Программа контроля действий пользователя

Программа контроля действий пользователя

Система контроля действий пользователя — программный или программно-аппаратный комплекс, позволяющий отслеживать действия пользователя. Данная система осуществляет мониторинг рабочих операций пользователя на предмет их соответствия корпоративным политикам.

Необходимость возникновения таких систем была обусловлена увеличением инсайдерских угроз. Подобные программные комплексы предотвращают или помогают расследовать утечки конфиденциальной информации, а также выявить нецелевое использование рабочего времени.

Содержание

Причины возникновения [ править | править код ]

Современные системы информационной безопасности реализуют принцип «многоэшелонированной» защиты. Правильно установленные и настроенные средства защиты информации позволяют достаточно надёжно защититься от атак злоумышленников или вирусных эпидемий. Но несмотря на все это проблема внутренних нарушителей очень популярна. Раньше, на фоне хакеров и множества компьютерных вирусов, собственные сотрудники выглядели не столь угрожающе. Но в наши времена их действия, совершенные из-за некомпетентности или же, что тоже довольно часто — преднамеренности, влекут за собой реальные угрозы для компании.

Проведённое в 2007 г. первое открытое глобальное исследование внутренних угроз информационной безопасности компанией Infowatch (по итогам 2006 г.) показало, что внутренние угрозы являются не менее распространёнными (56,5 %), чем внешние (вредоносные программы, спам, действия хакеров и т. д.).В подавляющем большинстве (77 %) причиной реализации внутренней угрозы является халатность самих пользователей (невыполнение должностных инструкций либо пренебрежение элементарными средствами защиты информации). [1] Так же большую опасность представляют злоумышленники с высокими полномочиями доступа — администраторы сетей, операционных систем, приложений, баз данных. Всем этим объясняется рост интереса в последние десятилетия к мониторингу действий пользователя. С помощью систем контроля пользователей рабочие операции проверяются на предмет их соответствия корпоративным политикам по соблюдению нормативных требований и автоматически выводятся предупреждения, когда нарушаются политики безопасности, либо информация и технологические активы подвергаются риску несанкционированного доступа и деструктивных действий

Основная функциональность и назначение [ править | править код ]

Мониторинг рабочего стола [ править | править код ]

Одним из основных способов контроля действий пользователя является мониторинг его рабочего стола. Это реализуется двумя способами — администратор видит всё то,что сейчас видит пользователь, или просматривает сохранённые снимки экрана или видеозапись действий пользователя. [2] [3] Они могут быть использованы как вещественные доказательства нарушения трудового договора. Технически снятие скриншотов очень простая операция.

Мониторинг процессов [ править | править код ]

Также система контроля действий пользователя отслеживает запущенные приложения, сохраняя различные параметры: время запуска, время работы, время активности на экране и т.д. Это позволяет оценить эффективность использования рабочего времени работником, отследить вирусную атаку, которая может повредить корпоративную информацию. [4] Кроме того, долгое время работы сотрудника с определённым приложением может означать, что сотрудник испытывает трудности при работе с ним [5] . Большинство систем позволяет блокировать запуск определённых процессов. Может существовать функция завершения уже запущенных процессов удалённо [4] .

Как и в случае со скриншотами, есть множество вариантов получения списка процессов. Например, библиотека tlhelp32.h позволяет получить список процессов в Windows. [6] В unix-подобных системах это делается, например, командой ps.

Мониторинг доступа к USB [ править | править код ]

Съёмные usb-носители представляют серьёзную угрозу конфиденциальной информации [7] , поэтому доступ к ним должен контролироваться системой. Большинство систем наблюдения предоставляют возможность блокировки доступа ко всем устройствам, фильтрации устройств и журналирование использования usb-устройств. Это предотвращает как утечку информации так и проникновение вирусов на рабочий компьютер.Часто,при разрешённом доступе,всё,что копируется на съёмный носитель,сохраняется в другом месте и может быть использовано для расследования нарушений политики компании.

B Windows технически это реализуется несколькими способами:

  • Полное блокирование через реестр [8]
  • Полное блокирование, через запрет записи в файлов %SystemRoot%InfUsbstor.pnf , %SystemRoot%InfUsbstor.inf [8]
  • Частичная блокировка и фильтрация возможна через написание USB-драйвера

В Linux и некоторых других Unix-подобных системах возможные следующие варианты блокировки:

  • Запрет загрузки драйвера usb-накопителя
  • При загрузке системы предать параметр nousb ядру
  • Запретить монтирование устройств всем пользователям, кроме администратора

Мониторинг интернет активности [ править | править код ]

Интернет — серьёзный канал утечки конфиденциальных данных [9] , поэтому системы контроля за действиями пользователя отслеживают многие аспекты интернет активности работника:

  • Мониторинг посещаемых веб-сайтов позволяет выявить не целевое использование рабочего времени, отслеживать поисковые запросы сотрудника (из них можно отследить- ищет ли он другие вакансии или не относящуюся к работе информацию ). Сохраняются Url, заголовки посещённых страниц, время их посещения. Некоторыми системами реализуется возможность наблюдения в режиме реального времени за открытыми сайтами.
  • Социальные сети. Помимо не целевой траты рабочего времени на социальные сети,через них может утекать конфиденциальная информация. Поэтому система может сохранять набор данных: просматриваемые профили, переписки, а также отправляемые туда фотографии.
  • IM. Чтобы предотвратить или потом доказать утечку информации,перехватываются и сохраняются сообщения большинства популярных IM-протоколов и месседжеров (ICQ, Jabber,IRC, Skype). Это делается как программными средствами, так и через анализ трафика проходящего через шлюз.
  • Мониторинг электронной почты. По данным Infowatch в первой половине 2013 года почти 30% утечек происходили через Email [10] , поэтому важно контролировать что отсылается/принимается сотрудником компании. Для этого ведётся полное журналирование всех сообщений электронной почты. Чаще всего это делается путём перехвата сообщений локального почтового-клиента [11] , однако возможен и перехват сообщений отправляемых через web-клиент. [12]
Читайте также:  Как научиться красиво рисовать на компьютере

Технически,такой вид мониторинга может быть реализован двумя способами:

  • Перехват непосредственно сетевого трафика программно или аппаратно. Это работает до тех пор пока не используется защищенное интернет соединение,например SSL.
  • Перехват содержания web-форм, полей ввода и прочего. При таком методе наблюдения,скрыть передаваемое сообщение практически не возможно.

Мониторинг локальных действий [ править | править код ]

Основные локальные действия пользователя тоже контролируются:

  • Мониторинг клавиатуры. Система записывает все нажимаемые клавиши, включая системные (CTRL, SHIFT, ALT, CAPS LOCK) [13] , кроме этого, могут быть записаны название окна, в которое производился ввод, язык раскладки и т. д. [14] Это позволяет контролировать использование конфиденциальной информации, восстанавливать забытые пароли, отслеживать объём проделанной работы (для стенографисток). Программа, занимающаяся только перехватом нажатий клавиш, называется кейлоггер. Для Windows кейлоггеры создаются с помощью т. н. хуков, когда между нажатием клавиши и отправкой сообщения окну о факте нажатия вклинивается сторонняя функция, которая отмечает факт нажатия клавиши. В unix-подобных системах, использующих Х-сервер, кейлогеры реализуются посредством функции XQueryKeymap из библиотеки Xlib.
  • Буфер обмена. Система сохраняет всё, что было скопировано в буфер обмена, и почти всегда сопутствующую информацию. Это позволяет предотвратить потерю информации, даёт возможность обнаружить разглашение конфиденциальной информации. Windows предоставляет стандартную функцию для этих целей SetClipboardViewer [15] , для Linux это делается через Xlib. Также есть платформонезависимые средства управления буфером обмена, например Qt.
  • Запоминаются все действия с файлами: копирование, удаление, редактирование и программа, через которую действие совершено. Это позволяет установить, какие файлы использовал сотрудник для своей работы и выявить вирусную атаку. Для Windows программно это реализуется подменой стандартных функций чтения/записи файла в соответствующих DLL [16] . В Linux этого можно достичь, перехватывая системные вызовы [17] .
  • Печать файлов. Через принтер может утечь конфиденциальная информация, достаточно распечатать важный документ и вынести с предприятия, поэтому сохраняются названия печатаемых файлов, время и дата печати. Также печатаемые файлы могут сохраняться как в виде исходного файла, так и в виде графического файла. В Windows для таких целей предусмотрен Print Spooler API, позволяющий управлять очередью печати [18] . Для Linux теневое копирование файлов печати реализуется с помощью CUPS.

Юридическое регулирование [ править | править код ]

  • Добавить информацию для других стран и регионов.

Пожалуйста, после исправления проблемы исключите её из списка параметров. После устранения всех недостатков этот шаблон может быть удалён любым участником.

Работодатель использующий программы для мониторинга прежде всего заинтересован в информационной безопасности своей компании и так же в возможности эффективно контролировать рациональное использование компьютерных средств и рабочего времени вашими сотрудниками. Тем не менее, подобная деятельность менеджеров в любой момент может вызвать возмущение подчиненных, т.к. Конституция РФ защищает частную собственность (ст. 8; 35), неприкосновенность частной жизни гражданина (ч. 1 ст. 23),охраняет тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, устанавливает, что ограничение этого права допускается только на основании судебного решения (ч. 2 ст. 23). Законодательством категорически запрещено установление работодателем каких-либо негласных способов наблюдения за персоналом. Негласное наблюдение является оперативно-розыскным мероприятием, которое вправе осуществлять только оперативные подразделения специально уполномоченных на это государственных органов, перечисленные в ст. 13 Федерального закона от 12.08.1995 No144-ФЗ «Об оперативно-розыскной деятельности». [19] Такие разногласия требуют установления баланса во имя избежание конфликтов между работником и работодателем. В случае возникновения конфликта,подчиненные могут попытаться представить деятельность руководителя незаконной. В таких ситуациях,чтобы избежать проблем, работодатель должен знать свои права и закон,например:гражданский кодекс статья 1470 (Служебный секрет производства)- исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя (служебный секрет производства), принадлежит работодателю.

Читайте также:  Значки в микроволновке своими руками

Трудовой кодекс РФ(статья 15) гласит: Трудовые отношения — это отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции (работы по определенной специальности, квалификации или должности), подчинении работника правилам внутреннего трудового распорядка при обеспечении работодателем условий труда, предусмотренных трудовым законодательством, коллективным договором,соглашениями, трудовым договором.Поэтому во избежание юридических казусов работодателю нужно дополнить стандартный трудовой договор или трудовое соглашение (договор найма на работу) тремя пунктами:

  • разглашение сведений, представляющих коммерческую и иную тайну-это должностное преступление;
  • использование телефона, факса, электронной почты, доступа в Интернет допустимо только для выполнения служебных задач;
  • работник согласен с тем, что регулярный контроль за соблюдением пунктов,указанных выше будет осуществляться всеми доступными средствами.

С юридической точки зрения принятия перечисленных мер достаточно, чтобы использовать системы контроля действий пользователя, на законных основаниях, но вопрос о правомерности прослушивания разговоров и контроля за Интернет-перепиской более глубокий и сложный и даже дополнение договоров вышеперечисленными пунктами может не предотвратить юридических конфликтов. Согласно трудовому законодательству, работодатель вправе собирать о своих сотрудниках только те сведения, которые имеют отношение к его служебным обязанностям. Противоречие заключается в том, что в процессе общения на рабочем месте непременно затрагиваются личные темы. И если работник подписал согласие на сбор информации о себе, то его собеседники такого документа не предоставляли. Проблему с Интернет перепиской можно решить следующим образом: просматривать только исходящие сообщения сотрудников.

LanAgent покажет что происходило на компьютерах сотрудников: посещение развлекательных сайтов, переписку с конкурентами, выполнение «левых» работ в рабочее время, распространение негатива о своей компании.

Помимо информации о совершенных действиях, в вашем распоряжении будут снимки экранов мониторов пользователей, запись видео/звука с веб камеры компьютера, копия всех передаваемых с компьютера данных.

LanAgent обеспечивает контроль каналов передачи данных (внешние накопители, электронная почта, мессенджеры, соц. сети, печать документов на принтер, и другие).

Поможет обнаружить подозрительные действия пользователей: активную переписку с конкурентами или уволенными сотрудниками, отправку важных файлов, передачу персональных данных (номеров телефонов, паспортных данных, номеров банковских карт, …).

Функция «конфиденциального каталога» позволит ограничить доступ к важным данным. Например, запретить их копирование клиентской базы за пределы защищаемого каталога и вывод на печать, позволив при этом по прежнему с ней работать

LanAgent представит наглядные отчеты по опозданиям и ранним уходам сотрудников, произведет учет РЕАЛЬНОГО времени работы пользователей, покажет не просто, сколько времени компьютер был включен, а время активной работы, простаивание компьютеров, время начала и окончания работы на ПК.

Все нарушения трудовой дисциплины будут видны в специальном сводном отчете.

Кроме работы компьютера, учет можно произвести и исходя из времени активной работы пользователей в программах. По такому отчету можно легко увидеть, был ли сотрудник действительно занят работой или провел значительную часть дня общаясь в соц. сетях.

LanAgent Standard – программа для скрытого наблюдения за компьютерами в локальной сети. Предназначена для контроля действий пользователей и защиты конфиденциальной информации от утечек. Осуществляет контроль и мониторинг активности на любом компьютере, подключённом к сети вашей организации. Программа позволит выявить деятельность, не имеющую отношения к работе, покажет, насколько рационально ваши сотрудники используют рабочее время.

LanAgent – Ваш инструмент для выявления утечек важной информации, а также фактов ведения переговоров с конкурентами. Узнать больше

LanAgent Enterprise – легко масштабируемый инструмент для наблюдения за компьютерами служащих в локальной сети. Является эффективным средством для обеспечения информационной безопасности. LanAgent Enterprise также имеет все необходимые функции для контроля персонала организации.

Основное отличие Enterprise от версии Standard состоит в том, что Enterprise является полноценным инструментом для защиты конфиденциальной информации и лучше подойдет для организаций, в которых требуется не просто мониторинг, а именно планомерное обнаружение и предотвращение утечек информации. Узнать больше

Программа LanAgent EnterpriseDLP – по сравнению с Enterprise имеет расширенный поисковый модуль, для поиска ключевых слов и регулярных выражений (номер телефонов, паспортные данные, и т.д.) во всех собранных данных, в том числе в напечатанных документах и вложениях почты.

Читайте также:  Как переустановить microsoft office 2007

Также, EnterpriseDLP позволяет управлять доступом к конфиденциальным файлам на контролируемых компьютерах. Узнать больше

LanAgent Terminal – легко масштабируемый инструмент для слежения за действиями пользователей терминальных клиентов.

LanAgent Terminal имеет значительную часть возможностей версии LanAgent Enterprise, таких как: подключение нескольких рабочих мест специалиста безопасности, распределение прав на просмотр информации, отправка уведомлений о нарушениях политик безопасности на ICQ и E-mail, подписка на оповещения по данным событиям, встроенный планировщик отчетов, . И предназначен для использования на технологии терминал-сервер (на основе Win 2003/2008/2012 Server). Узнать больше

Я работаю в крупной промышленной организации и уже около месяца погружен в процесс внедрения системы мониторинга активности пользователей, о чем и расскажу в этом посте.

Итак, задача заключается в централизованном сборе информации о пользователях: простои, используемые в рабочее время программы, печать документов, работа c внешними накопителями. На всех компьютерах Win XP SP3.

Рассматривался следующий софт: BlackBoxPro от Asm Software, LanAgent от NetworkProfi и StaffCop от AtomPark Software. К слову, два последних продукта разработаны в России. Номинально, помимо необходимого нам функционала, каждая программа позволяет осуществлять еще и перехват сообщений мессенджеров, почты, буфера обмена, нажатых клавиш, скриншотов и т.д.

Все три приложения тестировались сначала на виртуальных машинах, затем на не самых критичных для организации реальных машинах сети, а последним этапом было внедрение системы мониторинга на все пользовательские машины.

Основной проблемой, которая возникает при использовании такого рода программного обеспечения, является взаимодействие с антивирусами (у нас их три: Nod32, Symantec и Kaspersky) и фаерволом (персональный винбрандмауэр). Дело в том, что антивирусы зачастую принимают агентскую часть за программу-шпион, что, по большому счету, является правдой. Таким образом, главная задача тестирования заключается в том, чтобы выработать перечень исключений для антивирусов и фаервола, т.к. заявленные разработчиками рекомендации далеки от нашей суровой действительности.

Тестирование на виртуальных машинах

На самом первом этапе был сразу отметен BlackBoxPro. Поскольку его серверная часть нагружала процессор на 100% даже в простое, что вкупе с неудачным (субъективно) интерфейсом и глючной удаленной установкой агента, не является приемлемым.

LanAgent продемонстрировал годную, стабильную работу: удаленная установка агентской части, низкая нагрузка пользовательской машины, информативные отчеты. Но, нельзя не отметить один момент. Корректная обработка активности пользователя (соотношение работы и простоя, блокировка, вход-выход) возможна только после перезагрузки. В конкретном случае – только на следующий рабочий день.

Staffcop также отработал на отлично. Удаленная установка реализована удобнее, чем в LanAgent, субъективно, более удачно реализован пользовательский интерфейс. Однако общая скорость работы значительно уступает конкуренту, поскольку LanAgent формирует отчеты по информации, которая уже находится на сервере, а Staffcop каждый раз заново производит опрос всех агентов. Отчеты также весьма информативны, но наглядности немного не хватает.

Тестирование на реальных машинах

Начальный этап щедро одарил меня оптимизмом, который полностью сошел на нет с первыми же попытками удаленной установки агентов на реальные машины. Если Staffcop в случае ошибки честно заявлял, что установка не прошла успешно, то LanAgent, даже будучи частично зарубленным антивирусами, рапортовал об успехе. Следовательно, ни о какой корректности информации LanAgent говорить не приходится. А если учитывать, что чисто технологически LanAgent начинает корректно работать только на следующий рабочий день (это не баг, а фича =)), на то, чтобы заставить некоторые компьютеры мониториться нормально, может уйти больше недели. После первичной установки агентов LanAgent, вероятность того, что мониторинг будет проходить корректно, составляет примерно 30% (здесь не удалось выявить каких-либо закономерностей). Классический баг заключается в том, что не запускаются счетчики, а, как следствие: в отчетах отрицательное время работы компьютера, незафиксированные события и активность пользователя.

Staffcop в этом плане отрабатывает значительно лучше, но нельзя сказать, что абсолютно гладко. Удаленная установка агента занимает от 30 секунд до 10 минут (после многократных неудачных попыток, агент может установиться абсолютно нормально – определить факторы,, влияющие на успех, у меня не получилось). Серверная часть опрашивает агентов корректно, ни одного сбоя не возникло. Однако при формировании отчетов может вылетать ошибка, т.к. построитель отчетов Staffcop не может обработать некоторые символы, принимая их за служебные.

Ссылка на основную публикацию
Adblock detector