Bonjour à tous! Je m'appelle Mikhail et je travaille avec des données dans des systèmes de prévention des fuites d'informations en classe (DLP) et des systèmes d'analyse comportementale. Pendant de nombreuses années de travail dans le domaine de la sécurité de l'information, j'ai eu la chance de me familiariser avec de nombreux systèmes. L'une des connaissances récentes est StaffCop Enterprise v.4.4.
Dans cette revue, je partagerai mes impressions sur l'utilisation du système StaffCop au travail.
Interface
Pour ces produits, une interface intelligente et conviviale est très importante, mais l'analyste doit y travailler tous les jours.
Capture d'écran du bureau:
J'ai aimé la façon dont tout est structuré, mais la disposition des panneaux provoque d'abord une légère stupeur. Cependant, plus tard, vous vous habituez à une telle implémentation et commencez rapidement à effectuer des tâches.
Et pour l'affichage réussi des informations, StaffCop mérite des éloges! Lors de l'analyse d'événements, des mesures sont disponibles, telles qu'un tableau, un graphique linéaire, un graphique à secteurs, un graphique et un arbre. Dans différentes tâches, ces représentations de données peuvent être très utiles pour trouver une solution.
Pour afficher les événements, vous pouvez utiliser le tableau, la liste, les images, la correspondance, former des conversations sur des sujets et un diagramme de chaleur qui vous permet de regarder la situation dans son ensemble et de détecter rapidement une activité suspecte.
La seule chose qui dérange jusqu'à présent est le manque de «gestion des cas», c'est-à-dire un travail à part entière avec les incidents.
Les outils
Maintenant sur les tâches qui devaient être résolues et comment le faire avec Staffop.
Remarque importante: jusqu'à présent, je n'ai aucune expérience de l'utilisation de Staffcop sur de gros volumes, donc je ne peux rien dire sur la vitesse de recherche dans les archives profondes.1. Que fait l'employé sur le lieu de travail?Nous appuyons sur le bouton ONE au total et chargeons la carte de mesure (dans ce cas, l'employé):
Il a beaucoup de choses utiles: données de AD, activité récente, activité sur les sites et applications, informations sur les PC auxquels l'utilisateur s'est connecté, contacts et graphiques de correspondance, requêtes de recherche et suivi du temps.
De plus, le système a la possibilité de modifier cette carte, c'est-à-dire Vous pouvez ajouter / supprimer différents modules d'informations. Il existe également des cartes de mesure pour de nombreuses autres entités: par exemple, pour un fichier, un site, un appareil, etc.
Mais il y a quelques inconvénients, lorsque vous essayez de décharger une carte pour l'envoyer, elle doit être envoyée pour l'impression et enregistrée au format PDF. De manière peu pratique, il y a aussi des problèmes de mise à l'échelle: dans certains cas, des polices trop petites sont utilisées.
2. Surveillance des employés en temps réelIl s'agit de connecter un employé spécifique au bureau et de surveiller ses actions. Oui, oui, ne soyez pas surpris, de telles tâches ne sont pas rares.
Il existe un tel mécanisme, et il fonctionne vraiment, et dans la version actuelle, le soi-disant «quadrateur» a été introduit, c'est-à-dire l'affichage simultané de plusieurs ordinateurs de bureau.
Mais, comme toujours, j'en veux plus. Par exemple, si un employé a verrouillé le bureau et est parti en affaires, vous verrez toujours son bureau. Notez que l'employé lui-même n'est pas disponible uniquement en arrêtant l'heure sur l'horloge.
La capacité de capturer le contrôle vérifié à des fins de test. Cela fonctionne bien, mais en pratique n'a pas encore été utile.
3. Détecteur d'anomalies et tâches de suivi des fichiersJe constate tout de suite que tous ces systèmes n'ont pas des fonctionnalités similaires, je vais donc vous en dire plus sur ces outils.Extrait du détecteur d'anomalie de la base de connaissances du vendeur:
Un nouveau type de rapport dans lequel des «anomalies» sont exprimées lors d'événements interceptés sur les postes de travail de l'utilisateur.
Une anomalie est l'excédent du nombre d'événements d'un certain type par heure, s'il représente 10 fois ou plus la valeur standard calculée au cours de la dernière semaine du système.
Le seuil du système pour les anomalies peut être modifié. Ce seuil est fixé sous la forme d'un chiffre de l'excédent du nombre de fois à partir des valeurs standardisées des événements collectés sur une certaine période de temps.Cela semble simple et clair, mais la façon d'utiliser les informations dépend de vous.
Séparément sur la carte de distribution.
Pour rechercher la mention d'un fichier, vous devez, comme dans le cas d'un employé, ouvrir la fiche de mesure du fichier. Il contient des informations sur qui, où, quand et comment a travaillé avec lui. Dans ce cas, vous pouvez rapidement créer un diagramme visuel du mouvement des informations.
À quoi ça sert? Pour résoudre un problème standard: trouvez-moi qui a travaillé avec ... / divulgué un rapport de vente.
4. Rapports sur le rendement des employésC'est l'un des outils importants pour les produits de cette classe qui s'éloignent du DLP dans sa forme la plus pure. StaffCop propose de nombreuses options de rapport différentes et fournit des informations assez réalistes.
Ce sujet est probablement proche de ceux qui ont essayé de rendre compte de l'activité des utilisateurs, par exemple en utilisant des systèmes de proxy Web. Habituellement, un utilisateur dispose de milliers de téléchargements de bannières ouvertes sur le site, et il est presque impossible de calculer à quel point il a réellement «surfé» sur Internet.
De plus, les demandes de la direction de ce que fait tel ou tel employé sont reçues à peu près autant que les tâches d'enquête sur les fuites d'informations. Dans le cas de StaffCop, il ne faut qu'une minute pour rédiger un tel rapport, et avec d'autres systèmes DLP qui ne disposent pas de tels outils, vous pouvez abandonner toute la journée pour effectuer une telle tâche.
Conclusion
StaffCop se développe rapidement. L’accent est principalement mis sur le contrôle du lieu de travail des employés. L'arsenal possède des fonctionnalités telles que le contrôle de l'installation / désinstallation des logiciels, un registre de ces logiciels et matériels, qui ne sont pas disponibles sur tous les systèmes du marché de la sécurité de l'information.
Maintenant, StaffCop est un système de gestion du temps du personnel avec un certain nombre d'outils pratiques et certaines fonctionnalités DLP. Ce qu'il deviendra demain est une question ouverte.
Oui, il y a des inconvénients: quelque part, quelque chose n'est pas affiché ou intercepté. Le vendeur essaie de corriger rapidement ces bogues.
En général, StaffCop est un produit valable pour résoudre des tâches de sécurité des informations atypiques.
Mikhail Godzhaev, chef de l'analyse des événements, unité DLP, Infosecurity a Softline Company.