как узнать что установлен staffcop
Staffcop: взгляд со стороны
Всем привет! Меня зовут Михаил, и я работаю с данными в системах класса предотвращения утечек информации (DLP) и системах поведенческого анализа. За много лет работы в сфере ИБ мне посчастливилось познакомиться со многими системами. Одно из недавних знакомств — StaffCop Enterprise v.4.4.
В этом обзоре я буду делиться впечатлениями от использования в работе системы StaffCop.
Интерфейс
Для подобных продуктов толковый, удобный интерфейс очень важен, все-таки аналитику приходится работать с ним каждый день.
Снимок рабочего стола:
Мне понравилось то, как всё структурировано, но расположение панелей поначалу вызывает лёгкий ступор. Впрочем, позднее привыкаешь к такой реализации и довольно быстро начинаешь выполнять задачи.
А за удачное отображение информации StaffCop стоит похвалить! При анализе событий доступны такие измерения как таблица, линейный график, круговая диаграмма, граф и дерево. В разных задачах эти представления данных могут очень помочь в поиске решения.
Для просмотра событий можно использовать таблицу, список, снимки, переписку, формирующую беседы по темам, и тепловую диаграмму, которая позволяет взглянуть на ситуацию в целом и быстро обнаружить подозрительную активность.
Единственное, что пока огорчает — отсутствие «кейс-менеджмента», то есть полноценной работы с инцидентами.
Инструменты
Теперь о задачах, которые приходилось решать и о том, как это делать с помощью StaffСop.
Важное замечание: пока у меня не было опыта использования Staffcop на больших объемах, поэтому что-то сказать о скорости поиска в глубоких архивах не могу.
1. Чем сотрудник занят на рабочем месте?
Нажимаем всего ОДНУ кнопку и загружаем карточку измерений (в данном случае по сотруднику):
В ней много полезного: данные из AD, последняя активность, активности на сайтах и в приложениях, информация, на каких ПК пользователь авторизовывался, контакты и графы переписки, поисковые запросы и учет рабочего времени.
Причем в системе есть возможность для редактирования этой карточки, т.е. можно добавить/убрать различные модули информации. Есть и карточки измерений по многим другим сущностям: например, по файлу, сайту, устройству и т.д.
Но есть и некоторые недочеты, при попытке выгрузить карточку для отправки, её необходимо отправить на печать и сохранить в формате PDF. Неудобно, к тому же есть проблемы с масштабированием: в некоторых случаях используются слишком мелкие шрифты.
2. Контроль сотрудников в реальном времени
Речь идет о подключении к рабочему столу конкретного сотрудника и контроль за его действиями. Да-да, не удивляйтесь, такие задачи не редкость.
Такой механизм есть, и он реально работает, причем в текущей версии, был внедрен так называемый «квадратор», то есть одновременный показ нескольких рабочих столов.
Но, как всегда, хочется большего. Например, если сотрудник заблокировал рабочий стол и ушел по делам, у вас по-прежнему будет отображаться его рабочий стол. Заметить, что самого сотрудника нет, можно только по остановившемуся времени на часах.
Возможность захвата управления проверил в тестовых целях. Работает хорошо, но на практике пока не пригодилось.
3. Детектор аномалий и задачи по отслеживанию движения файла
Сразу отмечу, что не все подобные системы обладают подобной функциональностью, поэтому расскажу об этих инструментах подробнее.
Выдержка про детектор аномалий из базы знаний вендора:
Новый вид отчёта, в котором выражены «аномалии» в перехваченных событиях на рабочих станциях пользователя.
Аномалией считается превышение количества событий определённого типа за час, если оно в 10 и более раз превышает стандартное значение, вычисленное за прошлую неделю работы системы.
Порог срабатывания системы для аномалий можно менять. Этот порог задаётся в виде цифры превышения количества раз от стандартизированных значений событий, собранных за определённый период времени работы.
Выглядит просто и понятно, а как использовать информацию зависит только от вас.
Отдельно о карте распространения.
Для поиска упоминания какого-то файла нужно, как и в случае с сотрудником, открыть карточку измерения файла. В ней содержится информация, о том кто, где, когда и как работал с ним. При этом можно быстро построить визуальную схему движения информации.
Для чего это нужно? Для решения стандартной задачи: найдите мне кто работал с … /слил отчет по продажам.
4. Отчеты об эффективности работы сотрудников
Это один из важных инструментов для продуктов этого класса, которые уходят от DLP в чистом виде. У StaffCop много различных вариантов отчетов, и они выдают довольно реалистичную информацию.
Эта тема наверняка близка тем, кто пытался делать отчеты об активности пользователя, например, с помощью систем web-proxy. Обычно у пользователя тысячи сработок на баннеры, открытые на сайте, и вычислить, сколько же он реально «сёрфил» в интернете, практически невозможно.
Причем запросов от руководства, чем занят тот или иной сотрудник поступает примерно столько же, сколько и задач по расследованию утечек информации. В случае со StaffCop на составление такого отчета тратится всего лишь минута, а с другими DLP-системами, не обладающими подобными инструментами, можно угробить весь день на выполнение такого задания.
Заключение
StaffCop развивается стремительно. Основной упор делается на контроль рабочего места сотрудника. В арсенале есть такие фишки, как контроль установки/удаления ПО, реестр этого ПО и железа, имеющиеся далеко не у всех систем, представленных на рынке ИБ.
Сейчас StaffCop — это система контроля рабочего времени сотрудников с рядом удобных инструментов и некоторыми возможностями DLP. Какой она станет завтра — открытый вопрос.
Да, есть недостатки: где-то что-то не отображается или не перехватывается. Вендор такие баги старается оперативно устранять.
В общем, StaffCop — достойный продукт для решения нетиповых задач ИБ.
Михаил Годжаев, руководитель направления анализа событий Блока DLP компании Infosecurity a Softline Company.
Расследование инцидентов ИБ со StaffCop Enterprise 4.4
Здравствуйте! Меня зовут Роман Франк, я являюсь специалистом в области информационной безопасности. Еще недавно я работал в крупной компании в отделе безопасности (техническая защита). У меня было 2 проблемы: не было нормальных современных технических средств защиты и денег на безопасность в бюджете. Зато у меня было свободное время на изучение программных решений, об одном из них — StaffCop Enterprise — я хочу сегодня подробно рассказать.
Опыт мне показал, что 90% времени, которое я тратил на выявление и расследование утечек информации самостоятельно, с программой решается за несколько минут. Я настолько углубился в технические детали решения, что в итоге уволился из той компании и теперь работаю в StaffCop на позиции специалиста технической поддержки.
Давайте разберемся со StaffCop Enterprise
StaffCop Enterprise – система мониторинга действий сотрудников с функционалом DLP.
На мой взгляд, ощутимое преимущество – отсутствие необходимости закрываться в локальной сети с невозможностью работы через интернет. Поскольку сейчас сложно говорить о периметре ИБ (в любой компании есть удаленные филиалы или сотрудники на фрилансе), шлюзовые решения не такие гибкие и, зачастую, требуют наличия агента на рабочей станции пользователя.
С этой задачей полного контроля рабочих станций за пределами локальной сети StaffCop легко справляется. Стек технологий, используемых при разработке, позволяет системе быть менее требовательной к ресурсам и легко интегрироваться с другими системами, а разработчикам – при необходимости дорабатывать функционал. Также, в ближайшее время будет выпущен дистрибутив с сертификатом ФСТЭК, который подойдет для защиты объектов, где нужен 4 класс защиты и ниже. Всё это позволяет системе быть выгодной, надежной и полезной разным специалистам.
Начнем с самого главного. Чем система StaffCop может облегчить жизнь безопаснику? Разберем основные головные боли человека, чья задача не допустить взрыва пороховых бочек. Пороховой бочкой может стать информация ограниченного доступа, которая стала известна за пределами компании. Соответственно, главная забота – чтобы не ушло. А, если ушло, то, как найти злоумышленника и покарать.
Контроль конфиденциальной информации
Staffcop контролирует все основные каналы передачи информации с пользовательских ПК на Windows. Linux агент стремится в том же направлении, но пока есть необходимость в сетевом мониторинге.
Поиск потенциальных утечек
Организационные меры хороши ровно до тех пор, пока они выполняются, в остальных же случаях, технические меры защиты — необходимость.
Закрытие дыр
Не всегда пассивные меры защиты являются дешевой заменой активных средств защиты. В нашем случае Staffcop является активным средством защиты и позволяет контролировать и закрывать некоторые каналы утечек информации.
Расследование инцидентов
При расследовании инцидентов очень важна доказательная база. Staffcop позволяет хранить историю обо всех событиях, которые совершались пользователем во время мониторинга.
Иногда используется гибридный режим, когда одновременно работают две базы данных. Следует отметить, что система StaffCop Enterprise не использует облачных технологий, кроме ABBYY – облачного сервиса для распознавания текста.
Я считаю, что StaffCop – основной инструмент в руках безопасника, который позволит сэкономить время для службы безопасности и деньги для руководства компании.
Требования к ресурсам можно посмотреть здесь.
Подробности об установке.
А если вы хотите погонять систему в тестовом режиме и лично убедиться, подойдет ли StaffCop вам, можно отправить заявку здесь, либо через нашего партнера.
Роман Франк,
специалист технической поддержки StaffCop
Под колпаком: обзор программы StaffCop Standard
Контроль за деятельностью сотрудников за компьютерами на рабочем месте — обычная практика во многих компаниях. И не всегда даже дело в том, что начальник службы безопасности в в детстве тайно грезил о форме СС. По своему опыту могу сказать, что многие сисадмины по умолчанию доверяют рядовым пользователям не больше, чем обезьяне со связкой гранат на центральном пульте управления атомной электростанцией.
Однако, мой рассказ будет не с точки зрения наёмного сотрудника, а «с обратной стороны зеркала», потому как, вне зависимости от персональной этической желания требования определённых руководителей не только наблюдать за сотрудниками в рабочее время на рабочих местах, но и видеть «их глазами» то, что видят они на своих мониторах, — факт остаётся фактом: речь идёт о масштабах спроса достаточных для возникновения на рынке корпоративного ПО целого сегмента софта для надзора за работниками, и программа StaffCop — лишь одна из нескольких доступных заинтересованному покупателю альтернатив.
Программа существует в нескольких конфигурациях — StaffCop Standard, ориентированная на корпоративных пользователей (компании, ВУЗы, школы), домашняя версия StaffCop Home Edition и самый мощный набор Security Curator. Я протестировал «золотую середину» — StaffCop Standard. Для тестов был использован нетбук следующей конфигурации:
Начало
Первое, что сразу бросается в глаза – программа предназначена для корпоративного использования. Это, в первую очередь, видно по интерфейсу, ориентированному на профессиональных пользователей — рядовой юзер вряд ли с ходу разберётся во всех его тонкостях. StaffCop Standard работает по сети, что также видно уже при первом запуске.
Главное окно панели администрирования
Внизу панели администрирования расположены вкладки и первая из них «Экран».
Снятие скриншотов с экрана и просмотр активности пользователя в реальном времени
Здесь вы можете в режиме реального времени следить за любым пользователем:
«Ваша карта бита!»
Следующая возможность, которую мне посчастливилось опробовать – мониторинг процессов на удалённом компьютере. Она расположена на вкладке «Процессы».
Сразу бросается в глаза группировка приложений по типам:
Группировка программ
— и я готов был бы даже похвалить эту функцию, если бы не зашёл в настройки и не обнаружил, что определение приложения и группировка идёт по списку имён процессов (skype.exe, soffice.bin). Соответственно, в список можно добавить любое приложение, а-ля wow.exe и внести в список «Интернет-приложения». А тем более, если игра защищена от снятия скриншотов, то на её запуск никто и не обратит внимания (особенно, если слежением занимается не системный администратор, а непосредственный начальник).
Полезной дополнительной функцией здесь можно выделить возможность удалённого завершения процесса.
Списки имён исполняемых файлов
Клавиатурный перехватчик (keylogger)
Keylogger тоже входит в набор функций Standard-версии. По своей сути, это потенциально-опасная возможность, ведь недобросовестный сотрудник может использовать её, как и всю программу, для шпионажа за нами. Но наша цель благородна – не допустить утечку конфиденциальных данных. И эта часть программы успешно справляется со своей задачей. Есть возможность посмотреть, какие горячие клавиши нажимал пользователь:
Встроенный кейлоггер
Помимо этого программа способна запоминать данные, внесённые в буфер обмена. Опять же фича достаточно полезная – с её помощью можно выяснить, что копирует пользователь. Возможно, он нарушает правила корпоративной системы безопасности и копирует пароли, чтобы вручную не печатать или же, этот злосчастный пользователь распространяет коммерческие тайны конкурентам.
Содержимое буфера обмена
Помимо всех вкусностей, о которых я уже писал выше, программа способна вести запись событий файловой системы и создавать отчёт использования USB-устройств компьютера.
Запись событий файловой системы
Соответственно, всегда можно посмотреть, кто и во сколько принёс троянскую программу, что положила всю сеть предприятия.
«Кто там флешку вставил?»
А ещё меня очень порадовала система генерации отчётов, которая поддерживает импорт отчёта в HTML, PDF, CSV. При подробном режиме в HTML отображается диаграмма, которая показывает, сколько времени было отдано активности того или иного окна. Это позволяет быстро проанализировать занятость пользователя. Так, например, всегда можно обнаружить, если пользователь проводит 70% рабочего времени с открытой «Косынкой».
Диаграмма активности пользователя
Другие плюшки
Помимо всего вышеперечисленного разработчики заявляют ещё и теневое копирование файлов, попадающих в буфер обмена (когда юзер что-то копирует или вырезает), отправляемых на печать (теневая копия сохраняется в виде изображения), а также файлы, отправляемые в социальные сети: фотографии, музыка, видео.
Безопасность
Изучая программу, я обнаружил две уязвимости, позволяющих заблокировать её работу — первая касается доступа к настройкам антивируса, вторая — 64-битные системы.
Во-первых, Kaspersky Internet Security 2012 позволяет добавить основные модули в группу «Недоверенные» в контроле программ, и StaffCop перестаёт запускаться. Хотя в гостевом доступе, под которым сидят практически все офисные сотрудники в крупных компаниях, сделать ничего не получится, — иметь в виду это нужно.
Запрет от антивируса
Вторая уязвимость связана с возможностью её обнаружения в 64-битных системах. В скрытом режиме работы система должна быть максимально спрятана от пользователя ПК, чтобы было сложно определить, что за компьютером ведётся мониторинг, в процессах её обнаружить нельзя. Но в 64-битных системах полностью спрятать её не получится, поэтому её можно обнаружить и отключить в службах, и запретить автоматический запуск. Таким образом можно заблокировать StaffCop: он перестаёт передавать какие-либо данные на сервер, при этом определяясь «в сети», то есть, как будто какая-то ошибка связи между компьютером и сервером.
Убитая служба приложения
Впрочем, Windows x64, в корпоративном сегменте практически не распространены, а в 32-битных системах процессы StaffCop обнаружить нельзя, поэтому уязвимость это весьма условная. Отсюда вывод: админский доступ к компьютеру и контроль за его пользователем — несовместимы. Впрочем, это итак должно было быть понятно.
Другие версии
Для дома есть более дешёвая Home-версия, позиционируемая как родительский контроль. От Standard-версии она отличается возможностью установки лишь на 1 ПК и, соответственно, невозможностью использования функций управления по локальной сети. В остальном же она повторяет все функции старшей версии.
Кроме того, есть более «продвинутая» версия приложения, позволяющая более подробно вести аудит персонала — Security Curator. В ней отключена возможность скрытой работы и пользователи знают, что за ними следят, и добавлены такие полезные функции, как, к примеру, мониторинг активности FTP, уведомления о нарушении политики по SMS, блокировка подключения USB-устройств и блокировка запуска приложений.
Конкуренты
Основные конкуренты приложения: LanAgent Standard, который предоставляет практически те же функции по чуть более высокой цене, а также Mipko Personal Monitor, который, в отличие от вышеуказанных программ имеет поддержку Mac OS X.
Изучая тему, я нашёл комментарий по теме на Хабре (пунктуация и орфография автора сохранены):
LanAgent — ужас ужас ужас — ставится тяжко удаляется еще тяжелее. Кроме того иногда грузит систему как рендеринг Аватара… Хотя отчеты вроде бы даже и ничего. Mipko — этот ужас не умеет нормально удаленно устанавливаться. StaffCop — ставится просто — но толи у меня что то не так — толи в самой программе — но наблюдать компьютеры в консоли — нереально — они то пропадают — то исчезают.
По гамбургскому счёту
функция снятия скриншотов
отправка сообщений по сети
построение графиков активности
возможность удалённого завершения процессов
не полностью реализованная поддержка 64-битных систем
Конечно, подобные программы не панацея от безответственности или злого умысла. StaffСop Standard способен лишь указать источник утечки. Предотвратить её он не может. В конечном итоге, самое важное — грамотно выстроенные процессы и управление кадрами. Тогда работодатель сможет быть спокоен за корпоративную тайну и занятия сотрудников в рабочее время. А StaffСop нужен, чтобы подтвердить его уверенность.
KUMASERSOFT
Примеры защиты от шпионов
StaffCop — это программа слежения за пользователями компьютеров в локальной сети, продукт обеспечивает удаленный контроль, сбор информации и формирует детализированные отчеты о действиях наблюдаемого. Шпион производит запись посещенных сайтов, переписки в мессенджерах. Сохраняет снимки рабочего стола, и все, что было отображено на экране.
Как спрятаться от программы комплексного наблюдения на примере StaffCop
Помимо обычных кейлоггеров, перехватывающих клавиатурный ввод, вы можете столкнуться и с более комплексными решениями, контролирующими вашу активность за компьютером. Если за вами следит ревнивый супруг – едва ли стоит ожидать особо изощрённых методов, если речь не идёт о суровом айтишнике. Другое дело, если речь идёт о контроле персонала на рабочем месте.
Не секрет, что входящий и исходящий трафик в большинстве современных компаний контролируется ИТ-службами и службой безопасности. Но насколько глобально осуществляется такого рода контроль? С помощью программ, подобным StaffCop, возможно очень многое: перехват сообщений электронных мессенджеров и электронных писем, снятие скриншотов рабочего стола, составление подробных отчётов о вашей деятельности за компьютером и многое другое. Иными словами, под контроль попадает абсолютно всё, и в отличие от кейлоггера мониторинг осуществляется в реальном времени.
Но что делать, если руководство или служба безопасности, не говоря о ваших недоброжелателях в коллективе, пытается наблюдать за вами тайно, вторгаясь таким образом на запретную территорию? Или если программой StaffCop воспользовались для целей шпионажа злоумышленники? В этом случае вам поможет Mask S.W.B. Давайте рассмотрим защиту от активного наблюдения на примере уже упоминавшегося выше StaffCop.
Итак, вы пришли на новое место работы, вас ознакомили с правилами внутреннего распорядка компании, и никаких уведомлений о проводящемся наблюдении вы не получали. Либо в какой-то момент вы стали понимать, что конфиденциальная информация (корпоративная или личная) попадает не в те руки.
Прежде всего, нужно локализовать шпиона в системе.
1) Как обнаружить на своём компьютере агента StaffCop.
Откройте программу маскировщик. В правом верхнем углу мы видим сетевой монитор, работающий по умолчанию в режиме демонстрации активных соединений вашего компьютера с сетью. Нажмите на верхнюю рамку монитора с надписью «Приложение». Активируется режим просмотра соединений, которые находятся в ожидании.
Просмотрите все соединения в этом режиме. (Желтый цвет говорит о том, что приложение находятся в режиме ожидания, красный — приложение есть в «Базе угроз»). Если увидите среди них имя процесса sstray.exe (sstray64.exe) или LTVSrv.exe, то можно с уверенностью сказать, что за вами ведется наблюдение с помощью программы активной слежки StaffCop.
2) Удаляем агента StaffCop.
Нажмите кнопку «Службы системы».
После завершения этой операции перейдите в раздел «Драйверный монитор», нажав на кнопку с таким же название в главном окне. Найдите драйвера с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) и ProcObsrv.sys
Кликните на них правой кнопкой мыши и в контекстном меню выберите пункт «Удалить драйвер».
3) Временно отключаем агента StaffCop.
Зайдите в платформу защиты Mask S.W.B, нажав на большую кнопку в главном окне, после чего перейдите в «Службы системы» и выберите пункт с именем файла службы sstray.exe (sstray64.exe). Нажмите на него правой копкой мыши, и в контекстном меню нажмите пункт «Остановить службу».
После произведённых действий в программе человека, контролирующего ваши действия, ваш компьютер будет выглядеть как выключенный, а вы на своём компьютере сможете делать всё, что угодно, не опасаясь слежки.
После запуска службы программа контроля, установленная у босса, снова начнёт получать информацию с вашего компьютера, и в списке отслеживаемых компьютеров ваш компьютер станет активным.
4) Скрываем свои действия от программы StaffCop, не отключая наблюдение за собой.