التحقيق في الحوادث الأمنية مع برنامج StaffCop Enterprise 4.4

مرحبا اسمي رومان فرانك ، أنا خبير في مجال أمن المعلومات. حتى وقت قريب ، كنت أعمل في شركة كبيرة في قسم الأمن (الحماية التقنية). واجهت مشكلتين: لم تكن هناك وسائل تقنية حديثة للحماية وأموال للسلامة في الميزانية. لكن كان لدي وقت فراغ لدراسة حلول البرامج ، واحد منها - StaffCop Enterprise - أريد أن أخبركم بالتفصيل اليوم.

لقد أظهرت لي التجربة أن 90٪ من الوقت الذي قضيته في التعرف على تسريبات المعلومات والتحقيق فيها بمفردي يتم حلها مع البرنامج خلال دقائق معدودة. لقد تعمقت في التفاصيل التقنية للحل ، حيث أنهيت هذه الشركة في النهاية ، والآن أعمل في StaffCop كأخصائي دعم فني.

دعنا ننكب على StaffCop Enterprise

StaffCop Enterprise - نظام لمراقبة تصرفات الموظفين مع وظائف DLP.

البرنامج قادر على:

• ضمان أمن المعلومات في الشركة (بالكشف عن تسرب المعلومات والتحقيق في الحوادث) ؛
• مراقبة تصرفات الموظفين (تتبع ساعات العمل ، وتقييم إنتاجية الموظفين ، وإجراء التحليل السلوكي ، ومراقبة العمليات التجارية) ؛
• إجراء الإدارة عن بعد (إدارة محطات العمل ، جرد أجهزة الكمبيوتر).

في رأيي ، هناك ميزة ملموسة تتمثل في عدم الحاجة إلى إيقاف تشغيل الشبكة المحلية مع عدم القدرة على العمل عبر الإنترنت. نظرًا لأنه من الصعب الآن التحدث عن محيط أمن المعلومات (أي شركة لديها فروع أو موظفين عن بعد يعملون لحسابهم الخاص) ، فإن حلول البوابة ليست مرنة للغاية وتتطلب غالبًا وجود وكيل في محطة عمل المستخدم.

من خلال هذه المهمة المتمثلة في التحكم الكامل في محطات العمل خارج الشبكة المحلية ، يتعامل StaffCop بسهولة. تسمح مجموعة التقنيات المستخدمة في التطوير للنظام بأن يكون أقل طلبًا على الموارد والاندماج بسهولة مع الأنظمة الأخرى ، ويقوم المطورون ، إذا لزم الأمر ، بتحسين الوظائف. أيضًا ، في المستقبل القريب ، سيتم إصدار مجموعة توزيع مع شهادة FSTEC ، وهي مناسبة لحماية الكائنات التي تتطلب فئة حماية من 4 أو أقل. كل هذا يسمح للنظام ليكون مربحا وموثوقا ومفيدا لمختلف المتخصصين.

لنبدأ مع الشيء الأكثر أهمية. كيف يمكن أن تجعل StaffCop الحياة أسهل لحارس الأمن؟ سنقوم بتحليل الصداع الرئيسي للشخص الذي تتمثل مهمته في منع انفجار برميل البراميل. قد يكون البرميل المسحوق هو معلومات الوصول المحدود ، والذي أصبح معروفًا خارج الشركة. تبعا لذلك ، فإن الشاغل الرئيسي هو عدم المغادرة. وإذا اختفت ، فكيف تجد المهاجم ومعاقبته.

مراقبة المعلومات السرية

يتحكم فريق Staffcop في جميع القنوات الرئيسية لنقل المعلومات من أجهزة كمبيوتر المستخدم إلى Windows. يعمل وكيل Linux في نفس الاتجاه ، ولكن حتى الآن هناك حاجة لمراقبة الشبكة.

1. التحكم في الملفات / التحكم في الملفات الخاصة. إذا حددت الملفات التي تريد حمايتها من أعين المتطفلين ، فإن الإعدادات تسمح لك باعتراض أي عمليات مع هذه الملفات ، بما في ذلك النسخ والطباعة والحفظ في مكان آخر ، إلخ. إذا قام شخص ما بإجراء تغييرات على هذه الملفات أو على أسماء ، سيتم إنشاء نسخة احتياطية من المستند. تجدر الإشارة إلى أنه إذا كان لدى المنظمة قائمة بالمعلومات السرية ، فيجب على الموظفين التوقيع على اتفاقية بشأن عدم الكشف عن هذه المعلومات ، والأهم من ذلك ، ينبغي أن ينص هذا الاتفاق على أن أجهزة الكمبيوتر الشخصية هي ملك للشركة والبيانات التي تتم معالجتها بواسطة هذه الأجهزة ، يمكن نسخها وتخزينها ومعالجتها من قبل موظفي الأمن.
2. التحكم في الوسائط القابلة للإزالة. محرك الأقراص المحمول هو الطريقة الأكثر شيوعًا لدمج المعلومات. يتيح لك Staffcop تكوين مراقبة أجهزة USB. هذا يعني أنه بمجرد استخدام شخص ما لمحرك أقراص فلاش USB ، يعرض حارس الأمان حقيقة توصيل جهاز قابل للإزالة في ساحة الأحداث. علاوة على ذلك ، سيتم اعتراض أي ملفات يتم إرسالها إلى الوسائط القابلة للإزالة. سيكون من الممكن دائمًا استعادة الصورة الكاملة لكيفية نسخ قاعدة البيانات أو المعلومات السرية الأخرى بالضبط. إذا كانت هناك حاجة ، ولكنها موجودة دائمًا في المؤسسات الكبيرة ، يمكنك حظر جميع الأجهزة ، باستثناء الأجهزة المسموح بها ، من الأجهزة الموجودة في القائمة البيضاء. تتيح لك هذه الإعدادات العمل مع الأقفال على أجهزة الكمبيوتر الخاصة بالمستخدمين ، وكذلك على المستخدمين أنفسهم. بالإضافة إلى ذلك ، هناك عنصر تحكم في نوع الجهاز ، على سبيل المثال ، يمكنك إلغاء تأمين محركات الأقراص الثابتة القابلة للإزالة وحظر وسائط USB.
3. شبكة مراقبة حركة المرور / مراقبة موقع خاص . يتحكم StaffCop في جميع أنشطة المستخدم على الشبكة. للتحكم في حركة مرور الشبكة ، يتم استخدام طريقة استبدال الشهادة ؛ وبفضل هذا الاستبدال ، يتم اعتراض كل حركة المرور التي تمر عبر اتصال https. بشكل افتراضي ، يتم تشفيره ببروتوكول TLS ، ولكن نظرًا لاستبداله ، يمكن فك تشفيره ومراسلاته واعتراضه وبالتالي إغلاق أحد أهم قنوات تسرب المعلومات - الإنترنت.
4. اعتراض البريد يمكنك اعتراض نص الرسالة والقائمة البريدية ، بما في ذلك في النسخة والنسخة العمياء ، وكذلك جميع المرفقات. يتم تطبيق التحكم في البريد في عدة اتجاهات: التحكم في بريد الويب ، والتحكم في البريد ، والذي يستخدم بروتوكولات POP3 و POP3S و SMTP و SMTPS و IMAP و IMAPS و MAPI ... إذا لم يكن لديك خيار ، فأخبرنا!
5. رسل التحكم. الميزة الرئيسية للاعتراض ، والتي تسمح لك بعدم التعلق بمصادر الرسائل الفورية ، هي ربط جميع الأحداث ببعضها البعض. بناءً على ذلك ، عند تحديد تطبيق WhatsApp ، سنتلقى جميع لقطات هذا التطبيق وإدخال لوحة المفاتيح. يمكنك تصفية الأحداث ذات الصلة حسب الوقت. وبالمثل مع رسل الويب. أوصي أيضًا بإعداد تحكم خاص لمواقع المراسلة ، حيث يتم التقاط لقطات الشاشة كل بضع ثوانٍ إذا كان المستخدم موجودًا على هذا الموقع.
6. إطلاق التطبيق والتحكم في التثبيت / التحكم في البرنامج الخاص. ستعرف دائمًا البرامج التي يستخدمها الموظفون. يمكنك تصفية التطبيقات غير الصالحة في مؤسستك وحظرها. يتيح لك StaffCop تتبع المستخدمين الذين يقومون بتثبيت وتشغيل برامج غير شرعية أو ، على سبيل المثال ، العمل في AutoCAD أو برامج الشركات الأخرى لأغراض شخصية ، وتنفيذ أوامر العملاء الخارجيين. تمامًا مثل المواقع ، يمكنك تكوين تحكم محسن انتقائي: إذا قام أحد الموظفين بتشغيل تطبيق معين ، فسيتم التقاط لقطات الشاشة بوتيرة متزايدة ، على سبيل المثال ، كل ثانيتين.
7. تحكم الطابعة لن يكون سراً بالنسبة لك أين تذهب الورقة. يتم تسجيل أحداث إرسال المستندات للطباعة ، مع تمكين نسخة الظل ، وسيتم إجراء نسخة احتياطية من المستندات المطبوعة.

البحث عن التسريبات المحتملة

تعتبر التدابير التنظيمية جيدة تمامًا طالما يتم تنفيذها ، وفي حالات أخرى ، تعد التدابير الوقائية الفنية ضرورية.

1. هل يستخدم زملاؤك البريد الشخصي والخدمات السحابية لإرسال ملفات العمل؟ هناك مرشح خاص يسمح لك بتتبع جميع رسائل البريد التي لم يتم إرسالها من مجال الشركة. يمكنك أن ترى أن الشخص يستخدم البريد الشخصي ، اعتراض رسالة ، تسرب الإشعارات. تنفيذ اعتراض الوثائق المرسلة إلى السحابة. إذا قام موظف بتحميل مستند هناك ، فسيتم حفظ نسخة احتياطية.
   
   
   
   يمكنك تصفية جميع المستخدمين الذين أرسلوا رسائل البريد الإلكتروني وليس من بريد الشركة. هذا مهم بشكل خاص لأنه بمجرد أن يتم تشغيل المستند على الإنترنت ، تتوقف عن التحكم فيه. من المهم أن تتذكر أنه لا يتم استنزاف جميع مصارف المعلومات بنوايا خبيثة. يمكن أن تكلف أخطاء المستخدم الشائعة الكثير من المال للمؤسسة.
2. هل تعرف من يتواصل مع موظفيك خلال ساعات العمل؟ لديك الحق في معرفة هذا إذا كنت قد حذرتهم. يوجد رسم بياني خاص يتيح لك رؤية العلاقة بين المستخدمين على أي قناة اتصال. القضية الأكثر شعبية هي المعلومات السرية. أسماء الملفات معروفة. بفضل هذا الرسم البياني ، يمكنك دائمًا تتبع من أرسل هذه المستندات إلى أي عناوين. بمجرد أن يغادر المستند المنظمة ، يصبح مرئيًا بشكل واضح. يعد هذا التقرير مناسبًا للمدير الذي يريد أن يرى نتيجة حارس الأمن ولا يريد أن يفهم كل المرشحات والمعلومات وتدفق البيانات. إنه يحتاج فقط إلى نوع من التقرير النهائي ، ويفضل أن يكون تقريرًا صغيرًا ، حيث يمكنك رؤية اسم الملف ، وإرسال القناة ، والعنوان الخارجي.
   
   
   
3. قواميس يمكنك إعداد الإشعارات عند استخدام الألفاظ النابية ، وبالتالي مراقبة تفشي السلبيات واتخاذ الإجراءات اللازمة. خاصةً إذا كان المستخدمون يعملون مع العملاء - فمن غير المقبول أن يستخدموا الألفاظ النابية في التواصل.
   
   
   
4. البطاقات الشخصية للموظفين. تحتوي البطاقة الشخصية على جميع المعلومات لمستخدم معين. على سبيل المثال ، ما هو نوع الكمبيوتر الذي يعمل ، والمواقع العليا ، والتطبيقات العليا التي يتم تشغيلها ، واستعلامات البحث ، والملفات التي تم اعتراضها ، واللقطات الحديثة. يمكنك تتبع الرسم البياني للاتصالات - التواصل مع الموظفين الآخرين داخل المنظمة: مع من تتواصل معه في كثير من الأحيان ، من خلال قنوات الاتصال. هذا نوع من الملفات ، مسألة شخصية يمكنك من خلالها الحصول على معلومات عامة عن الموظف. يمكن إنشاء هذه البطاقات ليس فقط للأشخاص ، ولكن أيضًا للملفات وأجهزة الكمبيوتر. بطاقات الموظفين جيدة للتحقيق في الحوادث. كمعلومات أساسية عن المستخدم.
   
   
   
5. يتم استخدام كاشف شذوذ سلوك المستخدم للكشف عن التسريبات. التغيير الحاد في سلوك الموظف هو مناسبة للاهتمام. يتم تكوين كاشف StaffCop Enterprise افتراضيًا لتجاوز متوسط ​​حدوث الحدث بمقدار 10 مرات. القضية الأكثر شعبية هي الزيادة في عمليات النسخ. على سبيل المثال ، كانت هناك حالة من إصلاح نسخ عدد كبير من المستندات إلى محرك أقراص USB. بالإضافة إلى ذلك ، تم الكشف عن نسخ المعلومات من مقطع شبكة مغلق ، وهو أمر ضروري للعمل مع الرسومات التي تحمل علامة "سري". علاوة على ذلك ، تدخل تدابير حماية المعلومات المادية وخدمة الأمن حيز التنفيذ. يتم احتجاز موظف لإجراء مزيد من التحقيقات. سوف يقلل كاشف الشذوذ بشكل كبير من الوقت لتحديد الحوادث التي يكون من الصعب أو المستحيل تكوين فلتر تلقائي.
   
   
   

إغلاق ثقب

تدابير الحماية السلبية ليست دائمًا بديلاً رخيصًا لمعدات الحماية الفعالة. في حالتنا ، يعتبر Staffcop وسيلة فعالة للحماية ويسمح لك بالتحكم في بعض قنوات تسرب المعلومات وإغلاقها.

1. نحن كتلة محركات أقراص USB الشخصية والأقراص المدمجة. قد تحظر المؤسسة استخدام الوسائط القابلة للنقل الشخصية. يتم تقديم ما يسمى "القائمة البيضاء" للأجهزة المسموح بها ، وسيتم حظر جميع الوسائط الأخرى غير المدرجة فيها.
   
   
   
2. نحن نمنع زيارات المواقع "غير المنتجة" أو نسمح فقط بالمواقع "المنتجة". يمكنك تعيين القواعد لحظر المواقع في. تعمل قواعد الحظر على سلسلة فرعية - ليس من الضروري تحديد العناوين والمجالات الدقيقة. يمكنك الاستغناء عن المنتجات التي يتم استخدامها لحظر المواقع.
3. نحن نمنع إطلاق التطبيقات. يمكنك إنشاء قائمة بالتطبيقات التي يمكن حظرها ، أو العكس ، استخدم التطبيقات المسموح بها فقط. عند إنشاء بيئة برامج مغلقة ، يجب أن تكون حذراً للغاية بشأن قائمة التطبيقات المسموح بها. في حالة حدوث خطأ ، قد يتم حظر تسجيل الدخول إلى النظام.
4. إعداد التنبيهات للأعمال الضارة. لأية أحداث نعتبرها حادثة ، يمكنك إنشاء مرشح وتكوين تنبيه. يتم تحديد قائمة مثل هذه الأحداث بشكل مستقل من قبل العميل في مرحلة الاختبار. على سبيل المثال ، تعتبر النسخ إلى محرك أقراص فلاش USB ضارة إذا لم يكن من الممكن لسبب ما إعداد قائمة بيضاء. يتم تسجيل مثل هذه الأحداث ، ويتم إرسال التقرير بتردد معين ، على سبيل المثال ، كل يوم أو مرة واحدة في الأسبوع. يمكنك إعداد تنبيه فوري عند حدوث حدث معين.

التحقيق في الحادث

عند التحقيق في الحوادث ، فإن قاعدة الأدلة مهمة جدًا. يتيح لك Staffcop تخزين سجل لجميع الأحداث التي وقعت من قبل المستخدم أثناء المراقبة.

1. حادثة أم لا حادثة؟ من الضروري أن ننظر في مزيد من التفاصيل. هناك صلة بين الأحداث في النظام وبناء تقارير متعددة الأبعاد ، تقنية الحفر لأسفل. جميع الأحداث مترابطة ، على سبيل المثال ، يرتبط اعتراض نماذج الويب بزيارة المواقع ، عندما يقوم شخص ما بإدخال اسم مستخدم وكلمة مرور في نموذج ويب عند الدخول إلى موقع ويب ، يمكن اعتراض هذه المعلومات. إذا تم تمكين اعتراض هذا النموذج ، فلن نرى فقط ما كان موجودًا في هذه النماذج ، ولكن أيضًا الموقع الذي تم إدخال النموذج عليه. يعد "Drill-down" فشلًا ، أي أنه يمكنك البحث عن معلومات الحدث ورؤية الأحداث ذات الصلة.
   
   يستخدم StaffCop تقنية OLAP (مكعب متعدد الأبعاد). بفضل استخدام الوضع المختلط مع قاعدتي بيانات ، يحصل المستخدم على نتائج أداء ممتازة. التقارير ، التي يتم إنشاؤها في أنظمة أخرى لعدة ساعات ، ينشئ StaffCop Enterprise في بضع ثوان (عشرات). من التقرير ، يمكنك توضيح أي معلومات متعلقة بحدث معين.
2. يتم استخدام تسجيل الميكروفون وتسجيل فيديو سطح المكتب ولقطات الشاشة لفهم سياق الأحداث. على سبيل المثال ، حدث عامل تصفية معين ، حدث ما ، لكن سياقه غير مفهوم. يعد تسجيل الميكروفون وتسجيل سطح المكتب من وحدتين يتم تعطيلهما افتراضيًا. يتم تسجيل الصوت في مقاطع قصيرة من 10 دقائق (يمكنك وضع أكثر أو أقل) ، في حين لم يتم تسجيل الصمت. يمكنك أيضًا تسجيل مقاطع الفيديو. يتم حفظ كل حدث مع الطابع الزمني. إذا تم تمكين وحدة تسجيل فيديو سطح المكتب ، فسيتم تسجيل كل ما يحدث على سطح المكتب. يجب أن يكون مفهوما أن تخزين كميات كبيرة من المعلومات باهظ الثمن. يمكن استخدام هذه الوظيفة بشكل عمودي ، على سبيل المثال ، إذا تعرض موظف معين للشك ، فيمكنك وضع مثل هذه الوحدة عليه ومراقبة كل ما يحدث. يتم استخدام لقطات الشاشة عندما تكون هناك حاجة إلى تحكم خاص في المواقع والبرامج. باستخدام هذه الوحدات ، يمكن تفصيل أي حدث في أجزاء. ستمكّن الإعدادات الرفيعة من تحديد تلك الوحدات فقط للتحقيق في الحوادث التي تسمح ، خطوة بخطوة ، بتحديد ليس فقط حقيقة تسرب المعلومات وأسبابها ، ولكن أيضًا ، ربما ، الأشخاص والأحداث الإضافية المعنية.
   
   
   
3. الإبلاغ السريع. يستخدم المنتج قاعدة بيانات PostgreSQL + ClickHouse المختلطة ، بفضل إنشاء التقارير بسرعة كبيرة. عيب ClickHouse هو متطلبات الموارد. على سبيل المثال ، يجب أن يحتوي الخادم على 16 غيغابايت على الأقل من ذاكرة الوصول العشوائي أو 8 أو 16 مركزًا ، بحيث يتم استخدام هذا الحل فقط للأنظمة التي تحتوي على عدد كبير من العوامل. هناك العديد من الأحداث في مثل هذه الأنظمة ، ولتحميلها بسرعة ، تحتاج إلى ClickHouse. إذا تم استخدام PostgreSQL ، فثمة مشكلة: إذا كان هناك عدة عشرات الملايين من الأحداث في قاعدة البيانات ، فيجب أن يكون هناك تأخير في التحميل إلى وحدة تحكم الويب لمدة دقيقة واحدة ، ولكن إذا قمت بتحديث الصفحة باستمرار ، فستقع جميع الأحداث الجديدة في عدسة الحدث.
   
   يتم استخدام الوضع المختلط أحيانًا عند تشغيل قاعدتي بيانات في نفس الوقت. تجدر الإشارة إلى أن StaffCop Enterprise لا يستخدم التكنولوجيا السحابية ، باستثناء ABBYY - خدمة سحابية للتعرف على النص.

أعتقد أن StaffCop هو الأداة الرئيسية بين يدي حارس الأمن ، مما سيوفر الوقت لخدمة الأمن والمال لإدارة الشركة.

متطلبات الموارد يمكن العثور عليها هنا .
تفاصيل التثبيت .
وإذا كنت تريد تشغيل النظام في وضع الاختبار ومعرفة ما إذا كان StaffCop مناسبًا لك ، فيمكنك إرسال طلب هنا أو من خلال شريكنا .


فرانك رومان ،
StaffCop أخصائي الدعم الفني