StaffCop 4.9: 30 дней бесплатно на все ПК
для действующих и новых клиентов

Обзор на Staffcop Enterprise 4.9

StaffCop
«Staffcop 4.9»

        StaffCop Enterprise — это клиент-серверное приложение, для контроля потоков информации и событий системы, а также всех действий сотрудников за рабочим компьютером. Программный комплекс осуществляет сбор и анализ данных, блокировку запрещённых действий и данных, а также способен оповещать о нарушениях политик безопасности.

StaffCop Enterprise

Рис. 1 Программный комплекс состоит из двух основных элементов: сервера и агента-наблюдения.

       Серверная часть программного комплекса предназначается для сбора, хранения и просмотра информации, а кроме этого - администрирования системы и настройки правил мониторинга. Просмотр и анализ данных осуществляется через Панель администратора, реализованную посредством веб-интерфейса. Для улучшения восприятия анализируемых данных используется широкий набор виджетов – ленточные графики, тепловые диаграммы, круговые диаграммы, графы связей и т.д. Вы подбираете необходимые фильтры, чтобы представить именно те данные, именно в том формате, который вам нужен исходя из ваших задач.

       Серверная часть функционирует под управлением ОС Ubuntu Server 18.04 и Astra Linux Special Edition (релиз «Смоленск») и использует для хранения данных БД PostgreSQL и ClickHouse, что позволяет обрабатывать с высокой скоростью большие массивы данных. Кроме того, использование этих технологий значительно снижает стоимость внедрения Staffcop Enterprise – ведь вам не приходится приобретать дополнительное программное обеспечение, а вы платите только стоимость лицензии на сам программный комплекс.

        Модуль агента – системная служба, устанавливаемая на компьютере пользователя и предназначенная для сбора информации и передачи ее на сервер. Работа Агента происходит в скрытом режиме и незаметна для пользователя - Агент передает информацию по шифрованному каналу (openSSL). Агенты устанавливается на компьютеры пользователей локально или удаленно (с помощью встроенной утилиты удаленной установки), либо разворачиваются через групповые политики. Более того, вы можете добавить необходимые адреса и имена хостов перед развёртыванием, чтобы не тратить время на дополнительную настройку агентов непосредственно для вашей сети. Также имеется планировщик расписания установки агентов и возможность деактивировать автоматически агенты на неиспользуемых компьютерах. Модуль агента функционирует под управлением всех самых популярных ОС: *nix, Linux, Astra-Linux, Windows и MacOS.

Функциональное предназначение Staffcop Enterprise

        Программный комплекс предназначен для функционирования в информационных сетях любых компаний из любых отраслей – Staffcop Enterprise обладает отличной масштабируемостью (подробнее об этом мы расскажем чуть ниже).

        Если кратко, то основным функциональным предназначением Staffcop Enterprise является:

  • Контроль параметров и работы АРМ;
  • Контроль сетевой активности сотрудников;
  • Контроль локальной активности сотрудников;
  • Контроль потоков информации в информационной структуре предприятия;
  • Учет рабочего времени, а также оценка эффективности сотрудников;
  • Дистанционный мониторинг за деятельностью, осуществляемой на персональном компьютере или смартфоне.

        Иными словами, если уложиться в три слова – мониторинг, анализ и блокировка.

Для чего необходим Staffcop Enterprise и кто его создал?

       Staffcop Enterprise позволяет исполнять требования следующих руководящих документов по защите информации:

  • Приказ ФСТЭК России от 25 декабря 2017 г. N 239;
  • Приказ ФСТЭК России от 18 февраля 2013 г. N 21;
  • Положение от 9 июня 2012 года N 382-П;
  • Приказ ФСТЭК России от 11 февраля 2013 N 17;
  • Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» (КИИ);
  • ГОСТ Р 57580.1 – 2017.

        О чем свидетельствует сертификат ФСТЭК России ФСТЭК России № 4234 от 15 апреля 2020 года, а также то, что программный комплекс Staffcop Enterprise успешно прошел тематические исследования на соответствие требованиям ТИ-69 8 Центра ФСБ России по следующим пунктам:

  • Соответствие декларированных и реальных возможностей программного обеспечения;
  • Отсутствие не декларированных возможностей программного обеспечения;
  • Совместимость с средствами защиты информации;
  • Возможность работы в безопасной среде.

        Разработчиком же программного комплекса является компания «Атом Безопасность» тоже обладающая внушительным послужным списком:

  • Резидент Инновационного центра «Сколково»;
  • Резидент Технопарка Новосибирского Академгородка;
  • Действительный член ассоциации разработчиков программных продуктов «Отечественный софт»;
  • Действительный член АСРИТ «Сибакадемсофт»;
  • Действительный член ассоциации независимых разработчиков программного обеспечения ISDEF;
  • Обладатель лицензий ФСТЭК России на деятельность по разработке и производству средств защиты, а также на деятельность по технической защите конфиденциальной информации за номерами №1989 и №3862 соответственно.

        Ну и, конечно же, компания уже давно находится на рынке имеет множество клиентов в нашей стране и за рубежом: клиентов разной величины и известности – от мала до велика.

        Почему вы должны выбрать Stafccop Enterprise для защиты своей информационной структуры и контроля сотрудников? Если кратко резюмировать, то:

  • Комплексность— StaffCop позволяет решать задачи информационной безопасности, контроля бизнес-процессов и ключевых показателей, а также обладает инструментарием для удалённого администрирования рабочих станций;
  • StaffCop Enterprise полностью интегрированное решение, не требующее приобретения дополнительного серверного программного обеспечения и баз данных – отсюда низкая стоимость внедрения и владения продуктом, быстрая окупаемость вложенных средств;
  • Архитектура построена на современных технологиях что обеспечивает масштабируемость и позволяет снизить требования к серверному оборудованию и оборудованию рабочих станций;
  • Высокая скорость обработки данных и построения отчета, благодаря использованию гибридного режима использования СУБД ClickHouse и PostgreSQL;

        И, что, пожалуй, не менее важно в нынешнее время – является на 100% отечественным решением, а значит подходит под политику импортозамещения. Согласитесь, внушительный набор достоинств.

        Теперь, когда с официальным представлением покончено, давайте посмотрит, чем может похвастаться новая версия Staffcop Enterprise – 4.9!

Функциональные возможности DLP

        Одним из важнейших наборов функций Staffcop Enterprise является файловый контроль. Ведь самое важное – это информация и если вы не контролируете, что с этой информацией происходит, то рано или поздно, ваши данные утекут к людям с сомнительной репутацией или напрямую к конкурентам. Стоит ли говорить, что в этом случае произойдёт с вашим бизнесом?

        Поэтому в Staffcop Enterprise имеется обширный набор функциональных возможностей для контроля файлов. И первый из них – это цифровые метки. Каждому файлу присваивается уникальный идентификатор, который позволяет отследить весь жизненный путь файла, то есть, какие именно операции с ним совершались. Причем не важно, что происходило – изменяли файл, удаляли, перемещали – вы увидите кто и что именно делал.

        Также, вы можете увидеть, с помощью графов связей, как происходит передача файлов между сотрудниками вашей компании и отследить, как именно происходит тот или иной бизнес-процесс, что позволяет оптимизировать происходящие взаимодействия, а значит – повышать их эффективность.

StaffCop Enterprise

Рис. 2 Карта взаимодействий сотрудников

        ИКонечно, на компьютере сотрудника могут оказаться не только те файлы, с которыми он работает, но и те, которых там не должно быть. Файлы, которых не должно быть на АРМ сотрудника можно разделить на 2 вида – это сторонние файлы, к работе отношения не имеющие и файлы с информацией, к которой у сотрудника нет доступа или с которой он не работает. В первом случае, это создаёт угрозу продуктивности сотрудника, что уже, само по себе, нехорошо, а во втором случае – требует пристального разбирательства: откуда это информация оказалась у сотрудника и зачем она ему нужна?

       В этом случае очень важной функциональной возможностью является модуль удалённого сканирования файлов – краулер. Краулер позволяет провести всех аудит документов офисного формата, которые находятся на компьютере, выявить конкретные документы и файлы, которые содержат в себе определённый, интересующий вас текст – а также удалить эти данные.

StaffCop Enterprise

Рис. 3 Интерфейс модуля сканирования

StaffCop Enterprise

Рис. 4 Результаты поиска

StaffCop Enterprise

Рис. 5 Результаты поиска по содержимому файла

        Без сомнения, набор функциональных возможностей достаточно широк, но мы понимаем, что без улучшений не обойтись и мы добавили блокировку файлов по содержимому. Вы задаёте правило, с примером нужного текста, и когда система обнаружит файл, соответствующий этому правилу – его передача будет заблокирована. Эта функция работает с файлами MS Office, Open Office, .pdf и текстовыми документами. Без сомнения это важная функция, которая значительно усиливает контроль потоков информации в вашей компании.

StaffCop Enterprise

Рис. 6 Скриншот заблокированной передачи файла

        Файлы могут «утекать» с помощью иных путей – условно разделим их на две категории: локальная утечка и сетевая утечка. Давайте рассмотрим оба варианта утечки и как это можно проконтролировать.

        Начнем с локальной утечки – сюда входят ситуации копирования файлов на USB-накопители, печать документов, получение доступа к информации с помощью RuToken на чужом рабочем месте, чтение информации с экрана сотрудником, не имеющим доступа к этой информации.

        При подключении незарегистрированного (не внесённого в белый список) USB-накопителя, администратору безопасности будет выслано уведомление о попытке подключения и создана теневая копия файла, а сам накопитель будет заблокирован. Благодаря используемым цифровым меткам, присваиваемым устройствам, вы всегда можете отследить где и как используются зарегистрированные устройства, а также заблокировать применение несанкционированных устройств.

StaffCop Enterprise

Рис. 7 Скриншот незаконного копирования на USB-накопитель

        К копированию на внешний носитель можно отнести распечатку документов на принтере – это может быть что угодно: список клиентов вашей компании, исходный код вашего продукта, список поставщиков, коммерческие предложения и т.д. Staffcop Enterprise, помимо самого факта печати, позволяет получить:

  • Rопию файла, который пытались распечатать;
  • Cкриншот с рабочего стола;
  • Данные, под какой учетной записью и на каком компьютере и, соответственно, принтере пытались распечатать документ;
  • Dозможность самому распечатать перехваченный файл.

StaffCop Enterprise

Рис. 8 Отображение инцидентов связанных с распечаткой файлов.

        Сотрудники могут попробовать получить доступ к информации, с которой не имеют права работать или просто попытаться замаскировать копирование конфиденциальной информации с помощью использования не своего, а чужого рабочего места. Для того, чтобы контролировать подобные вещи, в Staffcop Enterprise есть модуль распознавания лиц – при проведении расследования, вы сможете определить, что операции под учетной записью проводило лицо, которое ей, на самом деле, не владеет.

StaffCop Enterprise

Рис 9. Скриншот результатов распознавания лиц

       Также для получения доступа может использоваться электронный ключ RuToken, например, на незаблокированном компьютере – конечно, это нарушение протоколов безопасности, но мы ведь должны иметь ввиду худший вариант, не так ли? Теперь вы можете отслеживать использование RuTokena на любых компьютерах и отследить весь путь перемещений и, поскольку в Staffcop Enterprise используется технология OLAP-кубов, позволяющая обеспечивать взаимосвязанность собранных данных, вы можете проследить и все сопутствующие действия, которые хозяин ключа совершал на компьютере.

StaffCop Enterprise

Рис. 10 Результаты поиска RuToken`а

        Кроме всего прочего, передача конфиденциальных данных может происходить не только с помощью текстовых документов. Например, злоумышленник может передавать фотографии паспортов или сканы договоров. В этом случае вам поможет механизм распознавания текста (OCR) основанный на нейронных сетях LSTM (Long Short Term Memory) - который быстро определит, что происходит и подаст вам сигнал.

StaffCop Enterprise

Рис. 11 Результат работы нейросети

        Ну и вишенкой на торте DLP-модуля является детектор аномалий поведения пользователей. Детектор предназначен для выявления действий пользователей, нетипичных для их обычного режима работы. Что это значит: вы задаёте правило, по которому будет срабатывать сигнализация и когда правило нарушается – вы получаете уведомление. Самый частый и понятный пример, когда сотрудник неожиданно начинает копировать документы на съемный носитель в большом объёме. И если это, к примеру, сотрудник, который написал заявление об увольнении или был подвергнут дисциплинарному взысканию, или замечен в конфликте с коллегами/руководством – это однозначно требующая разбирательства ситуация.

StaffCop Enterprise

Рис. 12 Результат оповещения детектором аномального поведения

       Второй тип утечки – сетевой. Сотрудник может отправить файл по почте или через мессенджер, сообщить данный в общении через мессенджер и электронную почту или своими действиями, умышленными или нет, допустить заражение компьютера вредоносным программным обеспечением/предоставить доступ злоумышленникам. Конечно, это серьёзные угрозы, но и с ними Staffcop Enterprise позволяет успешно бороться.

        Во-первых, когда речь идёт о переписке – сотрудник может разглашать внутренние сведения компании, как через электронную почту, так и при общении через Skype или, например, популярный нынче Telegram. Staffcop Enterprise осуществляет анализ переписки с помощью настраиваемых словарей, в которые вы можете включить свои ключевые слова, словосочетания и фразы – причем, при обнаружении словарного слова, оно подсвечивается конкретным цветом, соответствующим конкретному словарю и вы быстро узнаёте о обсуждении сотрудником запретных тем. Причем это может быть не только передача конфиденциальной информации, но и конфликты с коллегами, обсуждение компании или начальства в негативном ключе, поиск работы и или обсуждение посторонней деятельности в стенах компании.

StaffCop Enterprise

Рис. 13 Пример выделения цветом найденных по словарям слов.

        Во-вторых, это посещение развлекательных ресурсов – кроме того, что это трата рабочего времени на свои личные дела, это увеличивает угрозу заражения вредоносным программным обеспечением или передачей личных данных злоумышленникам. Вы можете как создать «белый» список сайтов, которыми разрешено пользоваться сотрудникам, так и контролировать сколько и куда времени в интернете они тратят, а также отслеживать, какие формы на каких сайтах сотрудники заполняют. Таким образом, помимо обеспечения информационной безопасности, вы будете контролировать продуктивность своих сотрудников.

StaffCop Enterprise

Рис 14. Представление отчета по использованию непродуктивных ресурсов.

        К сетевой утечке можно отнести также выгрузку баз из различного программного обеспечения. Наиболее ярким примером, пожалуй, тут может стать выгрузка данных из всея бухгалтерских программ «1С:Бухгалтерия». Особенностью этой программы является то, что названия создаваемых ей файлов написаны кириллицей, но для Staffcop Enterprise это не проблема.

StaffCop Enterprise

Рис. 15 Перехват файла с кириллическим названием

StaffCop Enterprise

Рис. 16 Перехват спецсимволов и клавиш управления

        Доработке подвергся и кейлоггер - теперь сотрудники отдела безопасности сразу видят спецсимволы, без дополнительной настройки. Это значительно ускоряет работу отдела безопасности по расследованию инцидентов. Кроме того, мы не можем не похвастаться, что наш кейлоггер работает и в Astra Linux.

        Как можно заметить, функционал DLP-модуля очень широк и содержит все необходимые функции для того, чтобы полностью контролировать потоки информации в вашей компании, вовремя определять угрозы утечки конфиденциальной информации и, более того, предотвращать подобные происшествия.

        В свете того, что недавно вышел Федеральный закон от 8 декабря 2020 г. N 407-ФЗ "О внесении изменений в Трудовой кодекс Российской Федерации в части регулирования дистанционной (удаленной) работы и временного перевода работника на дистанционную (удаленную) работу по инициативе работодателя в исключительных случаях", закрепляющий понятие удалённой работы, а значит, что этот формат с нами надолго, у многих работодателей возник вопрос - как при таком размытии периметра безопасности обеспечивать информационную безопасность и уберечь предприятие от огромных финансовых и репутационных потерь?

        А если бюджет ограничен? Ответ прост – Staffcop Enterprise. Как вы убедились из вышесказанного – Staffcop Enterprise обеспечит вашу компанию всем необходимым, а, при этом, ещё и обладает очень привлекательной ценой. Всё ещё не можете себе позволить? А вы помните, что Staffcop Enterprise – это комплексное решение, позволяющее решать задачи различных отделов? Вы сможете использовать консолидированный бюджет нескольких отделов и, при этом, иметь всё что необходимо. Что же ещё умеет Staffcop?

Продуктивность сотрудников

        Очень важной является продуктивность сотрудников - в том числе (и особенно), работающих удалённо. Ведь от этого напрямую зависит успешность бизнеса. Как же её обеспечить?

        Всё очень просто, вам нужен учёт рабочего времени и контроль используемых приложений. Обо всём по порядку.

        Общеизвестным фактом является то, что сотрудник тратит на работу только 40% времени, которое находится на работе - а как показывает наша практика, то и того меньше. Staffcop Enterprise отслеживает начало работы компьютера, позволяя сразу выявить всех «опоздунов». Также, имеется такая возможность: когда сотрудник некоторое время не работал, Staffcop Enterprise перед возобновлением работы, попросит ввести причину перерыва – вы сможете увидеть тех, кто часто отлучается с рабочего места, подозрительно много курит и т.д.

StaffCop Enterprise

Рис. 17 Распределение времени сотрудников в течение дня

       Имеющиеся виджеты позволяют вам отобразить необходимую информацию в том виде, в котором удобнее, и вы сразу увидите, как обстоит дело. Причем, имеется не только множество отчетов отвечающих на различные важные вопросы УРВ. Вы так же можете подстраивать их под свои задачи: для отдельного сотрудника, для целого отдела, за нужный период и т.д.

       Кроме этого, Staffcop Enterprise позволяет разделить используемые сотрудником ресурсы на разные категории – продуктивные и непродуктивные. К тому же политики продуктивности можно персонализировать: например, для рядового сотрудника сайты по трудоустройству – непродуктивная деятельность, но для специалистов по кадрам -нормальны, рабочий процесс. Всё это наглядно продемонстрирует кто, как и куда тратит рабочее время.

        Для сотрудников, работающих удалённо - в отчёте будет это отражено. А также вы можете задать время в течение рабочего дня, в которое сотрудник должен выполнять свои рабочие обязанности и собирать данные только в это время.

        Некоторые сотрудники могут попытаться имитировать бурную деятельность или использовать сторонние приложения для занятий «левой» работой - в этом случае вы можете использовать контроль приложений и получать уведомления каждый раз, когда сотрудник пользуется приложением, не имеющим отношения к его трудовым обязанностям. Причем, при переключении процесса, Staffcop Enterprise будет делать снимки экрана и вы сразу всё увидите, и поймёте.

        Дополнительным бонусом будет функция удалённого подключения - вы можете осуществлять онлайн-просмотр рабочих столов сотрудников. Словно, вы решили прогуляться по кабинетам и посмотреть кто и чем занят. Это также позволяет наглядно убедиться в том, чем заняты сотрудники.

StaffCop Enterprise

Рис. 18 Онлайн-просмотр рабочих столов сотрудников.

Сегмент «Enterprise»

       Мы понимаем, что крупные клиенты тоже хотят обеспечивать информационную безопасность своих систем, а также контролировать сотрудников и потоки информации. При этом парк АРМ у крупных клиентов насчитывает тысячи машин, что требует определённого подхода к масштабированию и оптимизации.

        В версии 4.9 мы уделили этому особое внимание и добавили несколько серьёзных новшеств, после которых мы можем с уверенностью сказать, что наше решение подходит для абсолютно любых компаний.

        Первым нововведением стал ETL-модуль – этот модуль снижает требования к ресурсам сервера, особенно при работе с большим количеством агентов – причем уменьшает на порядок, действительно серьёзно снижая количество используемых ядер. Это позволяет поддерживать нашу политику низких цен, теперь ещё и сокращая требования к технической базе.

        В довесок к оптимизации требований к системным ресурсам, мы провели оптимизацию системы генерации отчётов, что тоже привело к её значительному ускорению – примерно, в 3 раза. А также мы подключили технологию Elasticsearch – поисковую систему для больших массивов данных, поддерживающую горизонтально масштабируемый поиск. Конечно же, Elasticsearch является свободным программным решением, поэтому вам по-прежнему не придётся покупать какие-либо дополнительные программные продукты.

        Таким образом, после проделанной работы, мы можем с уверенностью сказать, что верхний порог количества агентов превышает 10000, а работа с базой данных остаётся всё такой же быстрой и комфортной.

       Т.к. AD остаётся одним из самых популярных служб каталогов от компании Microsoft, мы не может обойти это стороной. У крупных компаний может быть просто невероятное количество учётных записей, а также может быть текучка кадров, поэтому важен процесс автоматизации работы с AD – поддержка Organizational Unit и функция «умной» синхронизации, позволяет выгружать только тех пользователей, которые есть в Staffcop и избегая выгрузки «мусорных» учетных записей.

        Конечно, практически в любой крупной компании есть СКУД – системы контроля и управления доступом, поэтому логичным шагом в развитии Staffcop Enterprise стала возможность интеграции со СКУД. Мы провели тесты на СКУД, используемой в нашей компании, и остались весьма довольны результатами – поэтому, при желании, наши специалисты смогут интегрировать Staffcop Enterprise с используемой клиентом СКУД.

       Часто у крупных клиентов уже имеются установленные системы безопасности – помимо имеющейся возможности выгружать данные (в форматах PDF и HTML), мы улучшаем взаимодействие с известными на рынке SIEM-системами, такими как RuSIEM и MAX PATROL SIEM. Это помогает проще интегрировать Staffcop Enterprise с уже имеющейся системой.

        Многие компании, в том числе крупные, используют Linux-системы, а также имеют необходимость контролировать сотрудников, работающих на MacOS, поэтому мы постоянно улучшаем наш агент для Linux и Mac. В новой версии, мы значительно прокачали оба агента.

        В наш Linux-агент мы добавили инвентаризацию программного обеспечения и «железа» - для учета установленных программ и конфигурации рабочих станций. В дополнение к этому, мы подключили логирование работы самых распространённых пакетных менеджеров – dpkg (Ubuntu, Debian etc.) и rpm (CentOS, Linux: Red Hat Enterprise etc.), что только усиливает ваши возможности контроля.

       Нельзя обходить внимание и третью популярную операционную систему - MacOS. Наш агент поддерживает все версии, вплоть до 11.2, работая в скрытом режиме и автоматически перезапускаясь при необходимости. Конечно, есть ещё много функций, которые необходимо добавить в агент для MacOS – тем интереснее, всегда есть куда расти и развиваться, так что вы ещё услышите про то, как наш Mac-агент крепнет и развивается.

Заключение

        Как вы можете видеть, Staffcop Enterprise старается расти и развиваться, планомерными шагами, становясь с каждым релизом всё лучше и лучше. Да, до какого-то окончательного результата ещё идти и идти - ведь всегда можно что-то улучшить и доработать, особенно, если об этом просят наши клиенты.

       Мы сохраняем режим выпуска версий 2 раза в год – это дисциплинирует и заставляет двигаться вперёд. Основной нашей задачей остаётся создание и поддержание высококачественного отечественного продукта, который позволяет решить большинство задач наших клиентов, при этом оставаясь доступными как по цене, так и по системным требованиям для любой компании.

        Релиз 4.9 был посвящён усилению функций DLP-модуля и решения задачи масштабирования - Staffcop Enterprise отвечает требованиям по защите информации для компаний из любых отраслей: банков, промышленных предприятий и т.д.

       Вы всегда можете лично убедиться в возможностях Staffcop Enterprise – всем желающим мы предоставляем возможность бесплатного тестирования полного набора функциональных возможностей программного комплекса в течение месяца, на необходимом количестве компьютеров.