 

Рисунок 5. Отображение событий в табличном виде в StaffCop Enterprise 3.1

Отображение событий в табличном виде в StaffCop Enterprise 3.1

 

Рисунок 6. Отображение событий в виде списка в StaffCop Enterprise 3.1

Отображение событий в виде списка в StaffCop Enterprise 3.1

 

Рисунок 7. Галерея скриншотов в StaffCop Enterprise 3.1

Галерея скриншотов в StaffCop Enterprise 3.1

 

Рисунок 8. Просмотр снимков экрана в StaffCop Enterprise 3.1

Просмотр снимков экрана в StaffCop Enterprise 3.1

 

Рисунок 9. Тепловая диаграмма в StaffCop Enterprise 3.1

Тепловая диаграмма в StaffCop Enterprise 3.1

 

Переход к просмотру событий из тепловой диаграммы происходит по щелчку мыши на закрашенной области.

Анализ событий

Анализировать данные в StaffCop Enterprise можно с помощью таблиц, линейных графиков, гистограмм, круговых диаграмм, графов взаимосвязи, а также с помощью отдельных отчетов для контроля эффективности работы сотрудников.

Каждый отчет имеет собственный конструктор, с помощью него можно удобно группировать и детализировать данные по измерениям. В отчетах поддерживается техника дрилл-даун (Drill Down), когда по нажатию на элемент можно получить детализированные данные.

В табличном виде удобно просматривать количественные показатели, делая разбивку по атрибутам. Для примера выведем в таблицу все события типа «почта» по пользователям, а затем разобьем эти данные по приложениям.

 

Рисунок 10. Выборка событий типа «Почта» по пользователям в StaffCop Enterprise 3.1

Выборка событий типа «Почта» по пользователям в StaffCop Enterprise 3.1

 

Рисунок 11. Разбивка событий типа «Почта» с использованием измерений  «Пользователь» и «Название»

Разбивка событий типа «Почта» с использованием измерений  «Пользователь» и «Название»

 

Подобные операции можно делать с любыми типами событий и их измерениями.

С помощью линейного графика и гистограммы можно отслеживать различного рода аномалии в поведении сотрудников или визуально сравнивать показатели.

 

Рисунок 12. Графический вид отчета в виде линейного графика в StaffCop Enterprise 3.1

Графический вид отчета в виде линейного графика в StaffCop Enterprise 3.1

 

Рисунок 13. Графический вид отчета в виде гистограммы в StaffCop Enterprise 3.1

Графический вид отчета в виде гистограммы в StaffCop Enterprise 3.1

 

Круговая диаграмма является интерактивной, при нажатии на сегмент осуществляется переход к просмотру соответствующих событий.

 

Рисунок 14. Графический вид отчета в виде круговой диаграммы в StaffCop Enterprise 3.1

Графический вид отчета в виде круговой диаграммы в StaffCop Enterprise 3.1

 

Рисунок 15. Переход к просмотру события из круговой диаграммы в StaffCop Enterprise 3.1

Переход к просмотру события из круговой диаграммы в StaffCop Enterprise 3.1

 

Экспорт событий осуществляется через ленту событий, попасть в которую можно нажатием на кнопку «выгрузка».  Также можно скачать все файлы, прилагаемых к выбранным данным, одним ZIP-архивом.

 

Рисунок 16. Выгрузка файлов из ленты событий одним ZIP-файлом в StaffCop Enterprise 3.1

Выгрузка файлов из ленты событий одним ZIP-файлом в StaffCop Enterprise 3.1

 

Визуализировать информационные потоки между сотрудниками можно с помощью графов взаимосвязи. Граф отображает движение информации между сотрудниками и их взаимосвязи.

 

Рисунок 17. Граф взаимосвязей в StaffCop Enterprise 3.1

Граф взаимосвязей в StaffCop Enterprise 3.1

 

Учитывается и отображается не только переписка и электронная почта, но и отправка файлов, а также любые другие события, которые могут быть связаны. Можно настроить отчет таким образом, чтобы, выбрав интересующий документ, увидеть всю цепочку его движения и распространения.

 

Рисунок 18. Визуализация движения документа на графе взаимосвязей в StaffCop Enterprise 3.1

Визуализация движения документа на графе взаимосвязей в StaffCop Enterprise 3.1

 

Последовательное наложение фильтров позволяет выделить только необходимую информацию, например, при наложении фильтра «использование ненормативной лексики» можно проследить отношения персонала в переписке.

 

Рисунок 19. Отслеживание использования сотрудниками в переписке ненормативной лексики с помощью графа взаимосвязи в StaffCop Enterprise 3.1

Отслеживание использования сотрудниками в переписке ненормативной лексики с помощью графа взаимосвязи в StaffCop Enterprise 3.1

 

Для контроля эффективности работы сотрудников в StaffCop Enterprise сделана серия отчетов, доступ к которым осуществляется через вкладку «Отчеты» в верхней части «линзы». Рассмотрим самые, на наш взгляд, интересные из них.

 

Рисунок 20. Вкладка «Отчеты» в StaffCop Enterprise 3.1

Вкладка «Отчеты» в StaffCop Enterprise 3.1

 

Отчет «учет рабочего времени» отображает график активности сотрудников в течение дня, а также количественные показатели использования рабочего времени: начало и окончание работы, общее время работы за сутки, активное время (это суммарное время, которое пользователь был активен за компьютером — пользовался клавиатурой, мышью, работал в приложениях и т. д.), суммарное время простоя, время, на которое опоздал сотрудник (период рабочего времени можно задать в настройках  для групп сотрудников и персонально для каждого), сверхурочные часы, продуктивное и непродуктивное время.

На графике активности красные области — это непродуктивное время, когда пользователь проявлял активность в приложениях или посещал сайты, которые не относятся к его рабочему процессу. Зеленые полоски — продуктивное время, работа в приложениях и на сайтах, которые использовал сотрудник для решения рабочих задач. Серые области — нейтральная активность, пустые области означают отсутствие активности сотрудника за компьютером.

С помощью календаря можно выбрать интересующий период. А с помощью конструктора отчетов отфильтровать интересующих нас пользователей.

 

Рисунок 21. Пример отчета «учета рабочего времени» в StaffCop Enterprise 3.1

Пример отчета «учета рабочего времени» в StaffCop Enterprise 3.1

 

Нажав на имя пользователя или наложив соответствующий фильтр в конструкторе, можно получить детализацию по нему, где отражено распределение времени по категориям, приложениям и активности на сайтах.

 

Рисунок 22. Пример детализированного отчета «учет рабочего времени» по сотруднику в StaffCop Enterprise 3.1

Пример детализированного отчета «учет рабочего времени» по сотруднику в StaffCop Enterprise 3.1

 

Сводный отчет

Рисунок 23. Создание «Сводного отчета» в StaffCop Enterprise 3.1

Создание «Сводного отчета» в StaffCop Enterprise 3.1

 

В сводном отчете отображаются рейтинги: опоздавших по количеству, по времени; самых активных и неактивных сотрудников; самых продуктивных и самых непродуктивных. А также сводную таблицу ключевых показателей.

 

Рисунок 24. Пример «Сводного отчета» в StaffCop Enterprise 3.1

Пример «Сводного отчета» в StaffCop Enterprise 3.1

 

Отчет по опозданиям

Здесь представлена сводная информация об опозданиях сотрудников. Внешне отчет похож на предыдущий, только содержит данные об опозданиях.

 

Рисунок 25. Пример «Отчета по опозданиям» в StaffCop Enterprise 3.1

Пример «Отчета по опозданиям» в StaffCop Enterprise 3.1

 

Отчет «Сводная статистика»

Это таблица, отображающая показатели сотрудников — количество отправленных и полученных писем, сообщений в мессенджерах, количество перехваченных файлов по разным каналам, количество распечатанных документов. В зависимости от контекста эти данные можно рассматривать как KPI или аномалии поведения.

 

Рисунок 26. Пример отчета «Сводная статистика» в StaffCop Enterprise 3.1

Пример отчета «Сводная статистика» в StaffCop Enterprise 3.1

 

Табели

Для отражения ежедневных затрат рабочего времени за месяц на каждого работника в StaffCop Enterprise существуют отчеты в виде классических табелей. На каждого сотрудника отведено по одной строке на каждую половину месяца. В самом правом столбце отображается суммарное количество отработанных дней и часов по итогам месяца.

 

Рисунок 27. Табель учёта рабочего времени в StaffCop Enterprise 3.1

Табель учёта рабочего времени в StaffCop Enterprise 3.1

 

В виде табелей существуют отчеты по активному времени, отсутствию на рабочем месте и использованию принтеров. Так же, как и другие отчеты, табель можно сохранить себе на компьютер или распечатать.

Для удобства администрирования и управления в новой версии добавлен функционал отправки отчета по расписанию в формате PDF.

 

Рисунок 28. Настройка отправки отчетов на почту администратору в StaffCop Enterprise 3.1

Настройка отправки отчетов на почту администратору в StaffCop Enterprise 3.1

 

Рисунок 29. Отправленные на почту администратора  отчеты  StaffCop Enterprise 3.1

Отправленные на почту администратора  отчеты  StaffCop Enterprise 3.1

 

Контентный анализ и сквозной поиск

В StaffCop Enterprise добавили возможность контентного анализа и сквозного поиска по маскам, в дополнение к существующему поиску по ключевым словам и регулярным выражениям. 

Контентный анализ предназначен для экстракции содержимого из текстовых документов и записи экстрагированного текста в специальный раздел базы данных. Этот тип используется системной политикой «Анализ контента».

 

Рисунок 30. Контентная фильтрация в StaffCop Enterprise 3.1

Контентная фильтрация в StaffCop Enterprise 3.1

 

Эти инструменты позволяют быстро получать факты, необходимые для расследования инцидентов информационной безопасности.

Сохраненные фильтры и политики

Раздел «Фильтры» предназначен для просмотра и редактирования фильтров и политик, которые разбиты на три группы:

  • Эффективность — здесь сгруппированы отчеты для учета рабочего времени и анализа эффективности труда работников.
  • Безопасность — здесь сгруппированы отчеты по безопасности, по угрозам, нарушителям и инцидентам.
  • Политики — здесь сгруппированы различные политики безопасности, продуктивности, перехвата и пр.

 

Рисунок 31. Предустановленные отчеты в StaffCop Enterprise 3.1

Предустановленные отчеты в StaffCop Enterprise 3.1

 

В этом же разделе хранятся фильтры, созданные администраторами.

StaffCop позволяет создавать собственные политики на основе фильтров, регулярных выражений или скриптов на Python. При срабатывании политики напротив ее названия в разделе «фильтры» появляется красная метка с указанием количества срабатываний с момента последнего просмотра, информация также добавляется в измерение сработавших фильтров. Это измерение можно использовать в других отчетах и фильтрах, например, при анализе количества инцидентов по сотрудникам или отделам. Также можно настроить мгновенное уведомление администратора о событии по электронной почте.

 

Рисунок 32. Отображение количества сработавших фильтров на панели измерений в StaffCop Enterprise 3.1

Отображение количества сработавших фильтров на панели измерений в StaffCop Enterprise 3.1

 

Рисунок 33. Отображение количества сработавших политик на панели измерений в StaffCop Enterprise 3.1

Отображение количества сработавших политик на панели измерений в StaffCop Enterprise 3.1

 

Рисунок 34. Пример настройки мгновенного уведомления администратора о событии по электронной почте в StaffCop Enterprise 3.1

Пример настройки мгновенного уведомления администратора о событии по электронной почте в StaffCop Enterprise 3.1

 

Рисунок 35. Пример настройки мгновенного уведомления администратора о событии по электронной почте в StaffCop Enterprise 3.1

Пример настройки мгновенного уведомления администратора о событии по электронной почте в StaffCop Enterprise 3.1

 

Запись звука с микрофонов

Функционал записи микрофонов используется для записи разговоров через Skype, VoIP-телефонию, а также для прослушивания окружения. 

В версии StaffCop Enterprise 3.1 для микрофона появились дополнительные настройки (порог активации, длительность записи и т. д.). Это дает возможность не записывать тишину и посторонние шумы и тем самым сократить объем хранимой и обрабатываемой на сервере информации.

 

Рисунок 36. Просмотр событий по типу «Запись с микрофона» в StaffCop Enterprise 3.1

Просмотр событий по типу «Запись с микрофона» в StaffCop Enterprise 3.1

 

Рисунок 37. Дополнительные настройки микрофона в StaffCop Enterprise 3.1

Дополнительные настройки микрофона в StaffCop Enterprise 3.1

 

Особый контроль файлов и приложений

В правилах мониторинга можно включить функцию особого контроля приложений и файлов. При обращении к особо контролируемому файлу происходит его принудительное теневое копирование, при запуске приложения меняется частота снятия скриншотов.

 

Рисунок 38. Настройка функции особого контроля приложений и файлов в StaffCop Enterprise 3.1

Настройка функции особого контроля приложений и файлов в StaffCop Enterprise 3.1

 

Рисунок 39. Настройка параметров «Снимки экрана» в StaffCop Enterprise 3.1

Настройка параметров «Снимки экрана» в StaffCop Enterprise 3.1

 

Просмотр удаленного рабочего стола

Одной из важных новых функций является возможность из консоли осуществлять просмотр удаленных рабочих столов в режиме реального времени. Для этого достаточно в агрегат-баре выбрать нужный компьютер и нажать иконку «Монитор». При этом вендор отмечает, что в следующих версиях продукта добавит и возможность удаленного управления.

 

Рисунок 40. Просмотр удаленного рабочего стола в режиме реального времени в StaffCop Enterprise 3.1

Просмотр удаленного рабочего стола в режиме реального времени в StaffCop Enterprise 3.1

 

Пример выявления инцидентов различными средствами аналитики StaffCop Enterprise 3.1

 

Рисунок 41. Пример визуализации количества операций копирования за месяц в виде линейного графика в StaffCop Enterprise 3.1

Пример визуализации количества операций копирования за месяц в виде линейного графика в StaffCop Enterprise 3.1

 

Рисунок 42. Пример визуализации количества операций копирования за месяц в виде круговой диаграммы в StaffCop Enterprise 3.1

Пример визуализации количества операций копирования за месяц в виде круговой диаграммы в StaffCop Enterprise 3.1

 

Рисунок 43. Пример визуализации количества операций копирования за месяц в виде таблицы в StaffCop Enterprise 3.1

Пример визуализации количества операций копирования за месяц в виде таблицы в StaffCop Enterprise 3.1

 

 

Рисунок 44. Пример визуализации количества операций копирования за месяц в виде тепловой диаграммы в StaffCop Enterprise 3.1

Пример визуализации количества операций копирования за месяц в виде тепловой диаграммы в StaffCop Enterprise 3.1

 

Выводы

StaffCop Enterprise представляет собой мощный набор инструментов для анализа событий и информации, что позволяет оценивать и контролировать продуктивность сотрудников за компьютерами, быстро и точно расследовать инциденты информационной безопасности внутри предприятия.

Применение системы позволяет сократить опоздания и использование рабочего времени сотрудниками в личных целях, что в итоге должно значительно повысить продуктивность работы.

Помимо задачи, связанной с контролем эффективности пользователей, StaffCop Enterprise решает ряд проблем, связанных с контролем каналов передачи данных и предотвращением утечек конфиденциальной информации — система может успешно выполнять основную, наиболее востребованную часть функций DLP и отслеживать утечку конфиденциальной информации благодаря наличию контроля всевозможных каналов передачи данных и работы с внешними устройствами. StaffCop Enterprise несколько уступает дорогим DLP-системам по функциональным возможностям в области контентного контроля. Например, модуль контроля внешних устройств поддерживает только работу с USB-устройствами, отсутствует технология распознавания текста в графических файлах, работа с зашифрованными архивами и т. д. Впрочем, вендор не скрывает, что система не является классическим DLP-решением, т. к. не имеет контентной блокировки вообще, и позиционирует свой продукт больше как инструмент эффективного анализа деятельности сотрудников, оповещения об опасной деятельности и расследования инцидентов.

К сильным сторонам продукта можно отнести поддержку большого числа протоколов для перехвата и анализа, гибкую систему построения отчетности, возможность контроля работы сотрудников за пределами офиса, в том числе в офлайн-режиме, а также мониторинг удаленных пользователей в режиме реального времени.

К преимуществам также можно отнести конкурентоспособную стоимость решения, гибкую систему лицензирования, а также использование в составе платформы бесплатных Open source-технологий. Таким образом, при внедрении системы не требуется покупка дополнительного лицензионного программного обеспечения (ОС, СУБД), что делает совокупную стоимость владения системой StaffCop Enterprise низкой.

К явным недостаткам можно отнести отсутствие агентов для операционных систем семейств Linux и macOS, а также некоторые шероховатости в веб-интерфейсе, снижающие удобство работы администратора, которые были отмечены еще в обзоре StaffCop Enterprise 2.4.

Преимущества:

  • Российское решение для контроля продуктивности и эффективности сотрудников и защиты от утечек конфиденциальной информации.
  • Поддержка большого числа протоколов для перехвата и анализа.
  • Гибкая система построения отчетности, в том числе возможность создания различных графических отчетов.
  • Простота внедрения и сохранение структуры локальной сети.
  • Возможность мониторинга удаленных пользователей в режиме реального времени.
  • Управление системой осуществляется через веб-интерфейс, что дает возможность администрировать StaffCop из любой точки планеты.
  • Возможность написания своих фильтров на языке Python.
  • Гибкая система лицензирования продукта.
  • Низкая стоимость решения по сравнению с другими DLP-системами.
  • Нулевые затраты на покупку сопутствующих серверных ОС и СУБД.
  • Постоянные обновления и полноценная поддержка продукта.
  • Возможность доработки продукта в соответствии с требованиями заказчика.

Недостатки:

  • Отсутствие агентов для операционных систем семейств Linux и macOS.
  • Небольшие недоработки в веб-интерфейсе, снижающие удобство работы администратора.
  • Модуль контроля внешних устройств поддерживает работу только с USB-устройствами.

По информации, имеющейся на момент написания обзора, вендор проводит активное тестирование агента под операционные системы Linux и macOS,  автоматического детектора аномалий, а также ведет разработку функционала для контроля контента по хешам.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...
Выбор редакции: 
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любых продуктов или сервисов по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.