1-2 октября
2019 года
Экспо
Казань
Организатор
Москва
Лондон
20.09.2019
StaffCop – надежный и гибкий инструмент для расследования инцидентов

Угрозы информационной безопасности с каждым днем всё более актуальны. К счастью, существуют средства для обнаружения и борьбы с такими угрозами. Кража, несанкционированный доступ или другой вид информационного мошенничества может сопровождаться сговором, обсуждением и другими действиями, оставляющими электронные следы.

Например, сотрудник интересуется содержимым документа, который не относится к его должностным обязанностям. Это может быть связано с хищением, попыткой искажения информации, корыстным умыслом, а может быть просто ошибкой, любопытством, незнанием правил, но в любом случае это инцидент, на который мы должны отреагировать. Злоумышленник может повредить, изменить или удалить конфиденциальную информацию. Возможна схема хищения, в которую вовлекаются сотрудники, «не ведающие, что творят». И, конечно, банальные выносы информации на флешках лидируют в статистике утечек. 

Допустим, в компании замечено воровство, но непонятно, кто этим занимается. Почти в любой сфере – информационной, бухгалтерской и пр.  – есть электронный документооборот, в котором злоумышленник может оставить следы. И по тому, где именно пройдет такая информация, мы можем сделать вывод, в каком отделе его искать. Чтобы найти электронный след, не обязательно иметь исходную информацию, хотя с ней, конечно, легче. Достаточно контролировать хождение файлов внутри организации и пути отправки за пределы компании. На основе этой информации можно построить взаимосвязи сотрудников между собой и понять, кто вовлечен в инцидент. 

Помочь в построении сбалансированной защиты конфиденциальности и целостности информации может StaffCop – аналитическая система мониторинга поведения пользователей и событий системы для Windows, Linux и macOS. Система логирует все операции пользователя и формирует удобные оповещения и отчеты. В частности, система отслеживает файлы, покидающие периметр информационной безопасности. Причем следует отметить, что в периметр входят не только компьютеры, объединенные внутренней сетью.

Система StaffCop имеет клиент-серверную архитектуру. Программа-агент, установленная на рабочей станции сотрудника, собирает информацию о действиях и отправляет на сервер для последующего анализа. Агент может работать как в локальной, так и во внешней сети, отправляя собранные логи на сервер по защищённому соединению. 

Как действует StaffCop? Как только файл отправляется по почте, записывается на съемный носитель или сохраняется на облачном сервисе, система фиксирует событие и сохраняет теневую копию файла. Можно настроить перехват всех файлов, выводимых на принтер. Для критически важной информации включается режим «особого контроля», при котором создается теневая копия файла при любой операции с ним: открытии, изменении, переименовании, отправке куда-либо любым способом. Но эта информация требует больших объемов памяти. Представьте: файл только открыли, и уже сохраняется его теневая копия. Сколько файлов в день открывает средний сотрудник? Несколько сотен. Ваши ресурсы очень быстро переполнятся, что отразится на быстродействии. Поэтому режим особого контроля имеет смысл включать только для особо важных документов, хранящихся, например, на сетевых дисках. 

Теневая копия сохраняется с указанием места сохранения или перезапиcи файла, времени, сотрудника, который совершил операцию с файлом. Если он отправил файл сотруднику той же организации, указывается имя этого сотрудника. Если файл отправлен за пределы компании, указывается электронная почта. По каждому файлу можно получить информацию, какие сотрудники к нему обращаются, когда и зачем. Точно так же, как и по каждому сотруднику может быть составлен отчет, с какими файлами он работает и кому их отправляет, так же, как и содержание общения в месенджерах. Средства анализа системы StaffCop позволяет формировать отчеты в режиме реального времени, конфигурировать их форму в зависимости от задачи и настраивать оповещения в соответствии с политикой информационной безопасности.

Как этим можно пользоваться? Вернемся к компании, где замечены неправомерные действия, но нет точной информации, кто их совершает. Устанавливается наблюдение за подозреваемыми сотрудниками – так называемой группой риска, за всеми их операциями. При необходимости можно подключить видео экрана и запись звука. Через несколько дней такого наблюдения вы получите информацию, с какими файлами сотрудник работает, какие операции с ними производит, с кем обменивается файлами или общается внутри компании, кому отправляет по электронной почте, с кем общается в интернете и как пользуется интернет-ресурсами. 

Таким образом, можно выяснить, кто выносит информацию на USB или CD, отследить контрафактные операции, заметить искажение информации или удаление её, и не только. Но самое главное – вы получаете несомненные факты, свидетельствующие о хищениях или другой противоправной деятельности. «Если у нас есть документ, фрагмент текста, название контрагента или другая конкретика, мы можем в считанные минуты размотать клубок и понять, был ли инцидент и кто в нем замешан, – комментирует Дмитрий Кандыбович, генеральный директор компании StaffCop. –  Но даже если нет никаких входных данных, только подозрения, мы можем найти косвенную информацию, взять под наблюдение определенные сферы деятельности или сотрудников и таким образом защититься или предотвратить хищение. Можно поймать злоумышленника «на живца»: выдать часть документа или кода, и посмотреть, кто им воспользуется. Логи прекрасно дополняют данные оперативно-следственной работы».

С помощью StaffCop можно не только раскрывать совершенные преступления, но и не допускать их. Например, один из самых распространенных случаев – вынос клиентской базы. Известен случай, когда служба безопасности компании, пользующейся системой StaffCop Enterprise, заметила, что сотрудница, которая в скором времени должна была уволиться, записала базу на флешку. Когда она дошла до проходной, ее уже ждали сотрудники безопасности, и вынос информации удалось предотвратить. 

Еще один из распространенных кейсов – умышленное искажение информации.  Например, сотрудник меняет все номера телефонов в клиентской базе, меняет условия и сумму договора и т.п. В таких случаях можно не только поймать злоумышленника с несомненными доказательствами, но и восстановить информацию, для которой был установлен режим «особого контроля», поскольку на всех этапах работы с файлом была сохранена теневая копия. 

Если человек, планирующий вынос или отправку файла, сохраняет его под другим именем, такой файл может быть опознан по хэшу – цифровому отпечатку. В таком случае при восстановлении хода событий будет обнаружен факт переименования. Если же применены более сложные методы маскировки информации внутри файла, здесь поможет мониторинг ключевых слов. В системе StaffCop реализован сквозной полнотекстовый поиск по ключевым словам, который охватывает и графические файлы. Кстати, для оптического распознавания текста не нужно приобретать дополнительных лицензий: все необходимые функции уже встроены в последнюю версию.

Если в неправомерных действиях участвовали несколько человек, то их взаимосвязь можно выяснить по графу связей: на диаграмме будет видно, с кем человек общался и с помощью каких каналов. Если подключить функцию прослушивания звука, то можно услышать разговоры по мобильному телефону и переговоры сотрудников между собой.

Таким образом, система StaffCop может стать базой для построения внутренней информационной безопасности. Для того чтобы потестировать систему и понять, соответствует ли она вашим задачам, пройдите по QR-коду и оставьте заявку на бесплатный пилотный проект.

Таким образом, система StaffCop может стать базой для построения внутренней информационной безопасности. Для того чтобы протестировать систему и понять, соответствует ли она вашим задачам, напишите нам на емайл sales@staffcop.ru оставьте заявку на бесплатный пилотный проект.

Эффективные и полезные разработки, а также практические кейсы России, Казахстана, Европы и Азии раскроют для Вас спикеры Всемирных IOT&AI Саммитов в 2019 году

Запросить программу IOT & AI World Summit Russia 2019

Вы являетесь компанией разработчиком технологий и решений IoT и BigData? Хотите получить большой поток реальных клиентов, заинтересованных в покупке Ваших продуктов и услуг?

Запросить форматы участия в IOT & AI World Summit Russia 2019


Любое использование либо копирование материалов или подборки материалов сайта, элементов дизайна и оформления допускается лишь с разрешения правообладателя и только со ссылкой на источник https://iotworldsummit.ru
Другие IOT события

Другие новости
right-arrow left-arrow facebook-logo youtube instagram