Программный комплекс StaffCop Enterprise предназначен для мониторинга работы пользователей, сбора информации об их продуктивной и непродуктивной деятельности, а также контроля оборудования рабочих станций и серверов. Комплекс имеет разнообразные инструменты для аналитики, позволяет вести расследования инцидентов и строить разнообразные отчёты на основе имеющихся данных. Конструктивно StaffCop Enterprise представляет собой программный комплекс, построенный по принципу «клиент-сервер» (в терминологии StaffCop клиент носит название «агент»).

Агент устанавливается на рабочую станцию пользователя (или на сервер терминалов) и собирает информацию как об оборудовании и программном обеспечении, так и о работе пользователя. Управляется агент конфигурацией, которая «сообщает» агенту, какие каналы передачи информации надо контролировать, какие действия пользователя фиксировать и т.д. Информация собирается в самом полном объёме, так как агент запускается с правами администратора и может «дотянуться» практически до любого параметра рабочей станции, операционной системы или действия пользователя.

Использовать StaffCop Enterprise в своей работе может любое предприятие: от совсем небольшой компании (количество приобретаемых лицензий – 5 рабочих станций, более того – известны проекты с одним агентом) до крупных промышленных компаний и холдингов (в случае использования схемы серверов StaffCop Enterprise «Master-Slave» возможно создание серверной группировки StaffCop, обслуживающей 4.500 агентов и более).

Разработчик программного комплекса StaffCop Enterprse – компания «Атом Безопасность», резидент новосибирского Академгородка. Компания полностью российская - без участия зарубежных капитала и технологий, имеет опыт разработки программного обеспечения мониторинга более 10 лет, специализация – разработка программных комплексов для решения задач информационной безопасности, учёта рабочего времени, удалённого администрирования и мониторинга работы пользователей.

Начинается история StaffCop Enterprise в январе 2014 года, когда стало ясно, что программа StaffCop Standard, существовавшая на тот момент, больше не удовлетворяет сложившимся реалиям и требованиям информационной безопасности, а также новым вызовам в этой области, и надо переходить к новому принципу построения программного продукта. Была выбрана технология клиент-сервер, и основополагающим для дальнейшего развития сервера стал выбор платформы: относящиеся к категории СПО (свободно распространяемого, т.е. бесплатного ПО) операционная система GNU/Linux Ubuntu, СУБД PostGRE SQL, веб-сервер nginx. Это позволяет клиентам резко сократить расходы на внедрение (по сравнению с внедрением сервера на платформе Microsoft Windows) – отпадает необходимость приобретения лицензий на серверное программное обеспечение.

Результатом перехода к новой стратегии стала первая версия - 1.0, которая была выпущена в июле 2014 года. И это был хороший продукт: полноценно функционирующая версия, пусть и с ограниченными возможностями; она демонстрировала новые технологии, правильность выбора направления развития и стала платформой для выпуска всех версий «Cемейства 1»: от 1.1 до 1.9. 

Версия 1.9, финальная версия «Семейства 1», вышла в августе 2015 года и «накопила» в себе очень много важных, нужных и полезных изменений, вошедших как в неё, так и в промежуточные версии. Самым важным нововведением, появившимся в версии 1.3 (ноябрь 2014 г.), было появление мониторинга активности пользователя: таким образом, стало возможным определять, работает пользователь за компьютером или открыл окно Microsoft Word «для маскировки» и пьёт чай. Важными были также введение разграничения прав в веб-интерфейсе на права администратора системы и рядового пользователя (версия 1.4, февраль 2015 г.), разработан модуль контроля присутствия на рабочем месте (версии 1.5/1.6, апрель 2015 г.), который стал особо актуальным для call-центров и других организаций, где пользователь имеет право покидать своё рабочее место только в строго определённое время.

Важнейшим этапом в развитии программного комплекса стала версия 1.8 (июль 2015 г.), в которой появилась возможность устанавливать подключение сервера StaffCop к контроллеру домена Active Directory. 

Кроме того, начиная с версии 1.9, была добавлена в функционал агента возможность записи звука с микрофона рабочей станции.

Направление развития от версии к версии, введение новых функций сбора информации в агенте и методов обработки информации на сервере выбирались не просто так. Развитие системы, доработка агента, развитие веб-интерфейса сервера напрямую зависели от задач, возникающих перед клиентами компании «Атом Безопасность». Обратная связь с клиентами играет в этом очень большую роль: причем, не важно речь идёт о клиентах с крупным или небольшим парком компьютеров. Ведь только заказчики знают лучше всего, что конкретно им нужно, какой именно функционал им наиболее важен. 

Пожелания клиентов превращались в задачи для разработчиков, и в сентябре 2015 года «Атом Безопасность» представила версию 2.0. Начался жизненный цикл версий «Семейства 2».

Самое важное, что предложила базовая версия «Семейства 2» пользователям, была фундаментальная доработка системы учёта рабочего времени: появились индивидуальные расписания (стало возможным менять время начала и окончания рабочего дня), ленточные графики с указанием продуктивности/непродуктивности рабочего времени сотрудника, были доработаны отчёты. Появилась возможность создания групп пользователей для назначения конфигураций, добавились новые измерения в Конструкторе фильтров для событий, что позволило в случае инцидента точнее локализовать время, когда этот инцидент произошёл.

Для администраторов безопасности тоже появилась новая важнейшая возможность: до появления версии 2.0 перехват почтовых сообщений и вложенных файлов в почтовых сообщениях работал только в том случае, если для работы с электронной почтой использовались специализированные приложения – почтовые клиенты: Microsoft Outlook, Mozilla Thunderbird и т.д. Канал веб-интерфейса почты вообще не контролировался никак и мог стать каналом потенциальной утечки информации; версия 2.0 поставила этот канал на полный мониторинг – теперь и работа с почтой через веб-интерфейс с наиболее популярными серверами (mail.yandex.ru, mail.ru, gmail.com) контролировалась полностью.

Изменения в версиях 2.1-2.5 (октябрь 2015 г. – апрель 2016 г.) были скорее косметическими и больше внешними: дорабатывались отчёты, улучшался внешний вид веб-интерфейса, добавилось измерение «AD-домен пользователя». Из внутренних следует отметить только возможность выполнять резервное копирование при очистке диска – это немного облегчило работу системных администраторов по обслуживанию сервера.

Одновременно продолжался сбор пожеланий как пользователей комплекса, так и потенциальных клиентов. Готовился качественный скачок – не просто выпуск новой версии, а представление принципиально нового комплекса, хоть и внешне не особо отличавшегося от работающего.

И такой качественный скачок произошёл в мае 2016 года – была выпущена версия 3.0. 

Система действительно была принципиально новой – ядро комплекса StaffCop было радикально переработано, что значительно повысило скорость работы. Фильтры теперь были реализованы на перспективном языке программирования Python, что заложило основу для дальнейшего развития системы на годы вперёд.

Появился модуль, без которого просто невозможно представить сейчас любую систему мониторинга – модуль просмотра рабочего стола пользователя в режиме онлайн. Была изменена система лицензирования: до версии 3.0 все агенты получали лицензию от сервера «раз и навсегда» - освободить лицензию для использования другим агентом можно было, только удалив агента; начиная с версии 3.0 появилась схема динамических («плавающих») лицензий – отзывать и назначать лицензии агентам (и соответственно – прерывать и запускать сбор информации) стало возможным несколькими кликами мыши в веб-интерфейсе, без каких-либо действий по удалению и новой установке агентов.

Изменились алгоритмы подсчёта продуктивного и непродуктивного времени, что увеличило точность предоставляемых отчётов, появился подсчёт времени, проведённого пользователем на сайте.

Для аналитиков версия 3.0 тоже предложила новую полезную возможность: появился граф взаимосвязи между пользователями, который строился на основе сообщений переписки, что позволило выявлять теневых лидеров коллектива и в дальнейшем обращать на них более пристальное внимание. Также появился линейный график событий для анализа аномалий.

Версия 3.0 не стала родоначальником «Семейства 3». По сути дела, «Семейства 3» как такового и не было: была выпущена только версия 3.1 (октябрь 2016 года), которая включала в себя исправления ошибок, обнаруженных в версии 3.0, и внешние улучшения: расширение типов отображаемых графиков, возможность периодической отправки отчётов по расписанию, подсветку слов по словарям в событиях и т.д.

Более полугода не появлялось новых версий, все усилия были сосредоточены на подготовке базовой версии нового семейства – «Семейства 4». Версия 4.0 появилась в апреле 2017 года. Качественный скачок по сравнению с версией 3.1 был даже больше, чем при переходе с «Семейства 2» к версии 3.0.

Самое важное нововведение в версии 4.0 по сравнению с предыдущими версиями – это появление агента для GNU/Linux: ранее агент был только для ОС семейства Windows. С появлением агента для GNU/Linux резко расширилась область потенциального применения StaffCop Enterprise: к ней присоединились компании, использующие СПО.

Появились и другие новые важные возможности, расширения и дополнения:

• стало возможным захватывать управление рабочей станцией, что позволило при обнаружении несанкционированных или вредоносных действий пользователя пресекать их немедленно;

• модуль инвентаризации оборудования (что позволило с помощью StaffCop выявлять нечистых на руку сотрудников) и инвентаризации программного обеспечения;

• блокировка USB по классам устройств (что позволяет разрешать подключения клавиатур и мышек, а всё остальное – заблокировать);

• «белые» и «чёрные» списки учётных записей пользователей для мониторинга, что позволило сократить объём собираемых данных: если пользователю доверяют на все 100%, запрещаем мониторинг пользователя (добавляем его в «чёрный» список системы) – и всё, информация о событиях этого пользователя не собирается, база данных не заполняется ненужными данными, экономится пространство на диске сервера;

• впервые была добавлена совместимость с антивирусом Касперского версии 10 – он перестал блокировать работу агента;

• добавлен тип события «поисковый запрос», что позволило полнее контролировать работу пользователя в сети Интернет;

• появился автоматический детектор аномалий поведения пользователей, что облегчило работу администраторов безопасности;

• добавлен новый канал для контроля почтовых сообщений – Exchange ActiveSync;

• добавлена поддержка перехвата переговоров по SIP-телефонии (при наличии «софтофона» на рабочей станции пользователя).

Уже по этому, даже неполному (перечислены только основные нововведения) списку понятно, насколько продвинулась вперёд версия 4.0 по сравнению с версией 3.1. Версию 4.0 надо однозначно признать полным успехом компании «Атом Безопасность» - мало того, что 4.0 стала родоначальницей систем «Семейства 4», она содержала ещё и очень малое количество ошибок и недоработок – следующая версия, 4.1, вышла только через полгода, в октябре 2017 года. С выходом версии 4.1 «Атом Безопасность» перешла на полугодовой цикл выхода версий.

Версия 4.1 также содержала достаточно много полезных и важных изменений и нововведений. Самые важные из них:

• были введены «карточки измерений» - сводные отчёты по выбранным измерениям;

• было добавлено новое событие – «видео рабочего стола», т.е. появилась возможность «снимать видеофильм» о работе пользователя;

• расширились возможности работы с USB-носителями: появился режим работы носителей «только чтение» и теневое копирование файлов с USB-диска;

• для режима просмотра удалённого рабочего стола добавилась возможность просмотра окна терминальной RDP-сессии;

• значительно расширены функции утилиты удалённой установки;

• в «софтофоне» (SIP-телефония) помимо разговора стали перехватываться SMS-сообщения.

Кроме того, обнаруженные в версии 4.0 ошибки и недоработки были исправлены.

Версия 4.2 была представлена в феврале 2018 года. Самое важное в ней то, что впервые в истории StaffCop Enterprise было сделано, хоть и не в полном объёме, распознавание сканированных изображений – прототип функции OCR. Второе важное нововведение – реализация обнаружения зашифрованных ZIP/RAR-архивов (архивов с паролем): понятно, что раскрыть пароль в таких случаях очень трудно (если вообще возможно), но справедливо будет считать такую пересылку потенциально опасной в плане утечки информации, а значит, администраторы по безопасности получили в свои руки новый инструмент для противодействия таким утечкам. Остальные изменения в основном затрагивали внешний вид веб-интерфейса системы и улучшали работу с ним.

Менее чем через полгода была выпущена версия 4.3 (июнь 2018 года). В ней были сделаны новведения, ориентированные на крупных клиентов (со значительным числом агентов):

• интеграция со скоростной СУБД ClickHouse (бесплатная СУБД, разработанная Yandex Group), которая устанавливается отдельно и позволяет значительно ускорить обработку данных и построение отчётов, что может служить инструментом оперативных расследований;

• полная интеграция с доменом Active Directory: установка агента по списку рабочих станций, получаемому из домена, назначение конфигураций агентов по группам рабочих станций в Active Directory, создание учётных записей для входа в веб-интерфейс из Active Directory.

Значительные изменения были внесены в систему учёта рабочего времени:

• появилась возможность редактирования производственного календаря, что позволило соотносить рабочие графики сотрудников с действующим законодательством и изменениями в нём;

• появились рабочие расписания, которые можно настроить в соответствии с рабочим графиком сотрудников, а значит, получаемые отчёты в точности отображают реальную ситуацию;

• появилась поддержка часового пояса – отображение событий и отчётов по реальному времени агентов контролируемых рабочих станций;

• добавились новые отчёты: топ по отделам/пользователям, продуктивность/активность/ присутствие на рабочих местах по отделам, с выгрузкой в различном формате.

Расширились возможности по сбору информации агентами для Windows и GNU/Linux. Существенным расширением для Windows-агента стала возможность перехвата паролей – как на сайтах, так и паролей Windows, в том числе и перехват паролей учётных записей. У Linux-агента появились такие возможности, как контроль подключения внешних дисков и мониторинг файловых операций с поддержкой правил этого мониторинга.

Проще стало работать с конфигурациями агентов: появилась группировка настроек по модулям, сделано несколько других мелких изменений.

По опыту автора – версия 4.3 стала основной для массированного развёртывания StaffCop. Эта же версия стала «дверью в мир StaffCop» для автора – 4.3 стала первой версией, которую он лично устанавливал, настраивал, а впоследствии и эксплуатировал почти полтора года, обновляя её до более новых версий.

Версия 4.4 (ноябрь 2018 г.) предложила развитие в сторону возможностей расширения перехвата агентом информации: так, для Windows-агента появилась функция прослушивания и записи звука, который выдают колонки рабочей станции, теневое копирование всех файлов с USB-носителя при его подключении, работа с «белыми» и «чёрными» списками WiFi-сетей. Linux-агент стал развиваться в сторону улучшения работы файлового мониторинга.

Основные видимые изменения на сервере были связаны с доработкой отчётов (были добавлены отчёты о нарушении трудовой дисциплины), но главным было то, что функция OCR (распознавания изображений) заработала в полном объёме, при этом приобретение дополнительных лицензий на OCR-модуль не требуется. Без ошибок заработали авторизация в веб-интерфейсе с помощью учётных записей Active Directory и присвоение конфигурации агенту на основе наличия рабочей станции в группе AD.

Серьёзные изменения постигли внутреннюю архитектуру сервера – было введено шардирование, т.е. разбиение базы данных на месяцы, что позволило перемещать неизменяемые части базы данных на «медленные» диски, освобождая место на «быстрых» дисках. Кроме того, появилась технология Master-Slave серверов – стало возможным создавать «звезду» из slave-серверов в филиалах и master-сервера в головном предприятии. Все настройки возможно сделать на master-сервере, а потом «разослать» их по slave-серверам, также можно настроить синхронизацию – чтобы slave-серверы пересылали накопившиеся события на master-сервер для дальнейшего просмотра и анализа (файлы из файлового хранилища не пересылаются).

Расширились возможности наблюдения за пользователями в режиме онлайн. Так, заработал режим «видеостена» (в терминологии StaffCop он называется «квадратор») для просмотра более чем одного рабочего стола пользователя одновременно: достаточно  веб-интерфейсе сервера выделить несколько агентов (или пользователей), нажать появившуюся кнопку «Просмотр рабочих столов»  - и на экране администратора возникнет «мозаика» из рабочих столов пользователей в режиме реального времени.

Поскольку было внесено достаточно много изменений в веб-интерфейс (переработаны цветовая палитра, группировки меню), освоение пользователями версии 4.4 несколько затянулось. И пока пользователи разбирались, где им найти привычные функции– «Атом Безопасность» представила версию 4.5 (апрель 2019 г.)

В версии 4.5 было введено два новых типа графиков – «Радар» и «Река событий», которые увеличили наглядность отображения информации. По многочисленным запросам пользователей был сделан отчёт «Последние снимки с экрана». Были изменены представления карточек измерений «Пользователь» и «Компьютер» - они стали более удобными.

Была исправлена методология, которая вызывала очень много нареканий: при настройке политик, как стандартных системных фильтров, так и создаваемых пользовательских – нельзя было объединять фильтры, созданные в Конструкторе, и созданные путём комбинации условий в «Сложном запросе»: нужно было пользоваться либо фильтрами Конструктора, либо фильтром, условие которого задано «Сложным запросом». Начиная с версии 4.5 это ограничение снято – можно свободно «смешивать» условия фильтра Конструктора и «Сложного запроса».

Обновились словари и политики. В них были внесены новые данные (и новые сайты), соответствующие категориям «Непродуктивно» и «Инцидент».

Windows-агент расширил свои возможности по перехвату данных, взяв под контроль следующие каналы:

• мессенджер Telegram (desktop-версия);

• полный перехват (диалоги, передача файлов) в Skype 8;

• перехват вложений при использовании веб-интерфейса Gmail (после очередного изменения протокола);

• перехват файлов очереди принтера.

В веб-интерфейсе появилась ssh-консоль, правда, «из коробки» она была выключена, и включать её нужно было дополнительно. Существенно была доработана и утилита удалённой установки.

Но любой программный продукт – как двухколёсный велосипед: его нормальное состояние – движение (развитие). Остановится в развитии – упадёт, перестанет интересовать клиентов. Поэтому, постоянно находясь в активном поиске, развивая связи с клиентами и партнёрами, анализируя появляющиеся вновь угрозы, компания «Атом Безопасность» развивает StaffCop Enterprise. Результатом этого планомерного развития стал выпуск в ноябре 2019 г. версии 4.6.

Направление развития агентов по перехвату различных каналов возможной утечки информации было сохранено, и появились следующие дополнительные возможности:

• перехват веб-версии Skype – как диалогов, так и передаваемых файлов;

• перехват веб-версии приложения «Mail.Ru агент»;

• перехват веб-версии ICQ (Не думайте, что эти протокол, клиент и сервис устарели. Некоторое время назад было объявлено о перезапуске сервиса, с сильно расширенными возможностями, вплоть до бесплатных видеоконференций.-Прим.авт.);

• появился новый режим перехвата почты, через перехват писем в IMAP-ящике на почтовом сервере;

• перехват файлов, отправленных через агрегатор облачных хранилищ disk-o;

• удалённое управление рабочей станцией (Linux-агент);

• перехват печати (через CUPS, Linux-агент);

• получение логов агента из командной строки (Linux-агент).

Развитие сервера тоже не стояло на месте. Естественно, обновились словари и политики, были расширены возможности поиска по словарям и увеличена точность срабатывания в словарях. Работа комбинации фильтра из Конструктора и «Сложного фильтра» была существенно улучшена. Появился графический редактор правил в DLP-модуле. Стало возможным назначать «отчёт по умолчанию» в линзе событий.

Главным улучшением веб-интерфейса, которое ждали многие пользователи комплекса с нетерпением, стало введение сортировки списка пользователей и компьютеров в Конструкторе по возрастанию и убыванию.

Версия 4.7 – на сегодняшний момент самая последняя версия StaffCop Enterprise – появилась в мае 2020 года. Она, основываясь на версии 4.6, включает в себя практически все пожелания и замечания пользователей к версии 4.6, собранные на основе полугодовой эксплуатации 4.6 и более длительных периодов для предыдущих версий, противодействия последним вызовам в области информационной безопасности, а также, конечно, мысли разработчиков из серии «мы считаем, что оно должно быть именно так и не иначе».

Самое главное изменение, к сожалению, видное только системным администраторам – смена платформы программного комплекса. Теперь операционная система, на которой базируется StaffCop Enterprise – Ubuntu 18.04.4 LTS: при этом совместимость с устаревающими платформами (Ubuntu 14, Ubuntu 16) осталась, но и появилась возможность работать на более свежих редакциях операционной системы Ubuntu Server. И, поскольку сменилась ОС – разработчики внесли очень полезные изменения в процесс установки: появилась возможность конфигурировать сетевые параметры и настройки дисковой системы непосредственно в самом процессе установки, что значительно облегчает выполнение базовой установки программного комплекса. Теперь не надо «допиливать» сервер после того, как система запущена.

Важное изменение было внесено в настройки отправки результатов формирования отчётов по электронной почте – теперь можно задавать время отправки отчёта: это позволяет разгрузить почтовый сервер, назначая массовую рассылку на время минимальной загрузки (обычно – ночное время, или раннее утро).

Появилась поддержка кириллицы в именах сайтов: мелочь, а приятно – всегда лучше видеть нормальный русский текст, нежели последовательность 16-ричных кодов.

Расширились возможности системы учёта рабочего времени:

• добавлен новый табличный отчёт для учёта рабочего времени;

• «Сводный отчёт» теперь позволяет делать разбивку по отделам;

• в «Сводный отчёт» добавлена колонка «Переработка»;

• стало возможным просматривать «Комбинированный отчёт» сразу по нескольким пользователям;

• появились новые возможности при редактировании производственного календаря.

• В списке свойств файлового измерения появилась новая мера – размер файла. Сортировка по размеру перехваченного файла – это очень удобно, сразу становится понятно, кто пересылает большие файлы.

По многочисленным пожеланиям пользователей StaffCop в модуль просмотра рабочего стола пользователя была добавлена кнопка «Сделать скриншот». Это позволяет администратору безопасности мгновенно зафиксировать нарушение сотрудником регламентов.

Расширилось использование Active Directory сервером StaffCop Enterprise: теперь управление правами доступа к пользователям для администраторов системы возможно на основе полей учётной записи AD.

Значительные изменения были внесены в интерфейс системы. Из наиболее бросающихся в глаза – выделение первой буквы измерения при сортировке списка по алфавиту и автоматическое обновление статуса компьютеров и пользователей.

Как обычно происходит от версии к версии – новые возможности получили агенты (особенно – Linux-агент), а именно:

Windows-агент теперь «умеет» перехватывать сетевой трафик в режиме прокси-сервера;

• подтверждена полная работоспособность агента под Windows Server 2019;

• изменён механизм снятия снимков экрана по смене фокуса окна – снимок выполняется по смене активного процесса;

• новая версия Skype (8.5) перехватывается в полном объёме;

• перехват виртуального видео всех терминальных сессий (Linux-агент);

• поддержка кириллицы в именах пользователей (Linux-агент);

• мониторинг доменных пользователей (Linux-агент);

• поддержка Alt Linux (Linux-агент).

Расширены возможности внешних утилит. Получила много новых возможностей утилита удалённой установки (стало намного удобнее работать со списком IP-адресов), появилась утилита повторной печати: теперь перехваченный с принтера документ стало возможным повторно отправлять на печать.

Есть все основания полагать, что версия 4.7 будет так же популярна, как и её предшественницы – 4.5 и особенно 4.6, поэтому можно с надеждой смотреть в будущее и ожидать увеличение количества внедрений.

Внедрение программного комплекса, особенно такого, как StaffCop Enterprise, который очень тесно интегрируется в инфраструктуру заказчика и взаимодействует ней, невозможно без предварительной подготовки, а кроме того – при внедрении неизбежно возникают проблемы и «подводные камни». Первые нуждаются в системном решении – и как при подготовке такого решения, так и при его реализации вам с радостью поможет техническая поддержка StaffCop Enterprise. Вторые надо либо просто обойти, либо «уничтожить» - и в этом техническая поддержка тоже сможет помочь, наша задача – сделать для вас работу с продуктом максимально комфортной.

Нужно обязательно иметь юридическое обеспечение для внедрения программного комплекса: включить в договоры сотрудников (или в коллективный договор) пункт о том, что они информированы о возможности мониторинга их работы, подготовить приказ о внедрении программного обеспечения. Этим нужно заниматься совместно с юридическим отделом предприятия.

Из технических проблем следует выделить необходимость настройки антивирусов – к сожалению, почти все антивирусы определяют агента как вредоносную программу, и чтобы обеспечить возможность передачи данных, необходимо «объяснить» антивирусу, что папку, в которую установлен агент, и процессы агента анализировать не нужно – это доверенное (т.е. разрешённое к запуску на рабочей станции или сервере терминалов) программное обеспечение.

Все материалы компании в Библиотеке Безопасника

С помощью непрерывно развивающегося программного комплекса StaffCop Enterprise – работайте безопасно!