Hola a todos! Mi nombre es Mikhail, y trabajo con datos en sistemas de prevención de fugas de información (DLP) y sistemas de análisis de comportamiento. Durante muchos años de trabajo en el campo de la seguridad de la información, tuve la suerte de conocer muchos sistemas. Uno de los conocidos recientes es StaffCop Enterprise v.4.4.
En esta revisión, compartiré mis impresiones sobre el uso del sistema StaffCop en el trabajo.
Interfaz
Para tales productos, una interfaz inteligente y fácil de usar es muy importante, sin embargo, el analista tiene que trabajar con ella todos los días.
Captura de pantalla de escritorio:
Me gustó la forma en que todo está estructurado, pero la disposición de los paneles al principio causa un ligero estupor. Sin embargo, más tarde se acostumbrará a dicha implementación y comenzará rápidamente a realizar tareas.
Y por la exitosa presentación de información, ¡vale la pena elogiar a StaffCop! Al analizar eventos, hay medidas disponibles, como una tabla, un gráfico lineal, un gráfico circular, un gráfico y un árbol. En diferentes tareas, estas representaciones de datos pueden ser muy útiles para encontrar una solución.
Para ver eventos, puede usar la tabla, la lista, las imágenes, la correspondencia, la formación de conversaciones sobre temas y un diagrama de calor que le permite ver la situación en su conjunto y detectar rápidamente actividades sospechosas.
Lo único que molesta hasta ahora es la falta de "gestión de casos", es decir, trabajo completo con incidentes.
Las herramientas
Ahora sobre las tareas que tuvieron que resolverse y cómo hacerlo con Staffop.
Nota importante: hasta ahora no he tenido experiencia con Staffcop en grandes volúmenes, por lo que no puedo decir nada sobre la velocidad de búsqueda en archivos profundos.1. ¿Qué hace el empleado en el lugar de trabajo?Presionamos el botón ONE en total y cargamos la tarjeta de medición (en este caso, el empleado):
Tiene muchas cosas útiles: datos de AD, actividad reciente, actividad en sitios y aplicaciones, información en las PC en las que el usuario ha iniciado sesión, contactos y gráficos de correspondencia, consultas de búsqueda y seguimiento del tiempo.
Además, el sistema tiene la capacidad de editar esta tarjeta, es decir Puede agregar / eliminar varios módulos de información. También hay tarjetas de medición para muchas otras entidades: por ejemplo, para un archivo, sitio, dispositivo, etc.
Pero hay algunos inconvenientes, cuando se trata de descargar una tarjeta para enviarla, debe enviarse para imprimir y guardarse en formato PDF. Inconvenientemente, también hay problemas con el escalado: en algunos casos, se utilizan fuentes demasiado pequeñas.
2. Monitoreo de empleados en tiempo realSe trata de conectar un empleado específico al escritorio y monitorear sus acciones. Sí, sí, no se sorprenda, tales tareas no son infrecuentes.
Existe tal mecanismo, y realmente funciona, y en la versión actual, se introdujo el llamado "cuadrador", es decir, la visualización simultánea de varios escritorios.
Pero, como siempre, quiero más. Por ejemplo, si un empleado ha bloqueado el escritorio y se ha puesto en marcha, aún verá su escritorio. Tenga en cuenta que el empleado mismo no está disponible solo deteniendo el tiempo en el reloj.
La capacidad de capturar el control verificado para fines de prueba. Funciona bien, pero en la práctica aún no ha sido útil.
3. Detector de anomalías y tareas de seguimiento de archivosNoto de inmediato que no todos estos sistemas tienen una funcionalidad similar, por lo que le contaré más sobre estas herramientas.Extracto sobre el detector de anomalías de la base de conocimiento del proveedor:
Un nuevo tipo de informe en el que las "anomalías" se expresan en eventos interceptados en las estaciones de trabajo del usuario.
Una anomalía es el exceso del número de eventos de un determinado tipo por hora, si es 10 o más veces el valor estándar calculado durante la última semana del sistema.
El umbral del sistema para anomalías puede modificarse. Este umbral se establece en forma de una cifra del exceso del número de veces a partir de los valores estandarizados de eventos recopilados durante un cierto período de tiempo.Parece simple y claro, pero la forma de usar la información depende de usted.
Por separado sobre el mapa de distribución.
Para buscar la mención de un archivo, necesita, como en el caso de un empleado, abrir la tarjeta de medición del archivo. Contiene información sobre quién, dónde, cuándo y cómo trabajó con él. En este caso, puede construir rápidamente un diagrama visual del movimiento de la información.
¿Para qué es esto? Para resolver el problema estándar: búscame quién trabajó con ... / se filtró el informe de ventas.
4. Informes de desempeño de los empleadosEsta es una de las herramientas importantes para los productos de esta clase que se alejan de DLP en su forma más pura. StaffCop tiene muchas opciones de informes diferentes y proporcionan información bastante realista.
Este tema probablemente esté cerca de aquellos que intentaron informar sobre la actividad del usuario, por ejemplo, utilizando sistemas de proxy web. Por lo general, un usuario tiene miles de descargas de pancartas abiertas en el sitio, y es casi imposible calcular cuánto realmente "navegó" en Internet.
Además, las solicitudes de la administración de lo que este o aquel empleado está haciendo se reciben aproximadamente tanto como las tareas de investigar las filtraciones de información. En el caso de StaffCop, solo lleva un minuto escribir dicho informe, y con otros sistemas DLP que no tienen herramientas similares, puede deshacerse de todo el día para completar dicha tarea.
Conclusión
StaffCop está creciendo rápidamente. El énfasis principal está en controlar el lugar de trabajo del empleado. El arsenal tiene características tales como el control de la instalación / desinstalación del software, un registro de este software y hardware, que están lejos de estar disponibles en todos los sistemas en el mercado de seguridad de la información.
Ahora StaffCop es un sistema de gestión del tiempo del personal con una serie de herramientas convenientes y algunas características de DLP. Lo que se convertirá mañana es una pregunta abierta.
Sí, hay inconvenientes: en algún lugar, algo no se muestra ni se intercepta. El vendedor está tratando de corregir rápidamente esos errores.
En general, StaffCop es un producto digno para resolver tareas de seguridad de la información atípicas.
Mikhail Godzhaev, Jefe de Análisis de Eventos, Unidad DLP, Infosecurity a Softline Company.