Halo semuanya! Nama saya Mikhail, dan saya bekerja dengan data dalam sistem pencegahan kebocoran informasi kelas (DLP) dan sistem analisis perilaku. Selama bertahun-tahun bekerja di bidang keamanan informasi, saya beruntung berkenalan dengan banyak sistem. Salah satu kenalan baru-baru ini adalah StaffCop Enterprise v.4.4.
Dalam ulasan ini, saya akan membagikan kesan saya menggunakan sistem StaffCop dalam pekerjaan.
Antarmuka
Untuk produk seperti itu, antarmuka yang cerdas dan ramah pengguna sangat penting, namun analis harus bekerja dengannya setiap hari.
Tangkapan layar desktop:
Saya menyukai cara semuanya terstruktur, tetapi pengaturan panel pada awalnya menyebabkan sedikit pingsan. Namun, nanti Anda terbiasa dengan implementasi seperti itu dan dengan cepat mulai melakukan tugas.
Dan untuk tampilan informasi yang sukses, StaffCop patut dipuji! Saat menganalisis peristiwa, pengukuran seperti tabel, grafik garis, diagram lingkaran, grafik, dan pohon tersedia. Dalam tugas yang berbeda, representasi data ini dapat sangat membantu dalam menemukan solusi.
Untuk melihat acara, Anda dapat menggunakan tabel, daftar, gambar, korespondensi, membentuk percakapan tentang topik, dan diagram panas yang memungkinkan Anda untuk melihat situasi secara keseluruhan dan dengan cepat mendeteksi aktivitas yang mencurigakan.
Satu-satunya hal yang mengecewakan sejauh ini adalah kurangnya “manajemen kasus,” yaitu, pekerjaan penuh dengan insiden.
Alat-alatnya
Sekarang tentang tugas-tugas yang harus diselesaikan dan bagaimana melakukannya dengan Staffop.
Catatan penting: sejauh ini saya belum punya pengalaman menggunakan Staffcop pada volume besar, jadi saya tidak bisa mengatakan apa-apa tentang kecepatan pencarian di arsip yang dalam.1. Apa yang dilakukan karyawan di tempat kerja?Kami menekan tombol ONE secara total dan memuat kartu pengukuran (dalam hal ini, karyawan):
Ini memiliki banyak hal berguna: data dari AD, aktivitas terbaru, aktivitas di situs dan aplikasi, informasi di mana PC pengguna telah login, kontak dan grafik korespondensi, permintaan pencarian dan pelacakan waktu.
Selain itu, sistem memiliki kemampuan untuk mengedit kartu ini, mis. Anda dapat menambah / menghapus berbagai modul informasi. Ada juga kartu pengukuran untuk banyak entitas lain: misalnya, untuk file, situs, perangkat, dll.
Tetapi ada beberapa kekurangan, ketika mencoba mengeluarkan kartu untuk dikirim, kartu itu harus dikirim untuk dicetak dan disimpan dalam format PDF. Tidak nyaman, ada juga masalah dengan penskalaan: dalam beberapa kasus, font terlalu kecil digunakan.
2. Pemantauan karyawan waktu nyataIni adalah tentang menghubungkan karyawan tertentu ke desktop dan memonitor tindakannya. Ya, ya, jangan kaget, tugas seperti itu tidak biasa.
Ada mekanisme seperti itu, dan itu benar-benar berfungsi, dan dalam versi saat ini, apa yang disebut "quadrator" diperkenalkan, yaitu, tampilan simultan dari beberapa desktop.
Tetapi, seperti biasa, saya menginginkan lebih. Misalnya, jika seorang karyawan telah mengunci desktop dan menjalankan bisnis, Anda masih akan melihat desktop-nya. Perhatikan bahwa karyawan itu sendiri tidak tersedia hanya dengan menghentikan waktu pada jam.
Kemampuan untuk menangkap kontrol diperiksa untuk tujuan pengujian. Ini bekerja dengan baik, tetapi dalam praktiknya belum berguna.
3. Tugas pendeteksi anomali dan pelacakan fileSaya segera mencatat bahwa tidak semua sistem tersebut memiliki fungsi yang sama, jadi saya akan memberi tahu Anda lebih banyak tentang alat ini.Kutipan tentang detektor anomali dari basis pengetahuan vendor:
Jenis laporan baru di mana "anomali" diekspresikan dalam peristiwa yang dicegat di stasiun kerja pengguna.
Anomali adalah kelebihan jumlah peristiwa dari jenis tertentu per jam, jika itu 10 atau lebih dari nilai standar yang dihitung selama minggu terakhir sistem.
Ambang batas sistem untuk anomali dapat diubah. Ambang ini diatur dalam bentuk angka kelebihan jumlah kali dari nilai standar acara yang dikumpulkan selama periode waktu tertentu.Itu terlihat sederhana dan jelas, tetapi bagaimana menggunakan informasi itu terserah Anda.
Secara terpisah tentang peta distribusi.
Untuk mencari penyebutan file, Anda perlu, seperti dalam kasus seorang karyawan, buka kartu pengukuran file. Ini berisi informasi tentang siapa, di mana, kapan dan bagaimana bekerja dengannya. Dalam hal ini, Anda dapat dengan cepat membangun diagram visual pergerakan informasi.
Untuk apa ini? Untuk memecahkan masalah standar: temukan saya yang bekerja dengan ... / bocor laporan penjualan.
4. Laporan Kinerja KaryawanIni adalah salah satu alat penting untuk produk kelas ini yang menjauh dari DLP dalam bentuk paling murni. StaffCop memiliki banyak opsi laporan yang berbeda, dan mereka memberikan informasi yang cukup realistis.
Topik ini mungkin dekat dengan mereka yang mencoba melaporkan aktivitas pengguna, misalnya, menggunakan sistem proxy web. Biasanya, pengguna memiliki ribuan unduhan untuk spanduk yang terbuka di situs, dan hampir mustahil untuk menghitung seberapa besar ia “berselancar” di Internet.
Selain itu, permintaan dari manajemen tentang apa yang dilakukan karyawan ini atau yang diterima kira-kira sama banyaknya dengan tugas menyelidiki kebocoran informasi. Dalam hal StaffCop, hanya perlu satu menit untuk menulis laporan seperti itu, dan dengan sistem DLP lain yang tidak memiliki alat serupa, Anda dapat parit sepanjang hari untuk menyelesaikan tugas seperti itu.
Kesimpulan
StaffCop berkembang pesat. Penekanan utama adalah pada pengendalian tempat kerja karyawan. Gudang senjata memiliki fitur-fitur seperti kontrol instalasi / penghapusan perangkat lunak, sebuah registri perangkat lunak dan perangkat keras ini, yang jauh dari tersedia pada semua sistem di pasar keamanan informasi.
Sekarang StaffCop adalah sistem manajemen waktu staf dengan sejumlah alat yang mudah digunakan dan beberapa fitur DLP. Apa yang akan terjadi besok adalah pertanyaan terbuka.
Ya, ada kekurangannya: di suatu tempat, sesuatu tidak ditampilkan atau dicegat. Vendor berusaha memperbaiki bug tersebut dengan cepat.
Secara umum, StaffCop adalah produk yang layak untuk menyelesaikan tugas keamanan informasi yang tidak lazim.
Mikhail Godzhaev, Kepala Analisis Acara, Unit DLP, Infosecurity a Softline Company.