Программа стаффкоп что это

Как спрятаться от программы комплексного наблюдения на примере StaffCop

Помимо обычных кейлоггеров, перехватывающих клавиатурный ввод, вы можете столкнуться и с более комплексными решениями, контролирующими вашу активность за компьютером. Если за вами следит ревнивый супруг – едва ли стоит ожидать особо изощрённых методов, если речь не идёт о суровом айтишнике. Другое дело, если речь идёт о контроле персонала на рабочем месте.

Не секрет, что входящий и исходящий трафик в большинстве современных компаний контролируется ИТ-службами и службой безопасности. Но насколько глобально осуществляется такого рода контроль? С помощью программ, подобным StaffCop, возможно очень многое: перехват сообщений электронных мессенджеров и электронных писем, снятие скриншотов рабочего стола, составление подробных отчётов о вашей деятельности за компьютером и многое другое. Иными словами, под контроль попадает абсолютно всё, и в отличие от кейлоггера мониторинг осуществляется в реальном времени.

О StaffCop за 5 минут

Разумеется, применение такого рода наблюдения за персоналом — совершенно оправданно: нас нанимают для работы, а не для общения в соцсетях и занятий посторонними делами в интернете, а корпоративные секреты должны быть гарантированно защищены. Однако в некоторых случаях вам могут понадобиться определённые меры по защите личного пространства. Если вы, устраиваясь на новое место работы, были оповещены об осуществляемом контроле и ознакомлены с правилами внутреннего распорядка, то защита вашей личной информации становится вопросом вашей ответственности и разумности.

Но что делать, если руководство или служба безопасности, не говоря о ваших недоброжелателях в коллективе, пытается наблюдать за вами тайно, вторгаясь таким образом на запретную территорию? Или если программой StaffCop воспользовались для целей шпионажа злоумышленники? В этом случае вам поможет COVERT. Давайте рассмотрим защиту от активного наблюдения на примере уже упоминавшегося выше StaffCop.

Итак, вы пришли на новое место работы, вас ознакомили с правилами внутреннего распорядка компании, и никаких уведомлений о проводящемся наблюдении вы не получали. Либо в какой-то момент вы стали понимать, что конфиденциальная информация (корпоративная или личная) попадает не в те руки.

Прежде всего, нужно локализовать шпиона в системе.

1) Как обнаружить на своём компьютере StaffCop.
Откройте программу COVERT. В правом верхнем углу мы видим сетевой монитор, работающий по умолчанию в режиме демонстрации активных соединений вашего компьютера с сетью. Нажмите на верхнюю рамку монитора с надписью «Приложение». Активируется режим просмотра соединений, которые находятся в ожидании.

Просмотрите все соединения в этом режиме. (Желтый цвет говорит о том, что приложение находятся в режиме ожидания, красный — приложение есть в «Базе угроз»). Если увидите среди них имя процесса sstray.exe (sstray64.exe) или LTVSrv.exe, то можно с уверенностью сказать, что за вами ведется наблюдение с помощью программы активной слежки StaffCop.

Итак, программа-шпион обнаружена, теперь вы знаете наверняка, что за вами наблюдают. Если вы хотите скрыть результаты своих действий, не пряча самих действий – вам достаточно просто зайти в платформу защиты COVERT, нажав на большую кнопку в главном окне, — и этого будет достаточно. Наблюдающий за вами будет видеть, что вы чем-то заняты, но не будет знать, чем именно. Если же вы хотите выйти из-под наблюдения абсолютно – читайте дальше.

2) Как удалить StaffCop.
Нажмите кнопку «Службы системы».

В открывшемся окне вы увидите файлы, которые есть в базе угроз, они будут выделены красным цветом. Нажмите правой кнопкой мыши на строку с именем файла sstray.exe (sstray64.exe) и LTVSrv.exe в контекстном меню выберите пункт «Изменить задачи служб», далее – «Удалить».

После завершения этой операции перейдите в раздел «Драйверный монитор», нажав на кнопку с таким же название в главном окне. Найдите драйвера с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) и ProcObsrv.sys

Кликните на них правой кнопкой мыши и в контекстном меню выберите пункт «Удалить драйвер».

После выполнения всех действий перезагрузите компьютер и проверьте снова окно «Службы системы» (Активные службы) и «Драйверный монитор» (Активные драйвера): пунктов, выделенных красным цветом, не должно быть. Если всё зелёное — вы удалили StaffCop.

3) Временно отключаем агента StaffCop.
Зайдите в платформу защиты COVERT, нажав на большую кнопку в главном окне, после чего перейдите в «Службы системы» и выберите пункт с именем файла службы sstray.exe (sstray64.exe). Нажмите на него правой копкой мыши, и в контекстном меню нажмите пункт «Остановить службу».

После произведённых действий в программе человека, контролирующего ваши действия, ваш компьютер будет выглядеть как выключенный, а вы на своём компьютере сможете делать всё, что угодно, не опасаясь слежки.

Для того, чтобы восстановить мониторинг, нажмите кнопку «Все службы», выберите пункт с именем файла службы sstray.exe (sstray64.exe), кликните на нем правой копкой мыши и в контекстном меню выберите пункт «Изменить задачи служб», и далее – «Пуск».

После запуска службы программа контроля, установленная у босса, снова начнёт получать информацию с вашего компьютера, и в списке отслеживаемых компьютеров ваш компьютер станет активным.

4) Скрываем свои действия от программы StaffCop, не отключая наблюдение за собой.
Откройте программу COVERT и перейдите в окно «Драйверный монитор», нажав на кнопку с таким же название в главном окне. Найдите и удалите драйвера с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) и ProcObsrv.sys как показано в разделе удаления агента. (Это нужно сделать один раз — и потом только проверять их отсутствие).

Зайдите в платформу защиты COVERT, нажав на большую кнопку в главном окне, затем перейдите в «Процессы системы», нажав одноименную кнопку в окне программы. Выберите пункт с именем файла LTVSrv.exe, кликните на нем правой копкой мыши и в контекстном меню выберите пункт «Добавить в базу завершения процессов». Теперь нажмите кнопку «Сохранить» в базе «Завершения процессов».

Имя файла сохранится, и при следующем заходе в это окно процесс будет блокироваться автоматически. Не закрывайте окно «Процессы системы» в течение всего сеанса работы в платформе. Можете спустить окно вниз, нажав на кнопку «Свернуть» в верхней части окна.

Программа COVERT будет блокировать это процесс, и тем самым не даст собирать и передавать информацию с вашего компьютера. Но на компьютере вашего босса будет видно, что вы находитесь в сети и не производите никаких действий, хотя на самом деле вы сможете делать что захотите. Чтобы завершить работу в платформе защиты COVERT и снова стать видимым для вашего начальника, нажмите кнопку «Выход» в главном окне программы. Блокируемый процесс восстановиться автоматически.

Скачайте программу COVERT и бесплатно проверьте — следят ли за вами с помощью StaffCop.

Примеры нахождения и удаления шпионских программ

Источник: covert.ru

Staffcop: взгляд со стороны

Всем привет! Меня зовут Михаил, и я работаю с данными в системах класса предотвращения утечек информации (DLP) и системах поведенческого анализа. За много лет работы в сфере ИБ мне посчастливилось познакомиться со многими системами. Одно из недавних знакомств — StaffCop Enterprise v.4.4.

В этом обзоре я буду делиться впечатлениями от использования в работе системы StaffCop.

Интерфейс

Для подобных продуктов толковый, удобный интерфейс очень важен, все-таки аналитику приходится работать с ним каждый день.

Снимок рабочего стола:

Мне понравилось то, как всё структурировано, но расположение панелей поначалу вызывает лёгкий ступор. Впрочем, позднее привыкаешь к такой реализации и довольно быстро начинаешь выполнять задачи.

А за удачное отображение информации StaffCop стоит похвалить! При анализе событий доступны такие измерения как таблица, линейный график, круговая диаграмма, граф и дерево. В разных задачах эти представления данных могут очень помочь в поиске решения.

Для просмотра событий можно использовать таблицу, список, снимки, переписку, формирующую беседы по темам, и тепловую диаграмму, которая позволяет взглянуть на ситуацию в целом и быстро обнаружить подозрительную активность.

Единственное, что пока огорчает — отсутствие «кейс-менеджмента», то есть полноценной работы с инцидентами.

Инструменты

Теперь о задачах, которые приходилось решать и о том, как это делать с помощью StaffСop.

Важное замечание: пока у меня не было опыта использования Staffcop на больших объемах, поэтому что-то сказать о скорости поиска в глубоких архивах не могу.

1. Чем сотрудник занят на рабочем месте?

Нажимаем всего ОДНУ кнопку и загружаем карточку измерений (в данном случае по сотруднику):

В ней много полезного: данные из AD, последняя активность, активности на сайтах и в приложениях, информация, на каких ПК пользователь авторизовывался, контакты и графы переписки, поисковые запросы и учет рабочего времени.

Причем в системе есть возможность для редактирования этой карточки, т.е. можно добавить/убрать различные модули информации. Есть и карточки измерений по многим другим сущностям: например, по файлу, сайту, устройству и т.д.

Но есть и некоторые недочеты, при попытке выгрузить карточку для отправки, её необходимо отправить на печать и сохранить в формате PDF. Неудобно, к тому же есть проблемы с масштабированием: в некоторых случаях используются слишком мелкие шрифты.

2. Контроль сотрудников в реальном времени

Речь идет о подключении к рабочему столу конкретного сотрудника и контроль за его действиями. Да-да, не удивляйтесь, такие задачи не редкость.

Такой механизм есть, и он реально работает, причем в текущей версии, был внедрен так называемый «квадратор», то есть одновременный показ нескольких рабочих столов.

Но, как всегда, хочется большего. Например, если сотрудник заблокировал рабочий стол и ушел по делам, у вас по-прежнему будет отображаться его рабочий стол. Заметить, что самого сотрудника нет, можно только по остановившемуся времени на часах.

Возможность захвата управления проверил в тестовых целях. Работает хорошо, но на практике пока не пригодилось.

3. Детектор аномалий и задачи по отслеживанию движения файла

Сразу отмечу, что не все подобные системы обладают подобной функциональностью, поэтому расскажу об этих инструментах подробнее.

Выдержка про детектор аномалий из базы знаний вендора:

Новый вид отчёта, в котором выражены «аномалии» в перехваченных событиях на рабочих станциях пользователя.
Аномалией считается превышение количества событий определённого типа за час, если оно в 10 и более раз превышает стандартное значение, вычисленное за прошлую неделю работы системы.
Порог срабатывания системы для аномалий можно менять. Этот порог задаётся в виде цифры превышения количества раз от стандартизированных значений событий, собранных за определённый период времени работы.

Выглядит просто и понятно, а как использовать информацию зависит только от вас.

Отдельно о карте распространения.

Для поиска упоминания какого-то файла нужно, как и в случае с сотрудником, открыть карточку измерения файла. В ней содержится информация, о том кто, где, когда и как работал с ним. При этом можно быстро построить визуальную схему движения информации.

Для чего это нужно? Для решения стандартной задачи: найдите мне кто работал с … /слил отчет по продажам.

4. Отчеты об эффективности работы сотрудников

Это один из важных инструментов для продуктов этого класса, которые уходят от DLP в чистом виде. У StaffCop много различных вариантов отчетов, и они выдают довольно реалистичную информацию.

Эта тема наверняка близка тем, кто пытался делать отчеты об активности пользователя, например, с помощью систем web-proxy. Обычно у пользователя тысячи сработок на баннеры, открытые на сайте, и вычислить, сколько же он реально «сёрфил» в интернете, практически невозможно.

Причем запросов от руководства, чем занят тот или иной сотрудник поступает примерно столько же, сколько и задач по расследованию утечек информации. В случае со StaffCop на составление такого отчета тратится всего лишь минута, а с другими DLP-системами, не обладающими подобными инструментами, можно угробить весь день на выполнение такого задания.

StaffCop развивается стремительно. Основной упор делается на контроль рабочего места сотрудника. В арсенале есть такие фишки, как контроль установки/удаления ПО, реестр этого ПО и железа, имеющиеся далеко не у всех систем, представленных на рынке ИБ.

Сейчас StaffCop — это система контроля рабочего времени сотрудников с рядом удобных инструментов и некоторыми возможностями DLP. Какой она станет завтра — открытый вопрос.
Да, есть недостатки: где-то что-то не отображается или не перехватывается. Вендор такие баги старается оперативно устранять.

В общем, StaffCop — достойный продукт для решения нетиповых задач ИБ.

Михаил Годжаев, руководитель направления анализа событий Блока DLP компании Infosecurity a Softline Company.

• Блог компании Softline
• Информационная безопасность

Источник: habr.com

Staffcop (производитель «Атом Безопасность»)

ООО «Атом Безопасность» — российский разработчик современного программного обеспечения для коммерческих и государственных организаций в сфере информационной безопасности под торговой маркой StaffCop.

Основные задачи, которые решают продукты StaffCop

• повышение уровня внутренней информационной безопасности,
• эффективность отлаженных бизнес-процессов,
• администрирование удалённых рабочих станций.

Специалисты StaffCop предлагают достигнуть этого при помощи непрерывного мониторинга действий и состояния рабочих мест сотрудников в режиме «инкогнито», а также грамотно настроенных автоматических уведомлений в случае опасной или непродуктивной деятельности персонала.

Продукты StaffCop

На данный момент программный комплекс StaffCop представлен 2 продуктами:

• Клиент-серверное решение StaffCop Enterprise,
• StaffCop Sky— «облачное» решение для анализа эффективности действий персонала на основе StaffCop Enterprise.

Функционал этих решений позволяет собирать данные для анализа в разрезе действий каждого сотрудника:

• мониторинг трафика (посещаемые сайты, социальные сети, мессенджеры, передача файлов),
• снимки рабочего места с веб-камеры устройства,
• скриншоты рабочего экрана,
• контроль документов, отправленных на печать,
• перехват ввода данных с клавиатуры,
• блокировка данных с USB-устройств,
• запись звука с микрофона,
• фиксация всех действий с файлами,
• учёт рабочего времени:

Архитектура решений StaffCop

Решения StaffCop разработаны на основе SAAS-архитектуры и состоят из 3 модулей:

1. Модуль агента, который ставится на компьютеры сотрудников для сбора информации.

2. База данных, куда собирается вся информация.

3. Единая веб-консоль для анализа и обработки данных.

Алгоритм работы StaffCop Enterprise

Агент и консоль обработки информации не привязаны только к локальной сети, поэтому они могут работать как из неё, так и из любой точки, где есть интернет — филиал или отдельный компьютер.

Агент собирает информацию с сервера, расположенного в защищённом периметре клиента, в единую базу данных, а далее передаёт её по 443-порту с SSL-шифрованием в веб-консоль.

ИТ-технологии

OLAP (online analytical processing) — аналитическая обработка данных в реальном времени — технология обработки и сегментация массивов данных позволяет выстраивать детальные отчёты в индивидуальном формате под задачи клиента в любом формате: таблицах, графиках и диаграммах.

PostgreSQL — бесплатная система управления базами данных, позволяющая безопасное хранение и оперативное извлечение информации.

Операционная система Linux, которая разворачивается на Ubuntu 16.04 LTS и содержит свободное программное обеспечение.

Получить консультацию по решениям StaffCop

Отправьте описание задачи, в решении которой нуждается ваш бизнес. Мы предложим возможные варианты её решения и оценим стоимость её выполнения.

Источник: www.azone-it.ru

Программное обеспечение

Способы оплаты все способы оплаты

Новости в мире софта Как защитить данные при онлайн-шопинге? При соблюдении простых правил мошенникам будет намного сложнее получить ваши платежные данные. Многофункциональный ПК ЛИРА-САПР для проектирования зданий.

Многофункциональный ПК ЛИРА-САПР поможет спроектировать и рассчитать строительные конструкции в процессе информационного моделирования зданий (BIM). Цели киберпреступников. Все мы постоянно слышим, что надо защищать личные и конфиденциальные данные от кибератак. Что именно может быть интересно злоумышленникам и почему?

StaffCop Enterprise

StaffCop Enterprise — совершенно новый программный продукт, рассчитанный на корпоративный сектор. При создании данного решения учтены все требования и пожелания крупных клиентов. В StaffCop Enterprise используются самые современные технологии и языки программирования, что позволяет легко масштабировать систему на любое количество пользователей и филиалов, а также дорабатывать функционал под конкретные нужды заказчика. StaffCop Enterprise — программное обеспечение для комплексного контроля действий пользователей за ПК. Руководители компаний, сотрудники службы безопасности и администраторы сетей, использующие StaffCop Enterprise, могут отслеживать все подозрительные события, происходящие на компьютерах предприятия, как в реальном времени с помощью онлайн оповещения, так и в ретроспективе, а также создавать агрегированные отчеты по любой активности пользователя.

Основные особенности

Информационная безопасность

• Анализ поведения пользователей
• Уведомления об аномалиях и инцидентах
• Раннее обнаружение угроз
• Расследование инцидентов
• Подробнее »

Контроль сотрудников

• Учет рабочего времени
• Контроль эффективности труда
• Мониторинг бизнес-процессов
• Контроль присутствия на рабочем месте
• Подробнее »

Удалённое администрирование

• Удаленный рабочий стол
• Блокировка доступа к сайтам
• Блокировка запуска и установки приложений
• Инвентаризация «железа» и ПО
• Подробнее »

С помощью StaffCop Вы сможете

Выявлять

• мошеннические схемы внутри компании
• нелояльных сотрудников
• работающих на конкурентов
• тех кто ищет работу
• бездельников и тунеядцев

Контролировать

• коммуникации сотрудников
• операции с документами и файлами
• печать документов
• установку и запуск приложений
• съемные USB-устройства
• сетевые подключения

Блокировать

• доступ к сайтам и соц.сетям
• запуск и установку приложений
• подключение USB-устройств
• ограничивать запись на съемные носители

Предупреждать

• утечки конфиденциальной информации
• саботаж рабочих процессов
• конфликтные ситуации в коллективе

Анализировать

• рабочее время сотрудников
• эффективность работы за компьютером
• состояние информационной безопасности

Расследовать

• инциденты информационной безопасности
• причины неэффективной работы

В новой версии:

• Сервер Staffcop теперь работает на Ubuntu 18.04;
• Расширен функционал Linux-агента;
• Поддержка новой ОС Windows 2019;
• Внедрён актуальный протокол перехвата — для Skype (8.55), Office 365 и комплексного решения HCL Notes. Кроме этого, улучшена работа с перехваченными файлами, которые были отправлены на печать;
• Расширено поле применения цифровых меток. Теперь, благодаря меткам, можно найти файлы, даже если они были изменены или переименованы;
• Улучшены инструменты работы с инцидентами ИБ, чтобы упростить их сбор и обработку. А также добавлены новые фишки для сбора доказательств совершённых нарушений (например, скриншоты с online-трансляции)
• Новые отчеты о производительности сотрудников и новые способы контроля их деятельности. Теперь можно в подробностях знать, как, когда, где и что сотрудник делал, и, если нужно, дополнить отчёт скриншотами;
• А также внедрена одна из новейших технологий – нейронная сеть. Она может распознавать сотрудников (на скриншотах, снимках web-камер и т.д.), распознавать паспорта и печати на документах.

В StaffCop Enterprise лицензируются компьютеры, на которых установлен агент. Для терминальных серверов лицензируются учетные записи пользователей. Все лицензии являются плавающими. Для сервера отдельной лицензии не требуется. Приобрести можно лицензию на любое количество компьютеров, но не менее пяти.

Источник: www.mssoft.ru

StaffCop

Программный комплекс, предназначенный для контроля информации, мониторинга действий сотрудников и системных событий на рабочих компьютерах.

StaffCop уникальное, полностью интегрированное решение которое предназначено для мониторинга действий сотрудников, потоков информации и событий системы с продвинутой системой аналитики, с возможностью выявления нелояльных сотрудников и предупреждения вредоносных действий.

• Раннее обнаружение угроз ИБ. Система имеет гибкую настройку фильтров и оповещений, поэтому возможную утечку или вторжение удаётся обнаружить на ранней стадии, чем существенно сократить последствия.
• Учет рабочего времени. Мониторинг активности пользователя за ПК. Учет фактически отработанного времени, опозданий, ранних уходов, прогулов и простоев.
• Оценка продуктивности сотрудников. Разделение использование программ, посещения сайтов на продуктивные и непродуктивные. Настройка для отдельных пользователей, групп и отделов. Сравнение показателей.
• Мониторинг бизнес-процессов. Поиск «узких» мест, выявление блокирующих факторов и расследование причин их появления. Анализ бизнес-процессов по KPI.
• Расследование инцидентов. StaffCop — это машина времени! В любой момент можно вернуться назад и посмотреть, что делал тот или иной сотрудник в указанном промежутке времени.
• Анализ поведения пользователей. Автоматический анализ появления аномалий. Удобные средства статистической визуализации: тепловые диаграммы, граф и дерево взаимосвязей.
• Удаленное администрирование. С уведомлением или без уведомления пользователя. Удалённый захват управления ПК. Удобно работать IT-специалистам и службе ИБ.
•Инвентаризация компьютеров. Полная картина использования программных продуктов и аппаратного обеспечения. Интенсивность использования и архив состояний.

Источник: www.evraas.ru