Investigasi Insiden Keamanan dengan StaffCop Enterprise 4.4

Halo Nama saya Roman Frank, saya seorang ahli di bidang keamanan informasi. Sampai baru-baru ini, saya bekerja untuk perusahaan besar di departemen keamanan (perlindungan teknis). Saya memiliki 2 masalah: tidak ada alat teknis modern yang normal untuk perlindungan dan uang untuk keamanan dalam anggaran. Tapi saya punya waktu luang untuk mempelajari solusi perangkat lunak, tentang salah satunya - StaffCop Enterprise - Saya ingin memberi tahu Anda secara rinci hari ini.

Pengalaman telah menunjukkan kepada saya bahwa 90% dari waktu yang saya habiskan untuk mengidentifikasi dan menyelidiki kebocoran informasi sendiri diselesaikan dengan program dalam beberapa menit. Saya masuk jauh ke dalam rincian teknis dari solusi itu sehingga saya akhirnya keluar dari perusahaan itu dan sekarang saya bekerja di StaffCop sebagai spesialis dukungan teknis.

Mari kita turun ke StaffCop Enterprise

StaffCop Enterprise - sistem untuk memantau tindakan karyawan dengan fungsionalitas DLP.

Program ini mampu:

• memastikan keamanan informasi di perusahaan (mendeteksi kebocoran informasi dan menyelidiki insiden);
• memantau tindakan karyawan (melacak jam kerja, mengevaluasi produktivitas karyawan, melakukan analisis perilaku, memantau proses bisnis);
• melakukan administrasi jarak jauh (administrasi workstation, inventaris komputer).

Menurut pendapat saya, keuntungan nyata adalah kurangnya kebutuhan untuk mematikan jaringan lokal dengan ketidakmampuan untuk bekerja melalui Internet. Karena sekarang sulit untuk berbicara tentang perimeter keamanan informasi (perusahaan mana pun memiliki cabang atau karyawan yang lepas pada freelance), solusi gateway tidak begitu fleksibel dan sering memerlukan agen di workstation pengguna.

Dengan tugas ini mengendalikan penuh workstation di luar jaringan lokal, StaffCop dengan mudah mengatasinya. Tumpukan teknologi yang digunakan dalam pengembangan memungkinkan sistem untuk tidak terlalu menuntut sumber daya dan mudah diintegrasikan dengan sistem lain, dan pengembang, jika perlu, memperbaiki fungsionalitasnya. Juga, dalam waktu dekat kit distribusi dengan sertifikat FSTEC akan dirilis, yang cocok untuk melindungi objek di mana kelas perlindungan 4 atau lebih rendah diperlukan. Semua ini memungkinkan sistem menjadi menguntungkan, andal, dan bermanfaat bagi spesialis yang berbeda.

Mari kita mulai dengan hal yang paling penting. Bagaimana StaffCop dapat membuat hidup lebih mudah bagi penjaga keamanan? Kami akan menganalisis sakit kepala utama seseorang yang tugasnya mencegah ledakan tong bubuk. Tong bubuk mungkin informasi akses terbatas, yang kemudian dikenal di luar perusahaan. Dengan demikian, perhatian utama adalah tidak pergi. Dan, jika itu hilang, maka bagaimana menemukan penyerang dan menghukum.

Kontrol Informasi Rahasia

Staffcop mengontrol semua saluran utama transfer informasi dari PC pengguna ke Windows. Agen Linux berusaha keras dalam arah yang sama, tetapi sejauh ini ada kebutuhan untuk pemantauan jaringan.

1. Kontrol file / kontrol file khusus. Jika Anda menentukan file mana yang ingin Anda lindungi dari pengintaian, pengaturan memungkinkan Anda untuk mencegat operasi apa pun dengan file-file ini, termasuk menyalin, mencetak, menyimpan di tempat lain, dll. Jika seseorang membuat perubahan pada file tersebut atau ke mereka nama, salinan bayangan dokumen akan dibuat. Perlu ditekankan bahwa jika organisasi memiliki daftar informasi rahasia, maka karyawan harus menandatangani perjanjian tentang tidak diungkapkannya informasi ini dan, yang lebih penting, perjanjian ini harus menjelaskan bahwa komputer pribadi adalah milik perusahaan dan data yang diproses oleh PC ini, dapat disalin, disimpan, dan diproses oleh petugas keamanan.
2. Kontrol media yang dapat dilepas. Flash drive adalah cara paling populer untuk menggabungkan informasi. Staffcop memungkinkan Anda untuk mengkonfigurasi pemantauan perangkat USB. Ini berarti bahwa segera setelah seseorang menggunakan USB flash drive, penjaga keamanan menampilkan fakta menghubungkan perangkat yang dapat dilepas dalam aliran acara. Selain itu, semua file yang dikirim ke media yang dapat dilepas akan dicegat. Akan selalu mungkin untuk mengembalikan gambaran lengkap tentang bagaimana persisnya database atau informasi rahasia lainnya disalin. Jika ada kebutuhan, tetapi selalu ada di organisasi besar, Anda dapat melarang semua perangkat, kecuali yang diizinkan, dari yang ada dalam daftar putih. Pengaturan ini memungkinkan Anda untuk bekerja dengan kunci pada PC pengguna, serta pada pengguna itu sendiri. Selain itu, ada kontrol jenis perangkat, misalnya, Anda dapat membuka kunci hard drive yang dapat dilepas, dan memblokir media USB.
3. Kontrol lalu lintas jaringan / kontrol situs khusus . StaffCop mengontrol semua aktivitas pengguna di jaringan. Untuk mengontrol lalu lintas jaringan, metode substitusi sertifikat digunakan, berkat substitusi ini, semua lalu lintas yang melalui koneksi https dicegat. Secara default, ini dienkripsi dengan protokol TLS, tetapi karena substitusi itu dapat didekripsi, menyadap korespondensi dan dengan demikian menutup salah satu saluran paling penting dari kebocoran informasi - Internet.
4. Intersepsi surat Anda dapat mencegat isi surat, milis, termasuk dalam salinan dan dalam salinan buta, serta semua lampiran. Kontrol surat diterapkan dalam beberapa arah: kontrol surat web, kontrol surat, yang menggunakan protokol POP3, POP3S, SMTP, SMTPS, IMAP, IMAPS, MAPI ... Jika Anda tidak memiliki pilihan, beri tahu kami!
5. Kontrol utusan. Fitur utama intersepsi, yang memungkinkan Anda untuk tidak terikat pada sumber pesan instan, adalah pengikatan semua peristiwa satu sama lain. Karenanya, dengan menentukan aplikasi WhatsApp, kami akan menerima semua tangkapan layar dari aplikasi ini dan input keyboard. Anda dapat memfilter peristiwa terkait berdasarkan waktu. Demikian pula dengan web messenger. Saya juga merekomendasikan pengaturan kontrol khusus situs messenger, di mana screenshot diambil setiap beberapa detik jika pengguna berada di situs tersebut.
6. Peluncuran aplikasi dan kontrol instalasi / kontrol program khusus. Anda akan selalu tahu program apa yang digunakan karyawan. Anda dapat memfilter aplikasi yang tidak valid di organisasi Anda dan memblokirnya. StaffCop memungkinkan untuk melacak pengguna yang menginstal dan menjalankan perangkat lunak tidak sah atau, misalnya, bekerja di AutoCAD atau perangkat lunak perusahaan lainnya untuk tujuan pribadi, menjalankan pesanan dari pelanggan pihak ketiga. Sama seperti untuk situs, Anda dapat mengonfigurasi kontrol yang ditingkatkan selektif: jika seorang karyawan meluncurkan aplikasi tertentu, tangkapan layar akan diambil pada frekuensi yang meningkat, misalnya, setiap 2 detik.
7. Kontrol Printer Ini tidak akan lagi menjadi rahasia bagi Anda kemana kertas itu pergi. Kejadian pengiriman dokumen untuk dicetak dicatat, dengan salinan bayangan diaktifkan, salinan bayangan dari dokumen yang dicetak akan dibuat.

Cari kemungkinan kebocoran

Langkah-langkah organisasi itu baik persis selama mereka diimplementasikan, dalam kasus lain, langkah-langkah perlindungan teknis adalah suatu keharusan.

1. Apakah kolega Anda menggunakan layanan email dan cloud pribadi untuk mengirim file kerja? Ada filter khusus yang memungkinkan Anda melacak semua email yang tidak dikirim dari domain perusahaan. Anda dapat melihat bahwa seseorang menggunakan surat pribadi, memotong pesan, pemberitahuan kebocoran. Penerapan dokumen yang dikirim ke cloud diimplementasikan. Jika seorang karyawan mengunggah dokumen di sana, salinan bayangan disimpan.
   
   
   
   Anda dapat memfilter semua pengguna yang mengirim email bukan dari surat perusahaan. Ini sangat penting karena, begitu dokumen sudah daring, Anda berhenti mengendalikannya. Penting untuk diingat bahwa tidak semua saluran pembuangan informasi dilakukan oleh niat jahat. Kesalahan pengguna biasa dapat menghabiskan banyak uang untuk organisasi.
2. Apakah Anda tahu dengan siapa karyawan Anda berkomunikasi selama jam kerja? Anda memiliki hak untuk mengetahui hal ini jika Anda memperingatkan mereka. Ada grafik khusus yang memungkinkan Anda melihat hubungan antara pengguna di saluran komunikasi apa pun. Kasus yang paling populer adalah informasi rahasia. Nama file dikenal. Berkat grafik ini, Anda selalu dapat melacak siapa yang mengirim dokumen-dokumen ini ke alamat mana. Setelah dokumen telah meninggalkan organisasi, itu menjadi jelas terlihat. Laporan seperti itu cocok untuk manajer yang ingin melihat hasil dari penjaga keamanan dan yang tidak ingin memahami semua filter, informasi, dan aliran data. Dia hanya membutuhkan semacam laporan akhir, terutama yang kecil, di mana Anda dapat melihat nama file, mengirim saluran, alamat eksternal.
   
   
   
3. Kamus Anda dapat mengatur notifikasi ketika menggunakan kata-kata kotor, dan dengan demikian memonitor wabah negatif dan mengambil tindakan. Terutama jika pengguna bekerja dengan pelanggan - tidak dapat diterima bahwa mereka menggunakan kata-kata kotor dalam komunikasi.
   
   
   
4. Kartu pribadi karyawan. Kartu pribadi berisi semua informasi untuk pengguna tertentu. Misalnya, jenis komputer apa yang berfungsi, situs teratas, aplikasi teratas yang diluncurkannya, permintaan pencarian, file yang dicegat, tangkapan layar terbaru. Anda dapat melacak grafik komunikasi - komunikasi dengan karyawan lain dalam organisasi: dengan siapa ia berkomunikasi lebih sering, melalui saluran komunikasi mana. Ini adalah semacam dokumen, masalah pribadi yang darinya Anda dapat memperoleh informasi umum tentang karyawan tersebut. Kartu tersebut dapat dibuat tidak hanya untuk orang, tetapi juga untuk file, komputer. Kartu pegawai bagus untuk menyelidiki insiden. Sebagai informasi latar belakang tentang pengguna.
   
   
   
5. Detektor anomali perilaku pengguna digunakan untuk mendeteksi kebocoran. Perubahan tajam dalam perilaku karyawan adalah kesempatan untuk memperhatikan. Detektor StaffCop Enterprise dikonfigurasi secara default untuk melebihi rata-rata kejadian 10 kali. Kasus yang paling populer adalah peningkatan operasi penyalinan. Misalnya, ada kasus memperbaiki menyalin sejumlah besar dokumen ke drive USB. Selain itu, terungkap bahwa informasi disalin dari segmen jaringan tertutup, yang diperlukan untuk bekerja dengan gambar yang ditandai "Rahasia". Selanjutnya, langkah-langkah perlindungan informasi fisik dan layanan keamanan mulai berlaku. Seorang karyawan ditahan untuk penyelidikan lebih lanjut. Detektor anomali secara signifikan akan mengurangi waktu untuk mengidentifikasi insiden yang sulit atau tidak mungkin untuk mengkonfigurasi filter otomatis.
   
   
   

Penutupan lubang

Tidak selalu tindakan perlindungan pasif adalah pengganti yang murah untuk peralatan pelindung aktif. Dalam kasus kami, Staffcop adalah sarana perlindungan aktif dan memungkinkan Anda untuk mengontrol dan menutup beberapa saluran kebocoran informasi.

1. Kami memblokir drive USB pribadi dan CD. Suatu organisasi dapat melarang penggunaan media pribadi yang dapat dilepas. Apa yang disebut "daftar putih" perangkat yang diizinkan diperkenalkan, dan semua media lain yang tidak termasuk di dalamnya akan diblokir.
   
   
   
2. Kami memblokir kunjungan ke situs "tidak produktif" atau hanya mengizinkan yang "produktif". Anda dapat menetapkan aturan untuk memblokir situs di. Aturan pemblokiran berfungsi pada substring - tidak perlu menentukan alamat dan domain yang tepat. Anda dapat melakukannya tanpa produk yang digunakan untuk memblokir situs.
3. Kami memblokir peluncuran aplikasi. Anda dapat membuat daftar aplikasi yang dapat diblokir, atau sebaliknya, hanya menggunakan yang diizinkan. Saat membuat lingkungan perangkat lunak tertutup, Anda harus sangat berhati-hati tentang daftar aplikasi yang diizinkan. Jika terjadi kesalahan, login ke sistem dapat diblokir.
4. Siapkan lansiran untuk tindakan jahat. Untuk peristiwa apa pun yang kami anggap insiden, Anda dapat membuat filter dan mengonfigurasi lansiran. Daftar peristiwa semacam itu ditentukan secara independen oleh pelanggan pada tahap pengujian. Misalnya, menyalin ke USB flash drive dianggap berbahaya jika karena alasan tertentu tidak mungkin membuat daftar putih. Peristiwa semacam itu dicatat, laporan dikirim dengan frekuensi yang diberikan, misalnya, setiap hari atau seminggu sekali. Anda dapat mengatur peringatan langsung ketika suatu peristiwa tertentu terjadi.

Investigasi insiden

Saat menyelidiki insiden, basis bukti sangat penting. Staffcop memungkinkan Anda untuk menyimpan riwayat semua peristiwa yang terjadi oleh pengguna selama pemantauan.

1. Suatu insiden atau bukan insiden? Perlu untuk melihat lebih detail. Ada hubungan peristiwa dalam sistem dan pembangunan laporan multi-dimensi, teknik Drill-down. Semua acara saling berhubungan, misalnya, intersepsi formulir web dikaitkan dengan situs yang dikunjungi, ketika seseorang memasukkan nama pengguna dan kata sandi ke dalam formulir web saat memasuki situs web, informasi ini dapat disadap. Jika intersepsi formulir ini diaktifkan, maka kita tidak hanya akan melihat apa yang ada di formulir ini, tetapi juga situs tempat formulir dimasukkan. “Penelusuran” adalah sebuah kegagalan, yaitu, Anda dapat menelusuri informasi acara dan melihat acara terkait.
   
   StaffCop menggunakan teknologi OLAP (kubus multidimensi). Berkat penggunaan mode hybrid dengan dua database, pengguna mendapatkan hasil kinerja yang sangat baik. Laporan, yang dihasilkan dalam sistem lain selama beberapa jam, StaffCop Enterprise menghasilkan dalam beberapa (puluhan) detik. Dari laporan tersebut, Anda dapat mengklarifikasi informasi yang terkait dengan peristiwa tertentu.
2. Rekaman mikrofon, rekaman video desktop, dan tangkapan layar digunakan untuk memahami konteks acara. Misalnya, filter tertentu berfungsi, suatu peristiwa terjadi, tetapi konteksnya tidak dapat dipahami. Rekaman mikrofon dan perekaman desktop adalah dua modul yang dinonaktifkan secara default. Suara direkam dalam bagian pendek 10 menit (Anda dapat menempatkan lebih atau kurang), sementara diam tidak direkam. Anda juga dapat merekam video. Setiap acara disimpan dengan cap waktu. Jika modul perekaman video desktop diaktifkan, maka semua yang terjadi pada desktop direkam. Harus dipahami bahwa menyimpan informasi dalam jumlah besar itu mahal. Fungsi ini dapat digunakan secara langsung, misalnya, jika ada karyawan yang dicurigai, Anda dapat menaruh modul semacam itu padanya dan memonitor semua yang terjadi. Tangkapan layar digunakan ketika kontrol khusus situs dan program diperlukan. Dengan menggunakan modul-modul ini, setiap peristiwa dapat dirinci dalam beberapa bagian. Pengaturan yang tipis akan memungkinkan untuk memilih hanya modul-modul untuk investigasi insiden yang akan memungkinkan, langkah demi langkah, untuk mengidentifikasi tidak hanya fakta kebocoran informasi dan penyebabnya, tetapi juga, mungkin, orang tambahan dan peristiwa yang terlibat.
   
   
   
3. Pelaporan cepat. Produk ini menggunakan database hybrid PostgreSQL + ClickHouse, berkat pembuatan laporannya yang sangat cepat. Kerugian ClickHouse adalah persyaratan sumber daya. Misalnya, server harus memiliki setidaknya 16 GB RAM, 8 atau 16 core, sehingga solusi ini hanya digunakan untuk sistem dengan sejumlah besar agen. Ada banyak acara dalam sistem seperti itu, dan untuk memuatnya dengan cepat, Anda perlu ClickHouse. Jika PostgreSQL digunakan, masalah muncul: jika ada beberapa puluh juta peristiwa dalam database, maka harus ada penundaan dengan mengunggah ke konsol web hingga 1 menit, tetapi jika Anda terus-menerus menyegarkan halaman, maka semua peristiwa baru akan jatuh ke dalam lensa peristiwa.
   
   Mode hybrid kadang-kadang digunakan ketika dua database berjalan pada saat yang sama. Perlu dicatat bahwa StaffCop Enterprise tidak menggunakan teknologi cloud, kecuali untuk ABBYY - layanan cloud untuk pengenalan teks.

Saya percaya bahwa StaffCop adalah alat utama di tangan seorang penjaga keamanan, yang akan menghemat waktu untuk layanan keamanan dan uang untuk manajemen perusahaan.

Persyaratan sumber daya dapat ditemukan di sini .
Detail Instalasi .
Dan jika Anda ingin mengarahkan sistem dalam mode uji coba dan lihat sendiri apakah StaffCop cocok untuk Anda, Anda dapat mengirim aplikasi di sini , atau melalui mitra kami .


Roman Frank,
Staf Dukungan Teknis StaffCop