+7-901-515-98-11
info@chk-company.ru
Москва, Ухтомского Ополчнения 1
Заказать звонок

Информационная безопасность и ПО StaffCop Enterprise

Привет! Автор этой статьи - сотрудник, работающий в сфере информационной безопасности, а именно - отдела техзащиты в одной известной компании (название которой будет скрыто по соображениям конфиденциальности). За время своей работы я столкнулся с двумя ключевыми проблемами: отсутствие функционального инструментария для обеспечения технической части и отсутствие финансирования безопасности. Зато был другой ресурс: время, которое я посвятил на ознакомление и исследование ПО для информационной безопасности, а именно “StaffCop Enterprise 4.4”, о котором идёт речь в этой статье.

Как показали результаты моего исследования, львиная доля моего рабочего времени, которое уходило на поиск и изучение утечек вручную, с помощью ПО проводится в считанные минуты. Я покинул прежнее место работы и перешёл в StaffCop на должность специалиста техподдержки - это результат моего детального изучения решений и возможностей этого программного продукта.


Знакомимся с продуктом StaffCop Enterprise

StaffCop - это программное обеспечение для контроля действий пользователей c функционалом предотвращения утечек (Data Leak Prevention).

Функционал StaffCop:

  • выполнение информационной безопасности бизнеса: поиск и изучение случаев информационных утечек;
  • мониторинг действий пользователей: контроль рабочего времени и анализ продуктивности работников, изучение поведенческого фактора и отслеживание бизнес-процессов;
  • организация дистанционного администрирования: управление рабочими местами и учёт цифровых устройств для работы;

Возможность отказаться от изоляции в локальной сети в пользу открытого доступа в интернет - неоспоримый плюс использования StaffCop. Особенно если учесть современные реалии, когда многим бизнесам требуется возможность иметь сотрудников, работающих дистанционно или организовывать филиалы в отдалении от центрального офиса, а при таких условиях использование тех же шлюзов будет слишком нефункциональным.

StaffCop обеспечивает полный контроль всех рабочих устройств во внешней сети, к тому же технологии, которые применялись при разработке, весьма экономичные в плане требуемых для функционирования, ресурсов, и открытие к интеграции в иные системы, а также к доработке функционала сторонними специалистами. В планах StaffCop на ближайшее будущее - выпустить продукт, сертифицированный ФСТЭК, тем самым обеспечить информационной защитой компании, которым требуется 4-й класс. Таким образом данная система является достаточно функциональной и полезной для различных отраслей бизнеса.

А теперь поговорим о взаимодействии специалиста по информационной безопасности со StaffCop: чем она полезна и как упрощает бытие тому, у кого на плечах лежит ответственность за предотвращение “большого взрыва”? Его может инициировать конфиденциальная информация, которая утекает во “внешний мир” из компании, и основная задача спеца - не допустить такую утечку, а если допустил - оперативно отследить и наказать негодяя.


Управление конфиденциальностью информации

Программа мониторит входящую и исходящую информацию по всем каналам на рабочих устройствах под управлением Windows. В случае с Linux есть потребность сетевого мониторинга.

  • Мониторинг действий с файлами: в случае, когда существуют конкретные файлы, требующие особого контроля и защиты от попадания в сторонние руки, есть возможность настроить отслеживание любых действий, связанных с этими файлами (копирование/вставка, печать, создание копий в других директориях). И если кто-либо попытается что-то изменить в таком файле - система автоматически сгенерирует его скрытую копию. Важно понимать, что работники компании, которая хранит и обрабатывает конфиденциальную информацию, должны подписать “соглашение о неразглашении конфиденциальной информации”, в котором также должны быть чётко прописанные пункты о том, что рабочая компьютерная техника принадлежит компании, а файлы, с которыми работают сотрудники на этой технике, могут передаваться и контролироваться сотрудниками СБ компании.
  • Мониторинг переносных носителей информации. Например flash-карта является известным вариантом слива информации, а в StaffCop заложен функционал контроля подключаемых устройств. Таким образом любое подключение переносного носителя отображается сотруднику ИБ, а вся информация, которая переносится на этот носитель - пеленгуется. То есть все действия с используемыми файлами всегда можно отследить пошагово. Бывает потребность в запрете использования переносных носителей, исключение составляют устройства из так называемого “белого листа” (в крупных компаниях такая потребность есть практически всегда). Настройки StaffCop предусматривают блокировку работы с носителями как конкретного компьютера, так и конкретного пользователя, а также есть возможность настраивать блокировку по виду носимого устройства: например, можно запретить работу с USB flash-картами, но разрешить с переносными жёсткими дисками.
  • Мониторинг сетевого трафика (посещения сайтов). Система способна отслеживать действия сотрудников в интернете. Это реализовывается с помощью подмены сертификата, с помощью чего пеленгуется передача данных, проходящих через https-соединение. Стандартно такой трафик шифруется TLS- протоколом, однако используя подмену открывается возможность перехвата информации и её расшифровки, а значит предотвращения основного способа слива конфиденциальной информации - через интернет.
  • Мониторинг почты. Система позволяет перехватывать все данные письма: отправляемый текст, прикреплённые файлы, получателей (как основных, так и скрытых, так и копии). Мониторинг возможен одновременно по разным направлениям: почта в пространстве web, почта по протоколам POP3, POP3S, SMTP, SMTPS, IMAP, IMAPS, MAPI. Напишите нам, есть в вашем случае используется другой вариант?
  • Мониторинг чат-мессенджеров. Система не предусматривает прямого перехвата трафика, проходящего через мессенджеры, так как это не допускается их разработчиками. Поэтому мониторинг реализован сопоставлением нескольких событий друг относительно друга, а именно: отслеживание скриншотов экрана при использовании, например, Telegram, и перехват ввода на клавиатуре. Способ работает как с отдельными приложениями, так и с веб-версиями мессенджеров. Есть возможность фильтрации перехваченных действий по времени. Дополнительно есть возможность настроить создание скриншотов экрана каждые несколько секунд, когда открыто приложение или веб-версия мессенджера.
  • Мониторинг инсталляции и использования программ. Данная настройка позволяет отслеживать приложения, которые используют ваши работники, выявлять из них недопустимые для применения в среде компании и закрывать доступ к ним. Таким образом у нас есть возможность выявить пользователей, устанавливающих и применяющих запрещённое ПО, или тех, кто пользуется корпоративными программами в персональных целях (например, для работы над сторонними задачами). Как и с мессенджерами, для любых программ можно настроить периодическое создание скриншотов экрана с использованием этих программ (например, с отсечкой в 5 сек).
  • Мониторинг работы с принтерами. Если бумага уходит в огромном количестве, а вы не понимаете, куда - это функция для вас. Она позволяет отследить все файлы, отправленные в печать, и даже если пользователь включил теневое копирование - система будет создавать скрытую копию.

Предотвращение утечек информации

Организационные меры хороши ровно до тех пор, пока они выполняются, в остальных же случаях, технические меры защиты — необходимость.

Хорошо, когда все сотрудники согласны с установленным регламентом и выполняют его, на практике такое бывает крайне редко. На помощь приходят инструменты техзащиты.

  • Когда ваши сотрудники используют личную почту для пересылки рабочих файлов или загружают их в “облако”, есть возможность применить фильтры, контролирующие письма, исходящие не с корпоративного доменного имени. Таким образом можно отследить тех, кто использует персональную почту, увидеть письмо и предотвратить слив информации. Также и с файлами, которые сотрудники загружают в облачные сервисы: система создаёт скрытую копию данного документа.

Очень важно иметь возможность контроля сотрудников, отправляющих письма не с корпоративного ящика, так как файлы, которые попадают в интернет - попадают в свободный доступ, где вы над ними не имеете контроля. Не всегда утечка конфиденциальной информации происходит в целях получить выгоду или принести вред компании, иногда это ошибки, обусловленные человеческим фактором, однако они могут очень дорого обходиться бизнесу.

Отслеживая переписку своих сотрудников по личной почте или мессенджерам в рабочее время вы можете вторгнуться в их персональное пространство. Предупредив их об этом заранее вы имеете на это право. Существует функционал, позволяющий отследить связи между пользователями по всем каналам коммуникаций. Зачастую это бывает информация, являющаяся конфиденциальной. Благодаря этому функционалу можно найти, кто, кому, и какую информацию (сообщения или документы) передавал. Когда информация выходить за пределы пространства компании, это сразу становится заметно, и будет явным результатом работы специалиста по безопасности для его руководителя, который хочет получить информацию в понятном, для обывателя, виде, без потребности изучать все данные, выполняя работу безопасника. Руководителю достаточно понять: что (какой файл), как (через какой канал), кем и кому ушло.

  • Мониторинг лексики. Когда ваш сотрудник коммуницирует с заказчиками или контрагентами, очень важно заботиться об имидже и репутации вашей компании. Использование ненормативное лексики может на это негативно повлиять. Для предотвращения подобных ситуаций есть возможность подключения словаря, отслеживающего использование недопустимых слов или словосочетаний, оперативно отследить инциденты и принять меры.
  • Персональные карточки работников. В них формируется досье о каждом вашем сотруднике: рабочий компьютер, часто посещаемые веб-сайты, часто запускаемые программы, поисковые запросы, отправленные документы, скриншоты экрана. Имеется возможность отследить связи с коллегами: с кем и с помощью чего чаще всего коммуницирует. С помощью такой карточки можно оперативно получить первичную информацию о работнике, а также применить для отслеживания причастности в случае утечки информации. Кстати, помимо сотрудников, подобные карточки можно применять к конкретным устройствам и даже к файлам.
  • Определение нестандартного поведения сотрудника. Функционал применяется для предотвращения слива информации. Если за пользователем замечается изменения привычного поведения в действиях - следует изучить это на предмет потенциальной утечки. Данный функционал в системе StaffCop улавливает 10-ти кратное увеличение какого-либо действия относительно среднего. Например, зачастую происходит увеличение частоты копирования файлов на внешний носитель. Был реальный инцидент, когда система зафиксировала слишком большое количество скопированных документов на флешку, причём из конфиденциального раздела в сети. В такой ситуации контроль берут на себя сотрудники внутренней службы безопасности: обвиняемого задерживают и изучают ситуацию на предмет его виновности. Данный функционал значительно ускоряет процесс поиска потенциальных угроз, особенно если автоматическую фильтрацию настроить не удаётся.

Устраняем угрозы

Зачастую пассивные средства техзащиты достойно и выгодно заменяют активные. Например, StaffCop - это активное средство, предоставляющее возможность мониторить и устранять угрозы слива важной информации.

  • Запрет использования личных флэшек и дисков. Компания может заблокировать сотрудникам использование своих носимых устройств на работе. Для этого создаётся “белый лист” допускаемых носителей, все прочие блокируются.
  • Запрет переходов на “отрицательные” сайты, либо запрет всех, кроме “положительных”. Блокировка сайтов задаётся по адресу, также нет потребности указывать полные адреса и доменные имена. В итоге в сторонних решениях, используемых для запрета доступа к определённым сайтам нет нужды.
  • Запрет определённых программ. Как и с сайтами, можем блокировать запрещённые программы, или допустить к использованию только разрешённые. Во втором случае важно внимательно формировать список допустимых программ, так как если ошибочный запрет может заблокировать доступ ко всей системе.
  • Уведомления об опасных событиях. Все действия, которые могут нести потенциальную угрозу, можно отфильтровать и задать уведомления. Список этих действий формируется представителями компании-пользователя StaffCop ещё при тестировании системы. Например, если запись документов на внешний носитель настроить как потенциально опасное действие (при условии, что конкретный носитель не попадает в “белый лист”), то такое действие, как копирование документа на флэшку, будет фиксироваться и вноситься в отчётный документ, который будет выводиться контролирующему специалисту с заданной регулярностью (ежедневно, еженедельно или с другими настройками), а также для любого действия можно задать моментальное уведомление.

Рассмотрение инцидентов утечек информации

При изучении сливов информации важно иметь реальные улики. Система сохраняет все хронологию всех действий, которые связаны с пользователем, документами, каналами коммуникаций и т.п.

Произошла утечка или нет - нужно детально изучить все события. В системе есть возможность выстроить связи между совершёнными действиями и получить отчёт. Любые действия так или иначе связаны между собой, например информация, полученная при заполнении пользователем форм на сайте связана с переходом на сам сайт: когда при попытке авторизации пользователь вводит данные аккаунта - они подлежат пеленгованию системой. Если всё настроено верно, в отчёте будут как полученные данные, которые пользователь вводил, так и сайт, на котором он это делал. Система работает по методологии drill-down, что означает возможность получить детализацию действий и ознакомиться с взаимосвязью между ними.

StaffCop задействовали технологию многомерной фигуры (OLAP), то есть применяя спаренное использование одновременно двух баз данных мы получаем высокие показатели производительности. Таким образом StaffCop за +/-10 секунд генерирует отчётность с детальной информацией по любому действию, на что у многих альтернативных систем уходит более часа.

Чтобы разобраться в контексте происходящего, используются записи с веб-камеры, микрофона, также скриншоты и видеозаписи экрана. Бывает, когда по какому-то фильтру приходит уведомление о действии, и неясно, в каком контексте оно было совершено. Здесь помогут аудио- и видеозаписи (обратите внимание, в штатных настройках они отключены!). Запись аудио производится 10-ти минутными файлами (есть возможность увеличить или уменьшить), если микрофон ничего не слышит - не записывается. Что касается, видео с экрана записывается всё происходящее. В наименовании каждого файла с записью указывается дата и время.

Не забываем, что каждая запись имеет определённый вес. На каждого сотрудника, каждый файл, каждое действие приходится огромное количество данных, в итоге для хранение всей информации требуется ёмкий носитель - это дорого для приобретения и содержания. Поэтому такой функционал можно применять персонализировано: когда есть объективные подозрения на конкретного сотрудника, закреплять за ним модуль отслеживания. Также можно использовать скриншоты для отслеживания действия с веб-сайтами или приложениями. Таким образом, данные модули позволяют отслеживать и получать детализацию по всем всем действиям, а подробные фильтры и настройки дают возможность применения модулей, которые помогут пошагово обнаружить и слив информации, и мотивации обвиняемого сотрудника, и других причастных персон и их действий.

За счёт чего отчёты формируются в считанные секунды? Это позволяет применение спаренной базы данных с технологиями PostgreSQL и ClickHouse, которые оперативно обрабатывают данные. Если и минус: технология ClickHouse очень ресурсоёмкая, поэтому требует высокую производительность. Минимальные требования к “железу” сервера - 16 ГБ ОЗУ и хотя-бы 8-ми ядерный процессор, поэтому данный вариант обычно применяется при большом числе задействованных агентов. В данном случае технология ClickHouse требуется для быстрой загрузки большого количества действий. В применении PostgreSQL  также есть небольшой недостаток: имея в базе данных десятки миллионов записанных действий, подгрузка в веб-интерфейс займёт около минуты.

Спарка технологий применяется при потребности в работе двух баз данных одновременно. При этом в StaffCop не применяются облачные решения для “фундамента” системы, их можно встретить только в дополнительном функционале (например системы распознавания текста).

Моё мнение: для специалиста по информационной безопасности система StaffCop является основным рабочим инструментом, облегчающим рабочий процесс, а для компании - возможность обезопасить себя от потерь времени и денег.


Авторский блог про CRM системы и конекстную рекламу

Просто о сложном гласит основная идея нашего блога. Разбор технической составляющей, с которой мы работаем. Что бы наши клиенты могли без труда разобраться в сложных определениях, а также принципах работы веб инструментов.

Так же разбираем интересные случаи, из нашей практики и описываем ход ведения проектов от «А до Я» для наглядного представления о нашей работе.

Подпишитесь и получайте уведомления о новых статьях и уникальных предложениях!