Обзор DLP-системы StaffCop Enterprise 4.6


Обзор DLP-системы StaffCop Enterprise 4.6

Программный продукт StaffCop Enterprise, разработанный российской компанией ООО «Атом безопасность», — комплексная DLP-система для защиты от действий инсайдеров и утечек конфиденциальных данных. В StaffCop Enterprise версии 4.6 много нового: перехват входящей почты через IMAP, перехват веб-версий мессенджеров, осциллограмма аудиофайлов, упрощение работы с аналитикой данных в веб-интерфейсе, перехват файловых операций для отмеченных информационных объектов, большое обновление Linux-агента и многое другое.

Сертификат AM Test Lab

Номер сертификата: 279

Дата выдачи: 20.01.2020

Срок действия: 20.01.2025

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Архитектура StaffCop Enterprise
  3. Функциональные возможности
  4. Что нового в версии StaffCop Enterprise 4.6?
    1. 4.1. Извлечение писем по протоколу IMAP
    2. 4.2. Поддержка популярных веб-мессенджеров
    3. 4.3. Отслеживание операций с «помеченными» файлами
    4. 4.4. Перехват печати и удаленное администрирование на GNU/Linux
    5. 4.5. Видеостена из веб-камер
    6. 4.6. Работа со звуковыми файлами
    7. 4.7. Поиск по близлежащим событиям
    8. 4.8. Срабатывания по порогу
  5. Выводы

 

Введение

Вы когда-нибудь оценивали, сколько стоят ваши риски? В современном мире есть множество угроз безопасности ваших данных. Иногда утрата информации может обесценить многолетнюю работу, лишить вас потенциальной прибыли или даже привести к банкротству. Вместо того чтобы переживать о потенциальных угрозах, подозревать своих коллег в краже данных и пытаться усложнить жизнь рядовым сотрудникам, ограничивая их в работе, можно выделить часть бюджета на средство борьбы с утечками (DLP-продукт) и не только выявить соответствующие инциденты, но и посмотреть изнутри на то, как устроены ваши бизнес-процессы.

Обычно DLP-система предлагает следующие возможности:

  • анализ инцидентов информационной безопасности,
  • получение информации о внутренних рабочих процессах,
  • осуществление ненавязчивого контроля продуктивности работы сотрудников,
  • осуществление помощи в системном администрировании.

Современные продукты этого класса далеко продвинулись в функциональности, позволяющей автоматизировать ручной анализ инцидентов информационной безопасности. Распознавание документов, поиск по словарям ключевых слов, анализ переписки — всё это позволяет получать актуальные отчеты об интересующих вас каналах утечки информации без больших затрат и без необходимости увеличивать штат службы безопасности. Достаточно настроить систему и получать отчёты по настроенным фильтрам.

Что предлагает нам StaffCop Enterprise?

Во-первых, контроль рабочего времени: руководители компаний, сотрудники службы безопасности и администраторы сетей, использующие StaffCop Enterprise, могут отслеживать практически все подозрительные события, происходящие на компьютерах предприятия, причём как в реальном времени, так и в ретроспективе. С помощью этого решения можно оценить эффективность работы коллег и узнать, на что они тратят рабочее время. 

Во-вторых, анализ инцидентов информационной безопасности. Доступен полный мониторинг сетевого трафика (в том числе шифрованного), корпоративной электронной и веб-почты (с вложениями), интернет-мессенджеров, посещения веб-сайтов. Имеются также функциональность по отслеживанию работы с файлами (файловая система, буфер обмена, копирование на внешние носители, сетевые диски, анализ данных в архивах), детектор аномалий поведения пользователей, система оповещения о нарушении политик безопасности предприятия, гибкая система настройки сбора информации.

В-третьих, помощь в системном администрировании. В эту группу входят блокировка сайтов и приложений, настройка белого списка USB-устройств, мониторинг печати документов и удалённое подключение к рабочему столу. Эти инструменты заменяют множество других специализированных продуктов IT-отдела.

Для работы StaffCop Enterprise необходим только один сервер под управлением ОС семейства GNU/Linux, предназначенный для сбора, хранения, анализа и просмотра информации об активности пользователей.

 

Архитектура StaffCop Enterprise

StaffCop Enterprise является клиент-серверным приложением и состоит из двух основных частей: сервера и агентов.

Серверная часть предназначена для обработки информации, поступающей от агентов. Она устанавливается на машину под управлением ОС Ubuntu Server и использует СУБД PostgreSQL и Clickhouse.

Доступ к данным и управление мониторингом осуществляются через веб-интерфейс (веб-консоль). Работа с консолью возможна с любого компьютера, способного подключиться к серверу через интернет или локальную сеть. Для загрузки веб-интерфейса разработчик рекомендует использовать современный браузер Chrome или Firefox.

Агент представляет собой службу, запущенную на рабочей станции или терминальном сервере с операционной системой Windows, Linux и macOS. Он отслеживает действия сотрудника и события на его компьютере, передаёт их на сервер, а также реализует различные блокировки и запреты доступа.

Установка агента для ОС семейства Windows производится локально или удалённо с помощью встроенной утилиты. Возможна также инсталляция через групповые политики (GPO) Active Directory. Для установки требуются права локального (доменного) администратора.

Установка Linux-агента выполняется путём запуска инсталлятора с правами суперпользователя (root).

Работа агента происходит в скрытом режиме незаметно для пользователя. Данные накапливаются в локальной базе, а после передачи на сервер автоматически удаляются. Если связи с сервером нет, то сбор продолжается, но по достижении максимального разрешённого размера локальной базы агент начинает циклично перезаписывать информацию, затирая самые старые данные.

Подключение к серверу осуществляется по защищённому соединению. Поддерживается работа в любых сетевых инфраструктурах, обеспечивающих подключение от клиента к серверу: через VPN, NAT и другие каналы. Агент StaffCop Enterprise может работать и на удалённом компьютере, не находящемся в локальной сети компании.

Всю собранную информацию StaffCop визуализирует с помощью наглядных отчётов и диаграмм. Отчёты создаются в режиме реального времени. Можно воспользоваться предустановленными формами отчётов либо определить собственные шаблоны.

Настройка конфигурации пользователей, параметров системы, политик безопасности происходит в единой консоли управления; настройки пользователей могут быть как групповыми, так и индивидуальными.

 

Функциональные возможности

 

Рисунок 1. Визуализация функциональных возможностей StaffCop Enterprise

Визуализация функциональных возможностей StaffCop Enterprise

 

Спектр возможностей StaffCop Enterprise можно разделить на следующие группы (таблица 1).

 

Таблица 1. Функциональные возможности StaffCop Enterprise

Группа возможностей

Состав группы

1. Контроль отправки информации посредством электронной почты
  • Перехват почтовых сообщений по протоколам SMTP/SMTPS, POP3/POP3S, IMAP/IMAPS, MAPI;
  • перехват и анализ файлов-вложений почтовых сообщений;
  • мониторинг почтовых сообщений и вложений с дальнейшей отправкой уведомления одному или нескольким ответственным лицам в случае обнаружения информации по заданным критериям.
2. Мониторинг отправки информации посредством IM-клиентов
  • Перехват текстовых сообщений по протоколам (Skype, Telegram, ICQ\QIP, Jabber, Mail.ru Agent) и отправляемых файлов (Skype, Telegram).
3. Контроль информации, передаваемой по HTTP/HTTPS
  • Перехват и анализ сообщений и файлов, отправляемых в блоги, форумы, файлообменные сервисы и иные веб-службы;
  • перехват входящих и исходящих данных веб-коммуникаций (переписки в чатах, публикация статусов, комментарии) на веб-ресурсах: Facebook, Одноклассники, Twitter;
  • перехват исходящих сообщений ВКонтакте, исходящих электронных писем и вложений, переданных или полученных через почтовые веб-сервисы (mail.yandex.ru, mail.google.com, mail.rambler.ru, e.mail.ru, outlook.com);
  • перехват и мониторинг поисковых запросов пользователя;
  • сохранение адресов всех страниц (URL), посещённых пользователем;
  • мониторинг сообщений и файлов с дальнейшей отправкой уведомления одному или нескольким ответственным лицам в случае обнаружения информации по заданным критериям;
  • поиск по тексту и атрибутам сообщений и файлов, переданных и перехваченных по протоколу HTTP(S);
  • блокировка посещения веб-ресурсов;
  • исключение мониторинга сайтов по чёрным и белым спискам;
  • мониторинг всех посещённых сайтов и времени, проведённого на веб-страницах.
4. Контроль информации, отправляемой на печать
  • Перехват документов, отправляемых на печать;
  • извлечение и анализ их текста.
5. Контроль внешних накопителей
  • Теневое копирование файлов, отправляемых на внешние носители (съёмные жёсткие диски, карты памяти, съёмные флеш-накопители, CD / DVD);
  • контроль подключений и отключений USB-устройств;
  • настройка правил доступа для USB-устройств по их уникальным идентификаторам, в том числе с разрешением только для чтения;
  • блокировка CD-накопителей;
  • настройка правил блокировки USB-устройств по чёрным или белым спискам, по классам устройств и по группе;
  • перехват листинга и теневое копирование файлов при подключении внешних носителей с возможностью настройки правила для перехвата по указанным расширениям типов файлов.
6. Контроль облачных хранилищ
  • Контроль информации, передаваемой в облачные хранилища OneDrive, Dropbox, Google Drive, Yandex Disk, O-disk (файловый канал);
  • теневое копирование файлов, отправляемых в облачные хранилища с рабочей станции сотрудника с установленным агентом;
  • мониторинг случаев передачи файлов в облачные хранилища с дальнейшей отправкой уведомления одному или нескольким ответственным лицам в случае обнаружения информации по заданным критериям;
  • аудит событий отправки файлов в облачные хранилища (фиксируются имя файла, пользователь, дата, время и имя облачного сервиса);
  • поиск по тексту и атрибутам перехваченных файлов, отправленных в облачные хранилища;
  • настройка размера хранилища для теневых копий на локальных компьютерах пользователей.
7. Контроль файлов и файловой активности
  • Контроль файловых операций (запись, копирование, оглавление диска, отключение, очистка корзины, перезапись, переименование, перемещение, переименование и перемещение, подключение, создание, удаление, чтение);
  • теневое копирование файлов, отправленных за информационный периметр контролируемой рабочей станцией;
  • поиск по тексту и атрибутам перехваченных файлов;
  • особый контроль путей и файлов (для создания теневых копий при любых файловых операциях).
8. Скриншоты (снимки экрана рабочего стола сотрудника)
  • Снятие скриншотов с заданным интервалом;
  • возможность снятия скриншотов по переключению активного окна;
  • настройка для определённых приложений и сайтов с более частым интервалом снятия скриншотов.
9. Кейлогер (перехват нажатий клавиш на клавиатуре)
  • Регистрация нажатий сотрудником клавиш на клавиатуре с фиксацией приложения, в котором пользователь вводил данную информацию, и времени;
  • мониторинг информации, вводимой на клавиатуре, с дальнейшей отправкой уведомления одному или нескольким ответственным лицам в случае обнаружения информации по заданным критериям;
  • индивидуальные политики контроля перехвата нажатий клавиш для отдельных пользователей и рабочих станций;
  • поиск по тексту, вводимому пользователями с клавиатуры;
  • перехват паролей в диалоговых окнах Windows;
  • запрет / разрешение отслеживания при помощи кейлогера по чёрным или белым спискам приложений;
  • перехват пароля при входе в Windows (низкоуровневый кейлогер).

10. Аудиомониторинг и запись звука

  • Запись звука с обнаруженных микрофонов или колонок на локальной станции сотрудника с установленным агентом;
  • настройка длительности записываемых отрывков записи звука, качества записи, шумового порога, при котором будут игнорироваться звуки, интервала тишины, после которого запись звука будет приостановлена, записи звука по децибелам;
  • воспроизведение файла записи средствами системы веб-интерфейса;
  • возможность скачать записи;
  • осциллограмма записей для визуального определения моментов разговоров.

11. Видеомониторинг и запись видео

  • Подключение к монитору компьютера сотрудника и просмотр изображения в режиме реального времени;
  • мониторинг рабочих столов нескольких пользователей одновременно;
  • вывод окна просмотра на отдельный экран;
  • запись видео с рабочих столов сотрудников;
  • настройка длительности отрывка для записи видео;
  • сохранение записей нескольких пользователей одновременно;
  • воспроизведение файла записи средствами системы.
12. Распознавание изображений и документов
  • Наличие встроенного модуля OCR Tesseract4;
  • распознавание перевёрнутых изображений;
  • возможность выбора языков – русский, английский и казахский;
  • распознавание форматов PDF, JPEG, PNG;
  • возможность подключения облачного ABBYY Cloud OCR SDK.

 

 

Что нового в версии StaffCop Enterprise 4.6?

Извлечение писем по протоколу IMAP

Если у вас есть настроенный IMAP-сервер для зеркалирования писем, то StaffCop теперь сможет загружать оттуда любые сообщения. Классическая схема для контроля почты там, где это нельзя сделать иначе.

 

Рисунок 2. Настройка сборщика почты по IMAP в StaffCop Enterprise 4.6

Настройка сборщика почты по IMAP в StaffCop Enterprise 4.6

Поддержка популярных веб-мессенджеров

Стала возможной работа с веб-версиями Skype, ICQ и Агента Mail.Ru. Также добавлена поддержка агрегатора облачных дисков Disc-O и механизм перехвата данных веб-форм в нестандартных кодировках.

 

Рисунок 3. Отображаемое окно веб-версии мессенджера Skype

Отображаемое окно веб-версии мессенджера Skype

Отслеживание операций с «помеченными» файлами

При помощи нового атрибута для файлов — «метка» — теперь можно получить сведения обо всех файловых операциях. Ничто не пройдёт бесконтрольно!

 

Рисунок 4. Блокировка операции с файлом, имеющим метку «Конфиденциально» в StaffCop Enterprise 4.6

Блокировка операции с файлом, имеющим метку «Конфиденциально» в StaffCop Enterprise 4.6

Перехват печати и удалённое администрирование на GNU/Linux

Операционные системы на базе GNU/Linux завоёвывают всё больше места в разных организациях, а StaffCop совершенствует возможности контроля сотрудников. Была добавлена функциональность удалённого рабочего стола и перехвата печати на принтере.

 

Рисунок 5. Перехват файла, отправляемого на печать

Перехват файла, отправляемого на печать

Видеостена из веб-камер

Эта функциональность позволяет оперативно проверить, находится ли сотрудник на рабочем месте, и исключить ситуации, когда один работник «прикрывает» отсутствие коллег.

 

Рисунок 6. Видеостена в консоли управления StaffCop Enterprise 4.6

Видеостена в консоли управления StaffCop Enterprise 4.6

Работа со звуковыми файлами

Теперь все звуковые файлы снабжены осциллограммой, которая ощутимо экономит время прослушивания микрофонных записей.

 

Рисунок 7. Визуализация звуковых файлов в виде осциллограммы

Визуализация звуковых файлов в виде осциллограммы

Поиск по близлежащим событиям

Новая функциональность позволяет быстро проанализировать события, расположенные рядом с тем, которое привлекло ваше внимание. Например, вы увидели информацию о создании файла, и теперь необходимо посмотреть полную видеозапись данного события.

 

Рисунок 8. Функция «События рядом» в интерфейсе StaffCop Enterprise 4.6

Функция «События рядом» в интерфейсе StaffCop Enterprise 4.6

Срабатывания по порогу

Эта возможность необходима для настройки ключевых оповещений. Например, в целом вас не интересует копирование данных на USB-носители. Но если в течение получаса произошло 100 таких операций, то это — повод проанализировать отчёт.

 

Рисунок 9. Настройка функции срабатывания по порогу в StaffCop Enterprise 4.6

Настройка функции срабатывания по порогу в StaffCop Enterprise 4.6

 

Выводы

StaffCop Enterprise активно улучшает свою позицию на рынке DLP-систем, охватывая всё больше каналов утечки данных и операционных систем пользователей, повышая удобство использования.

Применение системы существенно снижает риск возникновения утечек информации, вызванных внутренними нарушителями. Взаимодействие с другими продуктами посредством встроенных модулей интеграции и API позволяет легко внедрить данный продукт в уже работающую систему безопасности.

Высокая скорость получения отчётов и автоматизация снижают нагрузку на службу информационной безопасности и IT-отдел, а возможности гибкой настройки позволяют с головой погрузиться в систему тем, кто неравнодушен к информационной безопасности в организации.

Достоинства:

  • простота и скорость формирования отчётов;
  • единая консоль управления;
  • масштабируемость;
  • качество технической поддержки.

Недостатки:

  • на момент написания обзора отсутствуют клиенты под Android и iOS;
  • необходимость установки сервера под Linux (можно обойти при помощи облачного решения StaffCop Sky).

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.