InfoWatch Device Monitor: фоновая защита от утечек через съемные носители

Не теряем мнительности. Как понять, что работодатель следит за вами

Пандемия принесла немало проблем бизнесу и ударила по рядовым сотрудникам не меньше, чем по предпринимателям. Многие были не готовы мириться с постоянной удалёнкой, которая не только утомляла, но и провоцировала работодателей на пристальную слежку за подчинёнными. Спрос на программы наблюдения за действиями удалённых сотрудников рос по всему миру, и Россию не обошёл стороной. Работодатель может наблюдать и за вами — но как узнать об этом наверняка?

С начала пандемии интерес работодателей к действиям сотрудников резко вырос. Этому способствовала и повсеместная удалёнка — все теперь сидят по домам и теоретически могут заниматься в течение дня не только рабочими задачами. В конце 2021 года Объединённый исследовательский центр (Joint Research Centre) при Еврокомиссии опубликовал доклад под названием «Электронный мониторинг и наблюдение на рабочем месте» (Electronic Monitoring and Surveillance in the Workplace), в котором подтвердил эту тенденцию.

Специалисты изучили данные за 2020 год (информацию за 2021 год пока не собрали) и пришли к выводу, что работодатели стали чаще покупать программное обеспечение для слежки за сотрудниками. В частности, спрос на такие продукты увеличился на 108% в апреле и на 70% в мае (по сравнению с аналогичными месяцами 2019 года). Поисковые запросы на тему «как контролировать сотрудников, работающих из дома», в свою очередь выросли на 1705% и 652% соответственно.

Ещё один тренд — рост запросов о продажах компаний, которые разрабатывают ПО для мониторинга действий сотрудников. К примеру, в апреле 2020 года отслеживающим приложением DeskTime стали интересоваться на 333% больше, Time Doctor — на 202%, Teramind — на 169%, а Kickidler — на 139%.

Эти программы позволяют работодателям наблюдать за всем, что происходит на рабочем столе сотрудника в режиме реального времени, а также следить за тем, сколько времени он тратит на рабочие задачи и отвлекается ли на посторонние вещи. Некоторые из подобных сервисов могут работать совместно с системами расчёта зарплаты, управления проектами и другими программами.

Отдельные компании используют программное обеспечение для подсчёта времени, проведённого сотрудником за компьютером. Другие предпочитают наблюдать за работниками через веб-камеры и требуют всегда держать их включёнными. Все эти меры привели к росту обеспокоенности сотрудников из-за цифровой слежки, смещения границ их частной жизни и постоянных нарушений действующих соглашений об использовании подобных технологий со стороны работодателей.

В России подобных исследований не проводят, но практика слежки за сотрудниками при помощи специальных программ распространена и у нас. В то же время известно, что на фоне пандемии отечественные работодатели стали пристальнее следить за поведением подчинённых в социальных сетях.

Необходимо понимать, что существует легальная и скрытая слежка за сотрудниками. Первая обычно прописывается в трудовом договоре, а о второй работодатели умалчивают. Если вы подозреваете, что начальник подглядывает за тем, как вы выполняете свою работу, то хотя бы один пункт из списка признаков такой слежки покажется вам знакомым.

InfoWatch Device Monitor: фоновая защита от утечек через съемные носители

Благодаря программе InfoWatch Device Monitor предприятие защищается от утечек конфиденциальных сведений посредством съемных носителей. Сертифицированные специалисты Azone IT выполняют установку агента на всех рабочих станциях и ноутбуках в организации клиента. Система очень удобна в управлении, которое осуществляется централизованно.

Предлагаемые нами решения InfoWatch Device Monitor позволяют своевременно обнаруживать, предотвращать и анализировать инциденты нарушения информационной безопасности. Модуль постоянно соотносит с правилами политики конфиденциальности все действия, совершаемые со съемными носителями. Все документы, которые выводятся на печать либо передаются на мобильные накопители, подвергаются теневому копированию.

С продуктом InfoWatch Device Monitor можно решать широкий круг задач по обеспечению информационной безопасности:

  • контролировать передачу файлов с конфиденциальными данными на USB-накопители, CD-, DVD-диски. В поле зрения программы попадают все устройства, подключенные через порты COM, LPT и USB;
  • отслеживать пользование устройствами, работающими по протоколам Bluetooth и IrDA;
  • наблюдать за доступом к карманным мобильным компьютерам. Система InfoWatch Device Monitor ведет мониторинг за всеми устройствами на базе Palm OS и Windows Mobile;
  • проверять документы, которые выводятся на печать.

Полученные теневые копии перенаправляются на центральный сервер для последующей обработки и анализа. На их основании выносится вердикт: присутствует в документе конфиденциальная информация или нет. При этом каждый пользователь InfoWatch Device Monitor вправе создать свой «белый» список устройств. Доступ к ним свободен от каких-либо ограничений.

Задание 5: Проверка работоспособности системы

Вам необходимо установить и настроить компоненты системы в соответствии с выданным заданием.

Основными каналами потенциальной утечки данных являются носители информации, электронная почта и различные интернет ресурсы.

Серверные компоненты устанавливаются в виртуальной среде, причем Windows Server для Device Monitor уже предустановлен, а InfoWatch Traffic Monitor необходимо будет установить самостоятельно с помощью дистрибутива kickstart.

Также у вас есть компьютер или виртуальная машина «нарушителя» для отработки политик.

В компании развернут домен со всеми сотрудниками с указанием ФИО, должности и контактов.

Стоит отметить, что имена компьютеров должны быть уникальными в соответствии с заданием.

В случае, если в задании указано «зафиксировать выполнение скриншотом», скриншот необходимо сохранить на рабочем столе host-машины в папке ДЭ, название файла должно содержать в себе название модуля и раздела.

При выполнении заданий можно пользоваться справочными ресурсами kb.infowatch.com.

Модуль 1: Установка и настройка системы.

Задание 1: Установка InfoWatch Traffic Monitor

Необходимо установить InfoWatch Traffic Monitor в виртуальной среде VMWare Workstation. Для установки необходимо создать виртуальную машину или убедиться в правильности настроек виртуальной машины:

· Количество ядер процессора: 2

· Объем оперативной памяти: 8 ГБ

· Объем жесткого диска: 100 ГБ (динамически расширяемый)

· Образ установочного: указан в дополнительных сведениях

· Настройки сетевых интерфейсов указаны в дополнительных сведениях

Параметры IWTM: версия Enterprise, база данных PostgreSQL.

Обратите внимание на разметку диска при установке системы.

Пароль суперпользователя необходимо установить xxXX1122

Пароль офицера безопасности InfoWatch Traffic Monitor для доступа к веб-интерфейсу необходимо изменить на 1122XXxx

Необходимо активировать лицензию.

Необходимо синхронизировать каталог пользователей и компьютеров LDAP.

Запишите IP -адрес, token , а также все нестандартные логины и пароли вашей системы в текстовом файле “ iwtm . txt ” на рабочем столе host машины.

Корректно выполненным заданием будет являться установленная и работоспособная система с верно настроенными параметрами.

Задание 2: Установка и настройка сервера InfoWatch Device Monitor

Необходимо ввести Windows Server в домен от пользователя, указанного в дополнительных сведениях и продолжить работу от него.

Установить базу данных PostgreSQL с параметрами по умолчанию. Пароль суперпользователя БД должен быть xxXX1122

Установить InfoWatch Device Monitor с параметрами по умолчанию.
При установке необходимо настроить пользователя для доступа к консоли управления: officer с паролем xxXX1122

При установке не производить публикацию IWDM сервера в Active Directory.

Синхронизируйте IWDM с Active Directory и свяжите IWDM с вашим InfoWatch Traffic Monitor.

Настройки сетевых интерфейсов указаны в дополнительных сведениях.

Задание 2: Установка InfoWatch Device Monitor Client

Необходимо ввести клиентский компьютер в домен, войти в систему от доменного пользователя, продолжить работу от него.

Необходимо установить Deploy Agent на клиентский компьютер.

Для установки InfoWatch Device Monitor Agent на клиентский компьютер необходимо создать и выполнить задачу первичного распространения.

Зафиксируйте выполнение скриншотом успешно завершенной задачи.

Добавьте компьютер в систему InfoWatch Traffic Monitor или убедитесь в его наличии в каталоге «компьютеры».

Проверьте работоспособность IWDM клиента.

Настройки сетевых интерфейсов указаны в дополнительных сведениях.

Задание 4: Установка и настройка подсистемы Crawler

Необходимо установить подсистему Crawler на Windows Server и связать его с InfoWatch Traffic Monitor. Не забудьте изменить необходимые конфигурационные файлы для нормальной работы Crawler.

Создайте общий доступ на каталог c:shareone с правами чтения и записи для всех на Windows Server.

Настройте crawler на ежедневное сканирование ранее созданной папки “Shareone” вашего Windows Server.

Задание 5: Проверка работоспособности системы

Необходимо создать проверочную политику в InfoWatch Traffic Monitor на правило передачи, копирования, хранения и буфера обмена текстовых данных (все 4 варианта срабатывания событий), содержащих слова «WorldSkills» и «ДемоЭкзамен, разрешить передачу, установить низкий уровень угрозы для всех событий, добавить тег «WorldSkills».

Называйте политики, объекты и прочие параметры, связанные с заданием «ДемоЭкзамен» (“DemoExam”), можно добавлять цифры, если параметров более одного.

Проверить срабатывание всеми четырьмя возможными способами (передачи, копирования, хранения и буфера обмена).

Зафиксируйте факт нарушений в системе, сделайте скриншот каждого типа событий (или общий).

Корректно выполненным заданием является наличие событий в системе и наличие скриншотов событий.

Модуль 2, 3: Разработка политик безопасности в системе корпоративной защиты информации от внутренних угроз.
Поиск и предотвращение инцидентов.
Технологии анализа сетевого трафика в системе корпоративной защиты информации от внутренних угроз.

Создайте в системе InfoWatch Traffic Monitor политики безопасности согласно нижеперечисленным заданиям.

• Политики должны автоматически блокировать трафик или предупреждать о нарушении в соответствии с заданием.

• Некоторые политики должны быть созданы с нуля, некоторые могут быть сделаны путём модификации существующих в системе.

• Для некоторых политик необходима работа с разными разделами консоли управления TM: категориями и терминами, технологиями, объектами защиты и т. п. Способ, которым создана корректная политика, оставлен на усмотрение самого экзаменуемого.

• При выявлении уязвимости, DLP-система должна автоматически устанавливать уровень угрозы в соответствии с заданием (если в задании это не указано явно, участник должен самостоятельно задать уровень угрозы при разработке политики).

• Списки сотрудников, занимаемые позиции и отделы сотрудников (HR, Accounting и др.) представлены в разделе «Персоны» Infowatch Traffic Monitor по результатам LDAP-синхронизации с AD-сервером компании

• После создания всех политик, будет запущен автоматический «генератор трафика», который передаст на InfoWatch Traffic Monitor поток данных, содержащих как утечки, так и легальную информацию.

• При правильной настройке, политики InfoWatch Traffic Monitor должны автоматически выявить (или блокировать) и маркировать инциденты безопасности. Не должно быть ложных срабатываний, т.к. легальные события не должны маркироваться как вредоносные. Не должно быть неправильной маркировки. Должны быть выявлены все инциденты безопасности.

• Необходимо называть политики/объекты/категории и прочие объекты в соответствии с заданием, например «Политика Задание 2». Без верно названных объектов проверка вашего задания может стать невозможной. Стоит учесть, что совместно с созданными могут срабатывать стандартные политики, поэтому их стоит отключить (удалить) или модифицировать.

• В комплексных заданиях необходимо пользоваться объектами защиты.

• Задания можно выполнять в любом порядке.

• Проверьте синхронизацию времени на всех системах, т.к. расхождение во времени между системами может повлиять на актуальность событий.

• Для некоторых политик могут понадобиться дополнительные файлы, которые можно найти на рабочем столе хост-машины.

• Выполнение отдельных заданий необходимо подтвердить скриншотом (это всегда указывается отдельно). В этом случае необходимо протоколировать свои результаты с помощью двух скриншотов для каждого задания (скриншот заданной политики и скриншот ее работы). Для некоторых заданий необходимо после фиксации результатов в виде скриншотов удалить заданную политику, что будет оговорено отдельно в тексте задания.

• Все скриншоты необходимо сохранить на рабочем столе в папке
«Модуль 2, 3».

Формат названия скриншотов политик:

Пример 1 для сохранения скриншота созданной политики: CP-1.jpg

где СP – сокращение от англ. сreating а policy,

1 – номер задания

Пример 2 для сохранения скриншота работающей политики: PW-1.jpg

где PW – сокращение от англ. policy work,

1 – номер задания.

Пример 3 для сохранения нескольких скриншотов одной работающей политики:
PW-1-2.jpg

где PW – сокращение от англ. policy work,

1 – номер задания;

2 – номер скриншота для задания 1.

Задание 1

Необходимо создать новую категорию веб-ресурсов и добавить в нее следующие сайты: infowatch.com, kb.infowatch.com, worldskills.org, wordlskills.ru, vmware.com.
Подтвердите выполнение задания скриншотами.

Задание 2

Для правильной работы системы необходимо настроить периметр компании:

• Список веб ресурсов: ранее созданный список.

• Группа персон: пользователи домена.

• Исключить из перехвата почту генерального директора.

Подтвердите выполнение задания скриншотами.

Задание 3

Внешние эксперты привлекаются компанией для оценки эффективности работы её службы безопасности в части создания политик DLP-системы.
Создайте пользователя Auditor (Аудитор), пароль xxXX1122, который может только просматривать только политики, без просмотра событий и пользователей.
Подтвердите выполнение задания скриншотами.

Политика 1

В связи с постоянными проблемами при организации очередного демонстрационного экзамена по стандартам WorldSkills, совет директоров решил контролировать передачу информации о WorldSkills и DemoExam (ДемоЭкзамен) за пределы компании. В связи с этим необходимо создать политику в InfoWatch Traffic Monitor на правило передачи текстовых данных за пределы компании (на адрес вне домена), содержащих слова «ВорлдСкиллз», «WorldSkills», «DemoExam» и «ДемоЭкзамен».
Hеобходимо учесть, что в словах могут содержаться комбинации латиницы и кириллицы, а также стоять пробел между словами, например: «Demo Экзамен». Ложных срабатываний быть не должно (например, просто на Экзамен).
Разрешить передачу, но установить средний уровень угрозы. Тег « DemoExam ». Проверить работоспособность.

Политика 2

Необходимо ввести под наблюдение руководителей отдела кадров и бухгалтерии.
Ввести политику, детектирующую передачу любой информации от этих пользователей за пределы компании.
Уровень угрозы низкий, детектировать, тег «Бюрократы».

Политика 3

Необходимо запретить передачу документов с грифом (информационной меткой) «ООО Demo Lab. Конфиденциально» или «ООО Demo Lab. Строго конфиденциально» любым сотрудникам за пределы компании. Обратите внимание, что при вводе информационной метки с клавиатуры сотрудники могут ошибаться и вводить между словами более 1 пробела или табуляции. В некоторых документах название компании может быть написано по-русски.
Уровень угрозы высокий, блокировать.

Политика 4

Необходимо контролировать циркуляцию внутри организации документов с грифом «Совершенно Секретно», а также блокировать их приём и передачу за пределы компании. Реализовать политику с помощью технического элемента «Периметр»
Уровень угрозы высокий, блокировать передачу на внешние ресурсы, не блокировать передачу внутри компании, тег «Секретность».

Политика 5

Поступила информация, что сотрудники ИТ параллельно «халтурят», выполняют сторонние заказы, используя ПО и аппаратные средства компании. Необходимо выявить документы, содержащие данные о фрилансе, удаленке, почасовой оплате, заказах. Стоит учесть морфологию и различные варианты написания этих ключевых слов.
Уровень угрозы низкий, блокировать, тег «Халтурщики».

Политика 6

Для контроля за движением официальных документов необходимо вести наблюдение за передачей любых документов с печатями за пределы компании.
Уровень угрозы низкий, не блокировать, тег «Печать».

Политика 7

Для контроля за движением официальных документов необходимо вести наблюдение за передачей как пустых, так и заполненных шаблонов документа «Договор компании.doc» за пределы компании. Стоит учесть, что содержимое документа может изменяться в пределах 25%.
Уровень угрозы низкий, не блокировать, Тег «Шаблон».

Политика 8

Создайте локальную группу пользователей «Злостные прогульщики», а также группу «Ленивые тюленьчики» в Traffic Monitor. Добавьте в каждую из них любых 3-х пользователей из разных отделов.
Подтвердите выполнение задания скриншотами.

Политика 9

Всем сотрудникам кроме отдела кадров запрещено отправлять паспортные данные, в том числе сканы и фото паспортов РФ, данные СНИЛС и ИНН за пределы компании.
Уровень угрозы средний, блокировать.

Политика 10

Было замечено, что сотрудники компании стали получать множество рекламных сообщений электронной почты, из-за чего возникла необходимость отследить потенциальную утечку баз email адресов сотрудников. В связи с этим необходимо детектировать сообщения, содержащие адреса электронной почты.
Стоит учесть, что в связи с импортозамещением данные адреса могут находиться и на кириллических доменах, а также содержать другие допустимые символы email адресов. Пример формата адресов:
e-mail@domain.com, элепочта@компания.рф и так далее.
Уровень угрозы средний, не блокировать, тег « email ».

Политика 11

Ракетное вооружение для авиационных комплексов различного класса, в разработке которого участвует компания в интересах МО РФ, планируется к внедрению в эксплуатацию. Утечки по данному виду продукции в настоящее время недопустимы! Информация о технике может иметь конфиденциальный и секретный характер, хотя и не содержать гриф, в силу высокого темпа работ по проекту.
Необходимо блокировать любые попытки передачи данных об этих объектах на внешние адреса. Технические объекты задаются буквенно-цифирными кодами на русском языке:
Р-Цифры-Буквы или РЦифрыБуква или Р-ЦифрыБуква

• Р – русская буква «Р»

• Цифры – не более 4-х подряд, например 27 или 5000 (может не быть цифр)

• Буквы – от 0 до 2-х подряд, например Р-27АЭ (управляемая ракета класса «воздух-воздух» средней дальности)

При этом после Р или дефиса обязательно должна быть хотя бы одна цифра или одна буква (Т.е. не должно быть срабатываний на просто «Р» или «Р-»).

Уровень угрозы высокий, блокировать, тег «Ракета».

Политика 12

Необходимо поставить на мониторинг все зашифрованные и запароленные данные, т.к. попытки передачи таких данных несут потенциальную опасность утечки.
Уровень угрозы низкий, не блокировать, тег «Шифр».

Как Infowatch определяет активность пользователя?

Сабж собственно. Поставили (факт установки был одобрен после отлова попытки аинтивир таск манагером). Челу из соседнего отдела сказали, что он работал 34% от рабочего времени. нам пока не предъявляют ничего.

Хотелось-бы понимать как производится расчет. По списку приложений (эксель, 1с — работа, браузер, проигрыватель — расслабон?) и активному окну? По отработке интерактивных событий (клики мышки, клавиатура) приложений из списка работы? Как по другому?

(1) ну это как-бы несерьёзно на основе процессорного времени определять реальную активность пользователя.

(4)установку софта засечь легко, а вот лазерная мышь направленная на зеркало должна немного шевелить курсор.

(4) Наверняка там достаточно сложная эвристика, накопленная по результатам экспериментальных данных. Снимаются профили «эталонного бездельника» и «эталонного работяги», и потом на основании нескольких факторов (клики мышкой, действия клавиатурой, дескрипторы открытых и активных окон, загруженность процессора и диска) выдается некий процент.

(7) Как можно сделать профиль эталонного бездельника и эталонного работяги?
Человек весь день работал, в конце работы напечатал на компьютере отчет за пять минут.
И что ваша программа покажет — использование компьютерав в течении 5 минут?

(8) Многие начальники работу на компьютере оценивают по мозолям на пальцах и стертых буквах на клавиатуре)

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector