Hallo allerseits! Mein Name ist Mikhail und ich arbeite mit Daten in Systemen der Klasse zur Verhinderung von Informationslecks (DLP) und Systemen zur Verhaltensanalyse. Während meiner langjährigen Arbeit auf dem Gebiet der Informationssicherheit hatte ich das Glück, viele Systeme kennenzulernen. Einer der jüngsten Bekannten ist StaffCop Enterprise v.4.4.
In diesem Test werde ich meine Eindrücke von der Verwendung des StaffCop-Systems in der Arbeit teilen.
Schnittstelle
Für solche Produkte ist eine intelligente, benutzerfreundliche Oberfläche sehr wichtig, aber der Analyst muss jeden Tag damit arbeiten.
Desktop-Screenshot:
Mir hat die Art und Weise gefallen, wie alles strukturiert ist, aber die Anordnung der Paneele verursacht zunächst eine leichte Betäubung. Später gewöhnen Sie sich jedoch an eine solche Implementierung und beginnen schnell, Aufgaben auszuführen.
Und für die erfolgreiche Anzeige von Informationen lohnt sich StaffCop! Bei der Analyse von Ereignissen stehen Messungen zur Verfügung, z. B. eine Tabelle, ein Liniendiagramm, ein Kreisdiagramm, ein Diagramm und ein Baum. Bei verschiedenen Aufgaben können diese Datendarstellungen sehr hilfreich sein, um eine Lösung zu finden.
Zum Anzeigen von Ereignissen können Sie die Tabelle, die Liste, die Bilder, die Korrespondenz, das Bilden von Gesprächen zu Themen und ein Wärmediagramm verwenden, mit dem Sie die Situation als Ganzes betrachten und verdächtige Aktivitäten schnell erkennen können.
Das einzige, was bisher stört, ist das Fehlen eines „Fallmanagements“, dh eine vollwertige Arbeit mit Vorfällen.
Die Werkzeuge
Nun zu den Aufgaben, die gelöst werden mussten und wie man es mit Staffop macht.
Wichtiger Hinweis: Bisher habe ich noch keine Erfahrung mit Staffcop in großen Mengen gesammelt, daher kann ich nichts über die Suchgeschwindigkeit in tiefen Archiven sagen.1. Was macht der Mitarbeiter am Arbeitsplatz?Wir drücken insgesamt die Taste EINS und laden die Messkarte (in diesem Fall den Mitarbeiter):
Es enthält viele nützliche Dinge: Daten aus AD, aktuelle Aktivitäten, Aktivitäten auf Websites und Anwendungen, Informationen darüber, auf welchen PCs sich der Benutzer angemeldet hat, Kontakte und Korrespondenzdiagramme, Suchanfragen und Zeiterfassung.
Darüber hinaus hat das System die Fähigkeit, diese Karte zu bearbeiten, d.h. Sie können verschiedene Informationsmodule hinzufügen / entfernen. Es gibt auch Messkarten für viele andere Entitäten: zum Beispiel für eine Datei, einen Standort, ein Gerät usw.
Es gibt jedoch einige Nachteile: Wenn Sie versuchen, eine Karte zum Senden zu entladen, muss sie zum Drucken gesendet und im PDF-Format gespeichert werden. Unbequemerweise gibt es auch Probleme bei der Skalierung: In einigen Fällen werden zu kleine Schriftarten verwendet.
2. Mitarbeiterüberwachung in EchtzeitEs geht darum, einen bestimmten Mitarbeiter mit dem Desktop zu verbinden und seine Aktionen zu überwachen. Ja, ja, wundern Sie sich nicht, solche Aufgaben sind keine Seltenheit.
Es gibt einen solchen Mechanismus, und er funktioniert wirklich, und in der aktuellen Version wurde der sogenannte „Quadrator“ eingeführt, dh die gleichzeitige Anzeige mehrerer Desktops.
Aber wie immer will ich mehr. Wenn beispielsweise ein Mitarbeiter den Desktop gesperrt hat und geschäftlich tätig ist, wird sein Desktop weiterhin angezeigt. Beachten Sie, dass der Mitarbeiter selbst nicht nur durch Anhalten der Uhrzeit verfügbar ist.
Die Fähigkeit zur Erfassung der Kontrolle wurde zu Testzwecken überprüft. Es funktioniert gut, hat sich aber in der Praxis noch nicht als nützlich erwiesen.
3. Anomaliedetektor- und DateiverfolgungsaufgabenIch stelle sofort fest, dass nicht alle dieser Systeme über ähnliche Funktionen verfügen. Daher werde ich Ihnen mehr über diese Tools erzählen.Auszug über den Anomaliedetektor aus der Wissensdatenbank des Anbieters:
Eine neue Art von Bericht, in dem „Anomalien“ in abgefangenen Ereignissen an den Arbeitsstationen des Benutzers ausgedrückt werden.
Eine Anomalie ist der Überschuss der Anzahl von Ereignissen eines bestimmten Typs pro Stunde, wenn er das 10-fache oder mehr des Standardwerts beträgt, der in der letzten Woche des Systems berechnet wurde.
Der Schwellenwert des Systems für Anomalien kann geändert werden. Dieser Schwellenwert wird in Form einer Zahl festgelegt, die angibt, wie oft die standardisierten Werte von Ereignissen, die über einen bestimmten Zeitraum erfasst wurden, überschritten wurden.Es sieht einfach und klar aus, aber wie Sie die Informationen verwenden, liegt bei Ihnen.
Separat über die Verbreitungskarte.
Um nach der Erwähnung einer Datei zu suchen, müssen Sie wie bei einem Mitarbeiter die Dateimesskarte öffnen. Es enthält Informationen darüber, wer, wo, wann und wie mit ihm gearbeitet hat. In diesem Fall können Sie schnell ein visuelles Diagramm der Bewegung von Informationen erstellen.
Wofür ist das? Um ein Standardproblem zu lösen: Finden Sie mich, der mit ... / einen Verkaufsbericht durchgesickert ist.
4. MitarbeiterleistungsberichteDies ist eines der wichtigsten Werkzeuge für Produkte dieser Klasse, die in ihrer reinsten Form von DLP abweichen. StaffCop bietet viele verschiedene Berichtsoptionen und liefert ziemlich realistische Informationen.
Dieses Thema steht wahrscheinlich in der Nähe derjenigen, die versucht haben, über Benutzeraktivitäten zu berichten, z. B. mithilfe von Webproxysystemen. In der Regel hat ein Benutzer Tausende von Downloads für Banner auf der Website geöffnet, und es ist fast unmöglich zu berechnen, wie viel er wirklich im Internet „gesurft“ hat.
Darüber hinaus gehen Anfragen des Managements, was dieser oder jener Mitarbeiter tut, ungefähr so weit ein wie die Aufgaben der Untersuchung von Informationslecks. Bei StaffCop dauert das Schreiben eines solchen Berichts nur eine Minute. Bei anderen DLP-Systemen, die nicht über ähnliche Tools verfügen, können Sie den ganzen Tag auf eine solche Aufgabe verzichten.
Fazit
StaffCop wächst rasant. Das Hauptaugenmerk liegt auf der Kontrolle des Arbeitsplatzes des Mitarbeiters. Das Arsenal verfügt über Funktionen wie die Steuerung der Installation / Deinstallation von Software, eine Registrierung dieser Software und Hardware, die bei weitem nicht auf allen Systemen auf dem Markt für Informationssicherheit verfügbar sind.
Jetzt ist StaffCop ein Personalzeitmanagementsystem mit einer Reihe praktischer Tools und einigen DLP-Funktionen. Was morgen wird, ist eine offene Frage.
Ja, es gibt Nachteile: Irgendwo wird etwas nicht angezeigt oder abgefangen. Der Anbieter versucht, solche Fehler schnell zu beheben.
Im Allgemeinen ist StaffCop ein würdiges Produkt zur Lösung atypischer Aufgaben der Informationssicherheit.
Mikhail Godzhaev, Leiter Event Analysis, DLP-Abteilung, Infosecurity, ein Softline-Unternehmen.