Olá pessoal! Meu nome é Mikhail e trabalho com dados em sistemas de prevenção de vazamento de informações em sala de aula (DLP) e sistemas de análise comportamental. Por muitos anos de trabalho no campo da segurança da informação, tive a sorte de me familiarizar com muitos sistemas. Um dos conhecidos recentes é o StaffCop Enterprise v.4.4.
Nesta revisão, compartilharei minhas impressões sobre o uso do sistema StaffCop no trabalho.
Interface
Para esses produtos, uma interface inteligente e amigável é muito importante, mas o analista precisa trabalhar com ela todos os dias.
Captura de tela da área de trabalho:
Gostei da maneira como tudo está estruturado, mas a disposição dos painéis a princípio causa um leve estupor. No entanto, mais tarde, você se acostuma a essa implementação e começa a executar tarefas rapidamente.
E pela exibição bem-sucedida de informações, vale a pena elogiar o StaffCop! Ao analisar eventos, estão disponíveis medidas, como uma tabela, um gráfico de linhas, um gráfico de pizza, um gráfico e uma árvore. Em tarefas diferentes, essas representações de dados podem ser muito úteis para encontrar uma solução.
Para visualizar eventos, você pode usar a tabela, lista, figuras, correspondência, formar conversas sobre tópicos e um diagrama de calor que permite examinar a situação como um todo e detectar rapidamente atividades suspeitas.
A única coisa que incomoda até agora é a falta de "gerenciamento de casos", ou seja, trabalho completo com incidentes.
As ferramentas
Agora, sobre as tarefas que precisavam ser resolvidas e como fazê-lo com o Staffop.
Nota importante: até agora não tive experiência com o Staffcop em grandes volumes, por isso não posso dizer nada sobre a velocidade da pesquisa em arquivos profundos.1. O que o funcionário está fazendo no local de trabalho?Pressionamos o botão ONE no total e carregamos o cartão de medição (neste caso, o funcionário):
Possui muitas coisas úteis: dados do AD, atividade recente, atividade em sites e aplicativos, informações em quais PCs o usuário efetuou login, gráficos de contatos e correspondência, consultas de pesquisa e rastreamento de tempo.
Além disso, o sistema tem a capacidade de editar este cartão, ou seja, Você pode adicionar / remover vários módulos de informações. Também existem cartões de medição para muitas outras entidades: por exemplo, para um arquivo, site, dispositivo etc.
Porém, existem algumas desvantagens: ao tentar descarregar um cartão para envio, ele deve ser enviado para impressão e salvo no formato PDF. Inconvenientemente, também há problemas com o dimensionamento: em alguns casos, fontes muito pequenas são usadas.
2. Monitoramento de funcionários em tempo realTrata-se de conectar um funcionário específico à área de trabalho e monitorar suas ações. Sim, sim, não se surpreenda, essas tarefas não são incomuns.
Existe um mecanismo desse tipo, e ele realmente funciona, e na versão atual foi introduzido o chamado “quadrator”, ou seja, a exibição simultânea de vários desktops.
Mas, como sempre, quero mais. Por exemplo, se um funcionário bloqueou a área de trabalho e entrou em negócios, você ainda a verá. Observe que o próprio funcionário não está disponível apenas parando a hora no relógio.
A capacidade de capturar o controle verificado para fins de teste. Funciona bem, mas na prática ainda não foi útil.
3. Detector de anomalias e tarefas de rastreamento de arquivosPercebo imediatamente que nem todos esses sistemas têm funcionalidade semelhante, por isso vou falar mais sobre essas ferramentas.Trecho sobre o detector de anomalias da base de conhecimento do fornecedor:
Um novo tipo de relatório no qual “anomalias” são expressas em eventos interceptados nas estações de trabalho do usuário.
Uma anomalia é o excesso do número de eventos de um determinado tipo por hora, se for 10 ou mais vezes o valor padrão calculado na última semana do sistema.
O limite do sistema para anomalias pode ser alterado. Esse limite é definido na forma de uma figura do excesso do número de vezes dos valores padronizados de eventos coletados durante um determinado período de tempo.Parece simples e claro, mas como usar as informações é com você.
Separadamente sobre o mapa de distribuição.
Para procurar a menção de um arquivo, é necessário, como no caso de um funcionário, abrir o cartão de medição de arquivos. Ele contém informações sobre quem, onde, quando e como trabalhou com ele. Nesse caso, você pode criar rapidamente um diagrama visual do movimento da informação.
Para que é isso? Para resolver um problema padrão: encontre quem trabalhou com ... / vazou um relatório de vendas.
4. Relatórios de desempenho dos funcionáriosEssa é uma das ferramentas importantes para produtos dessa classe que desaparecem do DLP em sua forma mais pura. O StaffCop tem muitas opções diferentes de relatório e fornece informações bastante realistas.
Este tópico provavelmente está próximo daqueles que tentaram relatar a atividade do usuário, por exemplo, usando sistemas de proxy da web. Normalmente, um usuário tem milhares de downloads de banners abertos no site e é quase impossível calcular o quanto ele realmente "navegou" na Internet.
Além disso, as solicitações da gerência sobre o que este ou aquele funcionário está fazendo são recebidas aproximadamente tanto quanto as tarefas de investigação de vazamentos de informações. No caso do StaffCop, leva apenas um minuto para escrever um relatório e, com outros sistemas DLP que não possuem ferramentas semelhantes, você pode abandonar o dia inteiro para concluir essa tarefa.
Conclusão
O StaffCop está crescendo rapidamente. A ênfase principal está no controle do local de trabalho do funcionário. O arsenal possui recursos como controle de instalação / desinstalação de software, um registro desse software e hardware, que está longe de estar disponível em todos os sistemas no mercado de segurança da informação.
Agora, o StaffCop é um sistema de gerenciamento de tempo da equipe com várias ferramentas convenientes e alguns recursos de DLP. O que será amanhã é uma questão em aberto.
Sim, existem desvantagens: em algum lugar, algo não é exibido ou interceptado. O fornecedor está tentando corrigir rapidamente esses erros.
Em geral, o StaffCop é um produto valioso para resolver tarefas atípicas de segurança da informação.
Mikhail Godzhaev, Chefe de Análise de Eventos, Unidade DLP, Infosecurity a Softline Company.