Одна из важнейших возможностей, которые предоставляет программный комплекс StaffCop Enterprise, – это возможность расследовать инциденты информационной безопасности, возникающие на предприятии, и предоставлять неоспоримые факты, уличающие виновника инцидента. Мы рассмотрим некоторые наиболее яркие инциденты, собранные специалистами компании “Атом Безопасность” на пилотных и тестовых проектах внедрения, а также предоставленные клиентами в процессе использования StaffCop Enterprise.
Работник перед увольнением скопировал корпоративную информацию на флешку, воспользовавшись соседним компьютером
Сотрудник отдела ИБ обнаружил в отчетах StaffCop Enterprise отклонение – копирование большого количества файлов с рабочего места пользователя А. на внешний флеш-накопитель. Он вызвал пользователя А. для дачи объяснений, но тот заявил, что никакой информации не копировал, для выполнения должностных обязанностей ему это не нужно, а флешка вообще не его, он при работе ими не пользуется.
StaffCop Enterprise (Overview)
Программный комплекс StaffCop Enterprise предназначен для мониторинга работы пользователей в режиме реального времени. Он позволяет собирать информацию о том, как сотрудники предприятия используют свое рабочее время, продуктивна ли их реальная деятельность, не наносит ли она репутационный или даже прямой материальный ущерб предприятию.
Безопасник начал проверять гипотезу, что файлы переписывал кто-то другой. Пользователь А. признался, что логин и пароль для его компьютера приклеен к оборотной стороне клавиатуры и многие коллеги из отдела это знают, так как во время его отпуска или болезни пользовались этим компьютером.
Тогда безопасник стал выяснять, не подключалась ли упомянутая флешка к какому-либо другому компьютеру в сети. Выяснилось, что в течение текущего года она неоднократно подключалась к рабочей станции сотрудника Б., который часто переносил документы на флешку для заказчиков.
Тогда безопасник вызвал сотрудника Б., одновременно выяснив, что тот собирался увольняться и много говорил об этом в курилке. Отпирался он недолго и в конце концов признался, что воткнул флешку в компьютер своего коллеги по работе, когда тот ушел на обеденный перерыв, и, воспользовавшись его логином и паролем, скачал файлы на внешний носитель.
Показания были сопоставлены с данными, полученными из пропускной системы предприятия, что подтвердило, что за компьютером, на котором производилось копирование, был сотрудник Б., а пользователь А., учетная запись которого использовалась, в это время находился на обеде.
Программный комплекс StaffCop Enterprise предназначен для мониторинга работы пользователей в режиме реального времени. Он позволяет собирать информацию о том, как сотрудники предприятия используют свое рабочее время, продуктивна ли их реальная деятельность, не наносит ли она репутационный или даже прямой материальный ущерб предприятию.
StaffCop — Employee Monitoring and Tracking Software
Передача информации за охраняемый контур в запароленном архиве
Сотрудники отдела информационной безопасности обнаружили попытку отправки по почте упакованного файла, зашифрованного паролем. Такой способ довольно часто применяется для передачи информации «на сторону». Инсайдер подбирает документы, которые могут представлять интерес для его «контрагента», упаковывает информацию в архив с паролем, после чего отправляет архив по электронной почте. При этом инсайдер полностью уверен, что, поскольку архив запаролен, а пароль известен только ему и его «контрагенту», никто не способен узнать, что происходит.
Однако этот канал утечки информации можно обнаружить.
Сотрудники отдела информационной безопасности воспользовались тем, что обычно запароленный архив создается инсайдером незадолго до его отправки. Зная, кто создал архив, с помощью какого приложения и когда, можно установить, какой пароль вводился, что и было проделано.
Зная пароль и имея перехваченный файл, сотрудники отдела информационной безопасности получили доступ к содержимому, вызвали инсайдера и предъявили ему доказательства намеренной передачи конфиденциальной информации за охраняемый периметр.
Не секрет, что довольно часто сотрудники, не особо загруженные в рабочее время, выполняют работы для сторонних компаний на оборудовании работодателя. Это наносит прямой материальный ущерб предприятию, так как рабочее время этих сотрудников используется нерационально. Установить, кто именно в рабочее время выполняет сторонние заказы, возможно с помощью системы StaffCop Enterprise.
Выполнение «левых» работ в рабочее время
В одной очень небольшой организации администратор информационной безопасности, периодически просматривая активность сотрудников, заметил очень высокую активность системного администратора в работе с приложениями удаленного доступа TeamViewer, AnyDesk, Radmin с подключением к внешним IP-адресам, при том, что использование этих приложений в компании было просто нецелесообразно: все сидели в открытом офисе, а за его пределами никаких серверов и рабочих станций, принадлежащих компании, не располагалось.
В ходе беседы сотрудник отдела информационной безопасности выяснил, что действительно системный администратор, не особо загруженный по своей основной деятельности, оказывал в рабочее время платные услуги по системному администрированию другим организациям.
Достоверно подтвердить это смогла специальная конфигурация в StaffCop Enterprise, настроенная для системного администратора. В этой конфигурации на особый контроль были поставлены приложения, которые выходили за контролируемый периметр, при этом каждые пять секунд их работы сохранялся скриншот. По этим скриншотам стало очевидно, что системный администратор трудился за пределами своей организации.
В дальнейшем работа системного администратора была реорганизована таким образом, чтобы его деятельность приносила больше пользы предприятию.
Использование системы фильтров в поиске файлов с помощью StaffCop Enterprise дает возможность обнаружить работу с файлами вне стандартных структур папок, и это позволяет предположить, что сотрудник работает «налево» в течение своего рабочего дня.
Выполнение проектов с помощью дорогостоящего программного обеспечения для других организаций
Организацией были приобретены дорогостоящие лицензии на ПО ArchiCAD. Появилось подозрение, что сотрудник, не особо загруженный в рабочее время, выполнял проекты для сторонней организации и, таким образом, нерационально использовал рабочее время в рамках своей компании, получая за такие труды в рабочее время деньги «на стороне».
Обнаружить подобную деятельность только с использованием StaffCop Enterprise достаточно сложно, необходим комплекс мер, в частности обязательная структуризация рабочих каталогов с проектами, которые ведутся на предприятии.
Грамотное построение системы информационной безопасности на предприятии должно следовать принципу «Каждый должен знать только то, что ему необходимо для выполнения своих служебных обязанностей, и ничего больше!».
В результате оказалось возможным определить, какие сотрудники работают с файлами ArchiCAD вне установленных папок. В этом случае есть все основания предполагать, что проекты, расположенные вне стандартных папок или имеющие нестандартные названия, являются «левыми».
Для этого в StaffCop Enterprise можно воспользоваться операцией инвертирования фильтра. Сотрудником ИБ был настроен инвертированный фильтр, который показывал все операции создания файлов определенным приложением. Легко было обнаружено, что присутствует один сценарий работы, не совпадающий со стандартным.
У сотрудника обнаруживаются файлы, которых у него быть не должно
У рядового системного администратора предприятия на рабочем компьютере были обнаружены файлы, содержащие списки ключевых клиентов и планы маркетинговых кампаний. Были все основания подозревать, что администратор готовился передавать информацию конкурентам, для чего копировал коммерческую информацию с ресурсов общего доступа и сканировал в поисках такой информации компьютеры пользователей.
В организации было построено так называемое дерево доступа, которое позволяло установить, кто из сотрудников работал с определенным файлом.
Для списка перехваченных файлов системой StaffCop Enterprise было создано дерево, в котором отражено, какие пользователи работали с файлами и какие операции выполнялись. По этому дереву были определены пользователи, в чьи обязанности не входит работа с данными файлами, а значит сотрудник собирал информацию, к которой он не должен иметь отношения.
Далее, проконтролировав переписку администратора, удалось выяснить, что он собирался предложить эту информацию конкурентам.
KUMASERSOFT
StaffCop — это программа слежения за пользователями компьютеров в локальной сети, продукт обеспечивает удаленный контроль, сбор информации и формирует детализированные отчеты о действиях наблюдаемого. Шпион производит запись посещенных сайтов, переписки в мессенджерах. Сохраняет снимки рабочего стола, и все, что было отображено на экране.
Как спрятаться от программы комплексного наблюдения на примере StaffCop
Помимо обычных кейлоггеров, перехватывающих клавиатурный ввод, вы можете столкнуться и с более комплексными решениями, контролирующими вашу активность за компьютером. Если за вами следит ревнивый супруг – едва ли стоит ожидать особо изощрённых методов, если речь не идёт о суровом айтишнике. Другое дело, если речь идёт о контроле персонала на рабочем месте.
Не секрет, что входящий и исходящий трафик в большинстве современных компаний контролируется ИТ-службами и службой безопасности. Но насколько глобально осуществляется такого рода контроль? С помощью программ, подобным StaffCop, возможно очень многое: перехват сообщений электронных мессенджеров и электронных писем, снятие скриншотов рабочего стола, составление подробных отчётов о вашей деятельности за компьютером и многое другое. Иными словами, под контроль попадает абсолютно всё, и в отличие от кейлоггера мониторинг осуществляется в реальном времени.
Разумеется, применение такого рода наблюдения за персоналом — совершенно оправданно: нас нанимают для работы, а не для общения в соцсетях и занятий посторонними делами в интернете, а корпоративные секреты должны быть гарантированно защищены. Однако в некоторых случаях вам могут понадобиться определённые меры по защите личного пространства. Если вы, устраиваясь на новое место работы, были оповещены об осуществляемом контроле и ознакомлены с правилами внутреннего распорядка, то защита вашей личной информации становится вопросом вашей ответственности и разумности.
Но что делать, если руководство или служба безопасности, не говоря о ваших недоброжелателях в коллективе, пытается наблюдать за вами тайно, вторгаясь таким образом на запретную территорию? Или если программой StaffCop воспользовались для целей шпионажа злоумышленники? В этом случае вам поможет Mask S.W.B. Давайте рассмотрим защиту от активного наблюдения на примере уже упоминавшегося выше StaffCop.
Итак, вы пришли на новое место работы, вас ознакомили с правилами внутреннего распорядка компании, и никаких уведомлений о проводящемся наблюдении вы не получали. Либо в какой-то момент вы стали понимать, что конфиденциальная информация (корпоративная или личная) попадает не в те руки.
Прежде всего, нужно локализовать шпиона в системе.
1) Как обнаружить на своём компьютере агента StaffCop.
Откройте программу маскировщик. В правом верхнем углу мы видим сетевой монитор, работающий по умолчанию в режиме демонстрации активных соединений вашего компьютера с сетью. Нажмите на верхнюю рамку монитора с надписью «Приложение». Активируется режим просмотра соединений, которые находятся в ожидании.
Просмотрите все соединения в этом режиме. (Желтый цвет говорит о том, что приложение находятся в режиме ожидания, красный — приложение есть в «Базе угроз»). Если увидите среди них имя процесса sstray.exe (sstray64.exe) или LTVSrv.exe, то можно с уверенностью сказать, что за вами ведется наблюдение с помощью программы активной слежки StaffCop.
Итак, программа-шпион обнаружена, теперь вы знаете наверняка, что за вами наблюдают. Если вы хотите скрыть результаты своих действий, не пряча самих действий — вам достаточно просто зайти в платформу защиты Mask S.W.B, нажав на большую кнопку в главном окне, — и этого будет достаточно. Наблюдающий за вами будет видеть, что вы чем-то заняты, но не будет знать, чем именно. Если же вы хотите выйти из-под наблюдения абсолютно — читайте дальше.
2) Удаляем агента StaffCop.
Нажмите кнопку «Службы системы».
В отрывшемся окне вы увидите файлы, которые есть в базе угроз, они будут выделены красным цветом. Нажмите правой кнопкой мыши на строку с именем файла sstray.exe (sstray64.exe) и LTVSrv.exe в контекстном меню выберите пункт «Изменить задачи служб», далее — «Удалить».
После завершения этой операции перейдите в раздел «Драйверный монитор», нажав на кнопку с таким же название в главном окне. Найдите драйвера с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) и ProcObsrv.sys
Кликните на них правой кнопкой мыши и в контекстном меню выберите пункт «Удалить драйвер».
После выполнения всех действий перезагрузите компьютер и проверьте снова окно «Службы системы» (Активные службы) и «Драйверный монитор» (Активные драйвера): пунктов, выделенных красным цветом, не должно быть. Если всё зелёное — вы избавились от агента StaffCop.
3) Временно отключаем агента StaffCop.
Зайдите в платформу защиты Mask S.W.B, нажав на большую кнопку в главном окне, после чего перейдите в «Службы системы» и выберите пункт с именем файла службы sstray.exe (sstray64.exe). Нажмите на него правой копкой мыши, и в контекстном меню нажмите пункт «Остановить службу».
После произведённых действий в программе человека, контролирующего ваши действия, ваш компьютер будет выглядеть как выключенный, а вы на своём компьютере сможете делать всё, что угодно, не опасаясь слежки.
Для того, чтобы восстановить мониторинг, нажмите кнопку «Все службы», выберите пункт с именем файла службы sstray.exe (sstray64.exe), кликните на нем правой копкой мыши и в контекстном меню выберите пункт «Изменить задачи служб», и далее — «Пуск».
После запуска службы программа контроля, установленная у босса, снова начнёт получать информацию с вашего компьютера, и в списке отслеживаемых компьютеров ваш компьютер станет активным.
4) Скрываем свои действия от программы StaffCop, не отключая наблюдение за собой.
Откройте программу Mask S.W.B и перейдите в окно «Драйверный монитор», нажав на кнопку с таким же название в главном окне. Найдите и удалите драйвера с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) и ProcObsrv.sys как показано в разделе удаления агента. (Это нужно сделать один раз — и потом только проверять их отсутствие).
Зайдите в платформу защиты Mask S.W.B, нажав на большую кнопку в главном окне, затем перейдите в «Процессы системы», нажав одноименную кнопку в окне программы. Выберите пункт с именем файла LTVSrv.exe, кликните на нем правой копкой мыши и в контекстном меню выберите пункт «Добавить в базу завершения процессов».
Теперь нажмите кнопку «Сохранить» в базе «Завершения процессов». Имя файла сохранится, и при следующем заходе в это окно процесс будет блокироваться автоматически. Не закрывайте окно «Процессы системы» в течение всего сеанса работы в платформе. Можете спустить окно вниз, нажав на кнопку «Свернуть» в верхней части окна.
Программа Mask S.W.B будет блокировать это процесс, и тем самым не даст собирать и передавать информацию с вашего компьютера. Но на компьютере вашего босса будет видно, что вы находитесь в сети и не производите никаких действий, хотя на самом деле вы сможете делать что захотите. Чтобы завершить работу в платформе защиты Mask S.W.B и снова стать видимым для вашего начальника, нажмите кнопку «Выход» в главном окне программы. Блокируемый процесс восстановиться автоматически.
Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте — осуществляется ли за вами слежка при помощи StaffCop
Источник: www.kumaser.com
Staffcop: взгляд со стороны
Всем привет! Меня зовут Михаил, и я работаю с данными в системах класса предотвращения утечек информации (DLP) и системах поведенческого анализа. За много лет работы в сфере ИБ мне посчастливилось познакомиться со многими системами. Одно из недавних знакомств — StaffCop Enterprise v.4.4.
В этом обзоре я буду делиться впечатлениями от использования в работе системы StaffCop.
Интерфейс
Для подобных продуктов толковый, удобный интерфейс очень важен, все-таки аналитику приходится работать с ним каждый день.
Снимок рабочего стола:
Мне понравилось то, как всё структурировано, но расположение панелей поначалу вызывает лёгкий ступор. Впрочем, позднее привыкаешь к такой реализации и довольно быстро начинаешь выполнять задачи.
А за удачное отображение информации StaffCop стоит похвалить! При анализе событий доступны такие измерения как таблица, линейный график, круговая диаграмма, граф и дерево. В разных задачах эти представления данных могут очень помочь в поиске решения.
Для просмотра событий можно использовать таблицу, список, снимки, переписку, формирующую беседы по темам, и тепловую диаграмму, которая позволяет взглянуть на ситуацию в целом и быстро обнаружить подозрительную активность.
Единственное, что пока огорчает — отсутствие «кейс-менеджмента», то есть полноценной работы с инцидентами.
Инструменты
Теперь о задачах, которые приходилось решать и о том, как это делать с помощью StaffСop.
Важное замечание: пока у меня не было опыта использования Staffcop на больших объемах, поэтому что-то сказать о скорости поиска в глубоких архивах не могу.
1. Чем сотрудник занят на рабочем месте?
Нажимаем всего ОДНУ кнопку и загружаем карточку измерений (в данном случае по сотруднику):
В ней много полезного: данные из AD, последняя активность, активности на сайтах и в приложениях, информация, на каких ПК пользователь авторизовывался, контакты и графы переписки, поисковые запросы и учет рабочего времени.
Причем в системе есть возможность для редактирования этой карточки, т.е. можно добавить/убрать различные модули информации. Есть и карточки измерений по многим другим сущностям: например, по файлу, сайту, устройству и т.д.
Но есть и некоторые недочеты, при попытке выгрузить карточку для отправки, её необходимо отправить на печать и сохранить в формате PDF. Неудобно, к тому же есть проблемы с масштабированием: в некоторых случаях используются слишком мелкие шрифты.
2. Контроль сотрудников в реальном времени
Речь идет о подключении к рабочему столу конкретного сотрудника и контроль за его действиями. Да-да, не удивляйтесь, такие задачи не редкость.
Такой механизм есть, и он реально работает, причем в текущей версии, был внедрен так называемый «квадратор», то есть одновременный показ нескольких рабочих столов.
Но, как всегда, хочется большего. Например, если сотрудник заблокировал рабочий стол и ушел по делам, у вас по-прежнему будет отображаться его рабочий стол. Заметить, что самого сотрудника нет, можно только по остановившемуся времени на часах.
Возможность захвата управления проверил в тестовых целях. Работает хорошо, но на практике пока не пригодилось.
3. Детектор аномалий и задачи по отслеживанию движения файла
Сразу отмечу, что не все подобные системы обладают подобной функциональностью, поэтому расскажу об этих инструментах подробнее.
Выдержка про детектор аномалий из базы знаний вендора:
Новый вид отчёта, в котором выражены «аномалии» в перехваченных событиях на рабочих станциях пользователя.
Аномалией считается превышение количества событий определённого типа за час, если оно в 10 и более раз превышает стандартное значение, вычисленное за прошлую неделю работы системы.
Порог срабатывания системы для аномалий можно менять. Этот порог задаётся в виде цифры превышения количества раз от стандартизированных значений событий, собранных за определённый период времени работы.
Выглядит просто и понятно, а как использовать информацию зависит только от вас.
Отдельно о карте распространения.
Для поиска упоминания какого-то файла нужно, как и в случае с сотрудником, открыть карточку измерения файла. В ней содержится информация, о том кто, где, когда и как работал с ним. При этом можно быстро построить визуальную схему движения информации.
Для чего это нужно? Для решения стандартной задачи: найдите мне кто работал с … /слил отчет по продажам.
4. Отчеты об эффективности работы сотрудников
Это один из важных инструментов для продуктов этого класса, которые уходят от DLP в чистом виде. У StaffCop много различных вариантов отчетов, и они выдают довольно реалистичную информацию.
Эта тема наверняка близка тем, кто пытался делать отчеты об активности пользователя, например, с помощью систем web-proxy. Обычно у пользователя тысячи сработок на баннеры, открытые на сайте, и вычислить, сколько же он реально «сёрфил» в интернете, практически невозможно.
Причем запросов от руководства, чем занят тот или иной сотрудник поступает примерно столько же, сколько и задач по расследованию утечек информации. В случае со StaffCop на составление такого отчета тратится всего лишь минута, а с другими DLP-системами, не обладающими подобными инструментами, можно угробить весь день на выполнение такого задания.
StaffCop развивается стремительно. Основной упор делается на контроль рабочего места сотрудника. В арсенале есть такие фишки, как контроль установки/удаления ПО, реестр этого ПО и железа, имеющиеся далеко не у всех систем, представленных на рынке ИБ.
Сейчас StaffCop — это система контроля рабочего времени сотрудников с рядом удобных инструментов и некоторыми возможностями DLP. Какой она станет завтра — открытый вопрос.
Да, есть недостатки: где-то что-то не отображается или не перехватывается. Вендор такие баги старается оперативно устранять.
В общем, StaffCop — достойный продукт для решения нетиповых задач ИБ.
Михаил Годжаев, руководитель направления анализа событий Блока DLP компании Infosecurity a Softline Company.
- Блог компании Softline
- Информационная безопасность
Источник: habr.com