АКЦИЯ: 30 дней бесплатно на все ПК
для действующих и новых клиентов
30.03–03.04 — РАБОТАЕМ!

Обзор StaffCop Enterprise 4.4

Обзор StaffCop Enterprise 4.4
StaffCop

Новая версия StaffCop Enterprise — это надежный инструмент для сбора и анализа действий сотрудников с целью предотвращения утечек информации и повышения эффективности работы персонала. Напомним основные характеристики системы и пройдемся по новым возможностям релиза 4.4.

Введение

Рисунок 1. Возможности программного комплекса StaffCop Enterprise Возможности программного комплекса StaffCop Enterprise

Сервер

Система имеет клиент-серверную архитектуру. В серверной части происходят сбор, хранение, анализ и отображение информации, собранной от агентов. Для нее требуется компьютер под управлением ОС Ubuntu 16.04 LTS. Для хранения данных используется БД PostgreSQL.

Через веб-консоль пользователи и администраторы получают доступ к данным, так же осуществляется и управление мониторингом. Работа с веб-консолью возможна с любого компьютера, имеющего выход в интернет или по локальной сети. Для корректной работы веб-интерфейса мы рекомендуем использовать актуальную версию одного из браузеров: Chrome, Firefox или Safari.

Агенты

Агент — это программа, устанавливаемая на рабочей станции. Ее функция — собирать и передавать на сервер информацию о событиях на компьютере и о действиях сотрудника. Обычному пользователю работа агента незаметна. Данные, которые собирает программа-агент, накапливаются в локальной базе и автоматически удаляются после передачи на сервер. В случае, если связь с сервером по каким-то причинам отсутствует, агент продолжает собирать информацию, но эта возможность не бесконечна. Агент имеет лимит на максимальный размер локальной базы, по его достижении он циклично перезаписывает информацию, при этом самые старые данные затираются.

Агент для ОС семейства Windows устанавливается локально или удаленно с помощью встроенной утилиты, либо через групповые политики (GPO) Active Directory. Для установки требуются права локального (доменного) администратора.

Установка Linux-Агента выполняется путём запуска инсталлятора с правами root.

Данные передаются по шифрованному каналу (openSSL) пакетами, параметры пакетов (максимальный размер и интервал отправки) задаются в настройках. Можно установить адреса и порты основного и альтернативного серверов. Это делается для того, чтобы, если сервер недоступен по внутреннему адресу, можно было передать данные через внешний. Таким образом обеспечивается связь с сервером для компьютеров, находящихся за рамками локальной сети (удаленных или мобильных сотрудников).

Основные функциональные возможности:

  • Контроль использования сотрудниками портов ввода-вывода информации и сменных носителей. Правила доступа задаются в конфигурации в зависимости от должностных обязанностей и типа устройства. Возможна настройка ограничения возможностей чтения, копирования, модификации и удаления информации, содержащейся на съемных машинных носителях (USB, CD).
  • Блокирование использования съемных машинных носителей, кроме разрешенных. «Черные», «белые» списки съёмных носителей, настройка индивидуально и по группам. Разрешенные носители идентифицируются по модели, уникальному серийному номеру и другим признакам.
  • Полный контроль выходов и действий в сети интернет (ОС Windows), в том числе действия в социальных сетях, с возможностью составления логов электронной переписки, перехватом и копированием пересылаемых файлов и голосовых сообщений. Анализ поисковых запросов в интернете, сохранение адресов и заголовков посещаемых страниц, заполнение web-форм (POST-запросы). Ограничение доступа к веб-ресурсам (в соответствии с «белыми» и «черными» списками).
  • Полный контроль интернет-мессенджеров, логирование сообщений непосредственно или с помощью кейлоггера, мониторинг переписки по контрольным фразам, копирование отправляемых и получаемых медиа-файлов.
  • Контроль электронной почты по протоколам SMTP, POP3, IMAP, MAPI (в т. ч. по их шифрованным версиям), с поддержкой текстовых, HTML, RTF форматов электронных писем. Перехват и блокировка сообщений из почтовых клиентов и веб-сервисов, сохранение резервной (теневой) копии приложенных файлов, даты, времени, темы, адресов отправителя и получателя письма.
  • Мониторинг файловых операций, а также операций с папками и архивами: контроль чтения, изменения, удаления, отправки по электронной почте. Блокирование операций с файлами, находящимися на особом контроле. Теневое копирование файловых операций. Мониторинг файлов в соответствии с настраиваемыми правилами и политиками, оповещение администратора о проводимых потенциально опасных операциях.
  • Контроль содержимого буфера обмена: сохранение текстовой, графической информации, копируемых файлов.
  • Мониторинг шифрованного трафика, передаваемого по протоколам SSL и HTTPS.
  • Контроль локальных и сетевых принтеров, теневое копирование файлов, отправляемых на печать, отправитель, дата, время, наименование файла.
  • Контроль и регистрация нажатий клавиш на клавиатуре (Кейлоггер), настройка оповещений по заданным стоп-словам, сопоставления комбинаций нажатия клавиш с определенными пользователями и приложениями.
  • Запись звука с микрофона и колонок, подключенных к рабочим станциям.
  • Создание снимков экрана монитора пользователя, а также снимков с подключенной к рабочей станции веб-камеры, в том числе и в режиме реального времени.
  • Удаленное подключение и управление рабочим столом компьютера как в локальной, так и вне локальной сети, поддержка просмотра всех подключенных к компьютеру мониторов.
  • Мониторинг запущенных процессов и приложений с возможностью блокировки запуска приложений в режиме «черных» и «белых списков». Блокировка процессов по расписанию, а также фиксация полного пути к файлу процесса, названию процесса и времени его запуска.
  • Протоколирование всех системных процессов, в том числе включения и выключения компьютера, входа и выхода из системы, установки, запуска и удаления приложений, с фиксированием имени пользователя и времени. Подключение и отключение USB-устройств, установка и удаление оборудования.
  • Контроль сетевых подключений независимо от используемых портов, логирование всех подключений по IP-протоколам.

Что нового в версии 4.4

Windows-агент

  • Теперь возможен перехват воспроизводимого звука. В предыдущей версии программы записывался звук с микрофона, теперь добавилась запись звука с воспроизводимых файлов через колонки или наушники.

Рисунок 2. Настройка записи звука в StaffCop Enterprise Запись звука в StaffCop Enterprise

  • При подключении USB-носителя все файлы попадают в перехват. Как только флешка подключена к компьютеру, есть возможность перехватывать файлы независимо от того, открыл пользователь файл или нет. Файлы перехватываются все вместе либо избирательно — по отдельным параметрам (имя, расширение и пр.)

Рисунок 3. Настройка работы с файлами в StaffCop Enterprise Настройка работы с файлами в StaffCop Enterprise

  • Подключение к сетям WiFi может быть заблокировано в соответствии с «черными» и «белыми» списками. В предыдущей версии было доступно отслеживание подключения к WiFi-сетям, теперь нежелательные подключения можно блокировать и оставлять доступными только выбранные сети.

Рисунок 4. Настройка работы с беспроводными сетями в StaffCop Enterprise Настройка работы с беспроводными сетями в StaffCop Enterprise

Учет рабочего времени

  • В новой версии программы есть новые возможности для кадровой службы по контролю трудовой дисциплины. В частности, можно контролировать, если сотрудники уходят раньше времени на обеденный перерыв или в конце рабочего дня, а также если позже возвращаются с обеденного перерыва. Отчет «Учёт ранних уходов и приходов» сделан в дополнение к «Учету рабочего времени» и «Отчету по опозданиям».

Рисунок 5. Учет рабочего времени в StaffCop Enterprise Учет рабочего времени

Анализ событий

  • В новой версии контент-анализ распространяется не только на текстовые, но и на графические файлы. Встроенная функция OCR (оптического распознавания символов) позволяет распознавать тексты в графических файлах, в том числе отсканированные. При этом не требуется приобретение дополнительных лицензий.

Рисунок 6. Работа с OCR в StaffCop Enterprise OCR в StaffCop Enterprise

  • Автоматическая распаковка архивов и прикрепление распакованных файлов к событию. Если фиксируется событие — перехват архива, нет необходимости скачивать его полностью и распаковывать. В линзе событий мы сразу увидим заархивированные файлы и можем скачать нужный.

Рисунок 7. Перехват файлов в StaffCop Enterprise Перехват файлов

Просмотр, запись и управление рабочими столами

  • Одновременное наблюдение за несколькими рабочими столами. Эту функцию оценят сотрудники службы безопасности, которые наблюдают за группой риска. Есть возможность своевременно вмешаться и пресечь неправомерные действия.

Рисунок 8. «Квадратор» в StaffCop Enterprise «Квадратор» в StaffCop Enterprise

  • Экспорт записи рабочего стола в формате mp4. Раньше видео рабочего стола было доступно только в формате просмотра. Теперь есть возможность файлы скачивать, пересылать, хранить отдельно и пр.

Рисунок 9. Запись рабочего стола в StaffCop Enterprise Запись рабочего стола в StaffCop Enterprise

Архитектура

  • Шардирование — разбиение базы данных на части. Со временем в базе накапливается большое количество информации, часто большая ее часть не нужна. Теперь можно очищать базу выборочно, настройки сохранения нужной части задаются в консоли сервера.

Политики и фильтры

  • Изменён интерфейс работы с фильтрами. Появились сущности: фильтр, дашборд, поиск по словарю, политика и папка.
    • Фильтр — содержит данные по выбранным типам измерений, графики и отчеты.
    • Дашборд — может содержать несколько фильтров, при этом можно настроить их взаимное расположение, размер и порядок. Дашборд служит для построения отчетов, удобных для просмотра обобщенной информации по пользователям или обобщенных просмотров инцидентов.
    • Поиск по словарю — осуществляется поиск по заданным словам в перехваченных документах, вводе с клавиатуры, посещенным сайтам и др. Поддерживаются регулярные выражения в формате PCRE.
    • Политика — комплекс фильтров, для которых можно настроить категорию продуктивности. Нет необходимости рассматривать все события. Если фильтр срабатывает, то событие в соответствии с политикой сразу попадает в папку «Сработавшие фильтры».
    • Папка — позволяет объединять другие фильтры в дереве фильтров.

Администрирование

  • Единая панель управления администратора. Теперь администратор может из единой панели управления устанавливать и удалять агентов, настраивать конфигурацию.
  • Установка, удаление, обновление и отслеживание статуса агентов из веб-интерфейса.

Рисунок 10. Администрирование в StaffCop Enterprise Администрирование в StaffCop Enterprise

Основные сценарии использования

Есть несколько типовых ситуаций, в которых чаще всего обращаются к StaffCop Enterprise. Следует отметить, что возможности системы гораздо больше, вы можете создать собственные сценарии. Для того чтобы начать использование системы, бывает необходимо освоить несколько базовых сценариев.

1. Контроль USB-устройств

Как показывает статистика, съемные носители чаще всего являются потенциальным каналом утечки информации. Права пользования этими устройствами можно настроить в соответствии с категориями сотрудников: например, сотрудникам из группы риска запретить использование USB-носителей, а руководителям или особо доверенным сотрудникам разрешить безусловное пользование этим каналом. Также можно настроить «черные» и «белые» списки носителей, доступ по категориям или по отделам и пр. Настройка использования USB-носителей производится в разделе веб-консоли «Конфигурация».

Рисунок 11. Контроль USB в StaffCop Enterprise Контроль USB в StaffCop Enterprise

Для блокировки определенных носителей можно отредактировать «Правила: Блокировка USB»:

Рисунок 12. Блокировка USB в StaffCop Enterprise Блокировка USB в StaffCop Enterprise

Для блокировки устройств нужно ввести ID устройства в поле «Запретить». При вводе ID используется поиск по всем устройствам, которые подключались к агентам, можно выбрать и добавить устройства из списка.

Следует заметить, что блокировка — не единственный выход. Зачастую требуется оставить возможность использования съемными устройствами, в соответствии с «белым» списком, при этом пользоваться функцией «Перехват форматов файлов и подключенных USB-устройств». Таким образом, у вас будет полный контроль за данным каналом утечки информации.

Рисунок 13. Блокировка USB в StaffCop Enterprise Блокировка USB в StaffCop Enterprise

2. Контроль печати

Принтер — другой популярный канал утечек. Кроме того, сотрудники могут пользоваться им в своих целях, расходовать слишком много бумаги и пр. Чтобы контролировать принтеры в компании, в меню веб-консоли существует отчет «Сводная статистика».

Рисунок 14. Контроль печати в StaffCop Enterprise Контроль печати

В этом отчете информация о том, как используются принтеры, доступна в детализированном виде: название документов, их объем и количество, с какого компьютера отправлены на печать.

Файлы, отправленные на печать, перехватываются, сохраняется их теневая копия, возможен поиск по списку. Кроме того, можно получить отдельно информацию о документах, находящихся на особом контроле: кто их распечатывал, когда, в каком количестве.

Вся информация о распечатанных документах содержится в дополнительном отчете «Табель учета использования принтера».

Рисунок 15. Табель учета использования принтера в StaffCop Enterprise Табель учета использования принтера в StaffCop Enterprise

Эти отчеты, при использовании уточняющих фильтров и настроек конфигурации, помогут выявить аномалии использования принтера конкретными пользователями. Например, неоднократно фиксировалась распечатка большого количества документов сотрудниками перед увольнением. Также возможно предотвращение размножения документов ограниченного доступа внутри компании.

Заключение

Система StaffCop Enterprise полезна как специальными функциями, так и универсальностью. Разработки новой версии позволяют еще быстрее и точнее расследовать инциденты, а также дают новые инструменты сисадминам, эйчарам и руководителям всех уровней.

В настоящее время система проходит сертификацию ФСТЭК России. По получении сертификата систему можно будет использовать в комплексах информационной безопасности, где существует обязательное требование применения сертифицированных продуктов.

Доработка функционала ведется на основе анализа пользовательского опыта клиентов из различных отраслей производства, бизнеса, из государственных и муниципальных структур. Будем рады вашим отзывам!

Посмотрете видео об использовании программы можно на нашем YouTube-канале.

ПОПРОБОВАТЬ БЕСПЛАТНО