Investigação de incidentes de segurança com o StaffCop Enterprise 4.4

Olá Meu nome é Roman Frank, sou especialista na área de segurança da informação. Até recentemente, eu trabalhava para uma grande empresa no departamento de segurança (proteção técnica). Eu tive dois problemas: não havia meios técnicos modernos modernos de proteção e dinheiro para segurança no orçamento. Mas eu tinha tempo livre para estudar soluções de software, sobre uma delas - StaffCop Enterprise -, quero lhe contar em detalhes hoje.

A experiência me mostrou que 90% do tempo gasto na identificação e investigação de vazamentos de informações por conta própria é resolvido com o programa em alguns minutos. Fui tão profundamente nos detalhes técnicos da solução que acabei saindo da empresa e agora trabalho na StaffCop como especialista em suporte técnico.

Vamos ao StaffCop Enterprise

StaffCop Enterprise - um sistema para monitorar as ações dos funcionários com funcionalidade DLP.

O programa é capaz de:

• garantir a segurança das informações na empresa (detecta vazamentos de informações e investiga incidentes);
• monitorar as ações dos funcionários (acompanhar o horário de trabalho, avaliar a produtividade dos funcionários, realizar análises comportamentais, monitorar processos de negócios);
• realizar administração remota (administração de estações de trabalho, inventário de computadores).

Na minha opinião, uma vantagem tangível é a falta de necessidade de desligar a rede local com a incapacidade de trabalhar via Internet. Como agora é difícil falar sobre o perímetro da segurança da informação (qualquer empresa possui filiais ou funcionários remotos como freelancers), as soluções de gateway não são tão flexíveis e geralmente exigem um agente na estação de trabalho do usuário.

Com essa tarefa de controle total das estações de trabalho fora da rede local, o StaffCop lida facilmente. A pilha de tecnologias usadas no desenvolvimento permite que o sistema seja menos exigente em recursos e se integre facilmente a outros sistemas, e os desenvolvedores, se necessário, refinam a funcionalidade. Além disso, em um futuro próximo, será lançado um kit de distribuição com um certificado FSTEC, adequado para a proteção de objetos em que é necessária uma classe de proteção de 4 ou menos. Tudo isso permite que o sistema seja rentável, confiável e útil para diferentes especialistas.

Vamos começar com a coisa mais importante. Como o StaffCop pode facilitar a vida de um guarda de segurança? Analisaremos as principais dores de cabeça de uma pessoa cuja tarefa é impedir a explosão de barris de pó. O barril de pólvora pode ser a informação de acesso limitado, que ficou conhecida fora da empresa. Assim, a principal preocupação é não sair. E, se for, então como encontrar o atacante e punir.

Controle de Informações Confidenciais

O Staffcop controla todos os principais canais de transferência de informações dos PCs dos usuários para o Windows. O agente Linux se esforça na mesma direção, mas até agora há uma necessidade de monitoramento de rede.

1. Controle de arquivo / controle de arquivo especial. Se você determinou quais arquivos deseja proteger contra olhares indiscretos, as configurações permitem interceptar quaisquer operações com esses arquivos, incluindo cópia, impressão, salvamento em outro local etc. Se alguém fizer alterações nesses arquivos ou em seus arquivos. nomes, uma cópia de sombra do documento será criada. Vale ressaltar que, se a organização tiver uma lista de informações confidenciais, os funcionários deverão assinar um acordo sobre a não divulgação dessas informações e, mais importante, esse contrato deve esclarecer que os computadores pessoais são de propriedade da empresa e os dados processados ​​por esses PCs, podem ser copiados, armazenados e processados ​​pelo pessoal de segurança.
2. Controle de mídia removível. Uma unidade flash é a maneira mais popular de mesclar informações. O Staffcop permite configurar o monitoramento de dispositivos USB. Isso significa que, assim que alguém usa uma unidade flash USB, o segurança exibe o fato de conectar um dispositivo removível no fluxo de eventos. Além disso, todos os arquivos enviados para mídia removível serão interceptados. Sempre será possível restaurar a imagem completa de exatamente como o banco de dados ou outras informações confidenciais foram copiadas. Se houver uma necessidade, mas ela sempre existir em grandes organizações, você poderá proibir todos os dispositivos, exceto os autorizados, daqueles da lista branca. Essas configurações permitem trabalhar com bloqueios nos PCs dos usuários e nos próprios usuários. Além disso, há um controle de tipo de dispositivo, por exemplo, você pode desbloquear discos rígidos removíveis e bloquear mídia USB.
3. Controle de tráfego de rede / controle de site especial . O StaffCop controla todas as atividades do usuário na rede. Para controlar o tráfego de rede, é usado um método de substituição de certificado; graças a essa substituição, todo o tráfego que passa pela conexão https é interceptado. Por padrão, ele é criptografado com o protocolo TLS, mas, devido à substituição, pode ser descriptografado, interceptar correspondência e, assim, fechar um dos canais mais importantes de vazamento de informações - a Internet.
4. Interceptação de correio Você pode interceptar o corpo da carta, a lista de correspondência, incluindo a cópia e a cópia oculta, bem como todos os anexos. O controle de email é implementado em várias direções: controle de email na web, controle de email, que usa os protocolos POP3, POP3S, SMTP, SMTPS, IMAP, IMAPS, MAPI ... Se você não tem sua opção, informe-nos!
5. Controlar mensageiros. O principal recurso da interceptação, que permite que você não se apegue às fontes de mensagens instantâneas, é a ligação de todos os eventos entre si. Assim, especificando o aplicativo WhatsApp, receberemos todas as capturas de tela desse aplicativo e a entrada do teclado. Você pode filtrar eventos relacionados por tempo. Da mesma forma com os mensageiros da web. Também recomendo configurar o controle especial dos sites de mensagens, em que as capturas de tela são feitas a cada poucos segundos se o usuário estiver em um site assim.
6. Controle de lançamento e instalação de aplicativos / controle de programa especial. Você sempre saberá quais programas os funcionários usam. Você pode filtrar aplicativos que não são válidos em sua organização e bloqueá-los. O StaffCop possibilita rastrear usuários que instalam e executam software ilegítimo ou, por exemplo, trabalham no AutoCAD ou em outro software corporativo para fins pessoais, executando pedidos de clientes terceiros. Assim como nos sites, você pode configurar o controle aprimorado seletivo: se um funcionário iniciar um aplicativo específico, as capturas de tela serão feitas com maior frequência, por exemplo, a cada 2 segundos.
7. Controle da impressora Não será mais um segredo para você para onde vai o jornal. Os eventos de envio de documentos para impressão são registrados, com a cópia de sombra ativada, uma cópia de sombra dos documentos impressos será feita.

Procure possíveis vazamentos

As medidas organizacionais são boas exatamente desde que sejam implementadas; em outros casos, são necessárias medidas técnicas de proteção.

1. Seus colegas usam serviços pessoais de correio e nuvem para enviar arquivos de trabalho? Há um filtro especial que permite rastrear todos os emails que não são enviados de um domínio corporativo. Você pode ver que uma pessoa usa correio pessoal, intercepta uma mensagem, percebe vazamentos. Implementada interceptação de documentos enviados para a nuvem. Se um funcionário enviar um documento para lá, uma cópia de sombra será salva.
   
   
   
   Você pode filtrar todos os usuários que enviaram emails que não são do correio corporativo. Isso é especialmente importante porque, assim que o documento fica online, você deixa de controlá-lo. É importante lembrar que nem todos os drenos de informações são cometidos por intenções maliciosas. Erros comuns do usuário podem custar muito dinheiro para a organização.
2. Você sabe com quem seus funcionários se comunicam durante o horário de trabalho? Você tem o direito de saber disso se os avisar. Há um gráfico especial que permite ver o relacionamento entre usuários em qualquer canal de comunicação. O caso mais popular são as informações confidenciais. Os nomes dos arquivos são conhecidos. Graças a este gráfico, você sempre pode acompanhar quem enviou esses documentos para quais endereços. Depois que o documento sai da organização, ele se torna claramente visível. Esse relatório é adequado para um gerente que deseja ver o resultado de um guarda de segurança e que não deseja entender todos os filtros, informações e fluxos de dados. Ele só precisa de algum tipo de relatório final, de preferência um pequeno, onde você pode ver o nome do arquivo, enviar canal, endereço externo.
   
   
   
3. Dicionários Você pode configurar notificações ao usar palavrões e, assim, monitorar surtos de negatividade e agir. Especialmente se os usuários trabalham com clientes - é inaceitável que eles usem palavrões na comunicação.
   
   
   
4. Cartões pessoais de funcionários. Um cartão pessoal contém todas as informações para um usuário específico. Por exemplo, que tipo de computador funciona, principais sites, principais aplicativos que ele lança, consultas de pesquisa, arquivos interceptados, capturas de tela recentes. Você pode acompanhar o gráfico das comunicações - comunicação com outros funcionários da organização: com quem se comunica com mais frequência, por meio dos quais canais de comunicação. Esse é um tipo de dossiê, um assunto pessoal do qual você pode obter informações gerais sobre o funcionário. Esses cartões podem ser criados não apenas para pessoas, mas também para arquivos e computadores. Os cartões de funcionários são bons para investigar incidentes. Como informações básicas sobre o usuário.
   
   
   
5. O detector de anomalia de comportamento do usuário é usado para detectar vazamentos. Uma mudança acentuada no comportamento dos funcionários é uma ocasião para prestar atenção. O detector StaffCop Enterprise está configurado por padrão para exceder a ocorrência média de um evento em 10 vezes. O caso mais popular é o aumento das operações de cópia. Por exemplo, houve um caso de corrigir a cópia de um grande número de documentos em uma unidade USB. Além disso, foi revelado que as informações foram copiadas de um segmento de rede fechado, necessário para trabalhar com desenhos marcados como "Confidencial". Além disso, medidas de proteção de informações físicas e um serviço de segurança entram em vigor. Um funcionário está sendo detido para investigação adicional. Um detector de anomalia reduzirá significativamente o tempo para identificar incidentes para os quais é difícil ou impossível configurar um filtro automático.
   
   
   

Fechamento do furo

Nem sempre as medidas de proteção passivas são um substituto barato para equipamentos de proteção ativos. No nosso caso, o Staffcop é um meio ativo de proteção e permite controlar e fechar alguns canais de vazamento de informações.

1. Bloqueamos unidades USB pessoais e CDs. Uma organização pode proibir o uso de mídia removível pessoal. Uma chamada "lista branca" de dispositivos permitidos é introduzida e todas as outras mídias que não estão incluídas nela serão bloqueadas.
   
   
   
2. Bloqueamos visitas a sites "improdutivos" ou permitimos apenas sites "produtivos". Você pode definir as regras para bloquear sites em. As regras de bloqueio funcionam em uma substring - não é necessário especificar endereços e domínios exatos. Você pode ficar sem produtos usados ​​para bloquear sites.
3. Bloqueamos o lançamento de aplicativos. Você pode fazer uma lista de aplicativos que podem ser bloqueados ou vice-versa, use apenas os permitidos. Ao criar um ambiente de software fechado, você precisa ter muito cuidado com a lista de aplicativos permitidos. Em caso de erro, o login no sistema pode estar bloqueado.
4. Configure alertas para ações maliciosas. Para qualquer evento que considerarmos um incidente, você pode criar um filtro e configurar um alerta. A lista desses eventos é determinada de forma independente pelo cliente no estágio de teste. Por exemplo, copiar para uma unidade flash USB é considerado malicioso se, por algum motivo, não for possível configurar uma lista de permissões. Tais eventos são registrados, o relatório é enviado com uma determinada frequência, por exemplo, todos os dias ou uma vez por semana. Você pode configurar um alerta imediato quando ocorrer um evento específico.

Investigação de incidentes

Ao investigar incidentes, a base de evidências é muito importante. O Staffcop permite armazenar um histórico de todos os eventos que ocorreram pelo usuário durante o monitoramento.

1. Um incidente ou não um incidente? É necessário olhar com mais detalhes. Há uma conexão de eventos no sistema e a construção de relatórios multidimensionais, a técnica Drill-down. Todos os eventos são interconectados, por exemplo, a interceptação de formulários da web está associada a sites de visitas, quando uma pessoa digita um login e senha em um formulário da web ao entrar em um site, essas informações podem ser interceptadas. Se a interceptação deste formulário estiver ativada, veremos não apenas o que havia nesses formulários, mas também o site no qual o formulário foi inserido. “Detalhamento” é uma falha, ou seja, você pode detalhar as informações do evento e ver os eventos relacionados.
   
   O StaffCop usa a tecnologia OLAP (cubo multidimensional). Graças ao uso do modo híbrido com dois bancos de dados, o usuário obtém excelentes resultados de desempenho. Relatórios, que são gerados em outros sistemas por várias horas, o StaffCop Enterprise gera em alguns (dezenas) segundos. No relatório, você pode esclarecer qualquer informação relacionada a um evento específico.
2. Gravação de microfone, gravação de vídeo na área de trabalho e capturas de tela são usadas para entender o contexto dos eventos. Por exemplo, um determinado filtro funcionou, um evento ocorreu, mas seu contexto é incompreensível. A gravação de microfone e a área de trabalho são dois módulos que estão desativados por padrão. O som é gravado em seções curtas de 10 minutos (você pode colocar mais ou menos), enquanto o silêncio não é gravado. Você também pode gravar vídeos. Cada evento é salvo com um carimbo de hora. Se o módulo de gravação de vídeo da área de trabalho estiver ativado, tudo o que acontecer na área de trabalho será gravado. Deve-se entender que o armazenamento de grandes quantidades de informações é caro. Essa função pode ser usada em sentido horário, por exemplo, se um determinado funcionário estiver sob suspeita, você poderá colocar esse módulo nele e monitorar tudo o que acontece. As capturas de tela são usadas quando é necessário controle especial de sites e programas. Usando esses módulos, qualquer evento pode ser detalhado em partes. Configurações simples permitirão selecionar apenas os módulos para investigação de incidentes que permitirão, passo a passo, identificar não apenas o fato de vazamento de informações e causas, mas também, possivelmente, outras pessoas e eventos envolvidos.
   
   
   
3. Relatórios rápidos. O produto usa um banco de dados híbrido PostgreSQL + ClickHouse, graças ao qual a criação de relatórios é muito rápida. A desvantagem do ClickHouse são os requisitos de recursos. Por exemplo, um servidor deve ter pelo menos 16 GB de RAM, 8 ou 16 núcleos; portanto, esta solução é usada apenas para sistemas com um grande número de agentes. Existem muitos eventos nesses sistemas e, para carregá-los rapidamente, você precisa do ClickHouse. Se o PostgreSQL for usado, o problema surge: se houver várias dezenas de milhões de eventos no banco de dados, haverá um atraso no upload para o console da web por até 1 minuto, mas se você atualizar a página constantemente, todos os novos eventos cairão na lente de evento.
   
   Às vezes, o modo híbrido é usado quando dois bancos de dados estão em execução ao mesmo tempo. Deve-se notar que o StaffCop Enterprise não usa a tecnologia em nuvem, exceto o ABBYY - um serviço em nuvem para reconhecimento de texto.

Acredito que o StaffCop seja a principal ferramenta nas mãos de um guarda de segurança, o que economizará tempo para o serviço de segurança e dinheiro para a administração da empresa.

Os requisitos de recursos podem ser encontrados aqui .
Detalhes da instalação .
E se você deseja conduzir o sistema no modo de teste e verificar se o StaffCop é adequado para você, envie uma inscrição aqui ou através do nosso parceiro .


Roman Frank,
StaffCop Specialist Suporte Técnico