Какие задачи решает система мониторинга активности сотрудников?

• Отслеживание социальных сетей, приложений и сервисов, которыми пользуются сотрудники компании.
• Фиксация и анализ содержимого переписки или онлайн-общения посредством электронной почты, Skype, мессенджеров, чатов и т.п.
• Периодическое создание скриншотов с экранов компьютеров, объединенных в корпоративную сеть.
• Формирование картины рабочего дня каждого пользователя.
• Предоставление отчетности об активности пользователей разной степени детализации.

Каково назначение и основная функциональность системы мониторинга активности сотрудников?

Мониторинг рабочего стола

Одним из основных способов контроля действий пользователя является мониторинг его рабочего стола. Это реализуется двумя способами — администратор видит всё то,что сейчас видит пользователь, или просматривает сохранённые снимки экрана или видеозапись действий пользователя. Они могут быть использованы как вещественные доказательства нарушения трудового договора. Технически снятие скриншотов очень простая операция.

Мониторинг процессов

Также система контроля действий пользователя отслеживает запущенные приложения, сохраняя различные параметры: время запуска, время работы, время активности на экране и т.д. Это позволяет оценить эффективность использования рабочего времени работником, отследить вирусную атаку, которая может повредить корпоративную информацию. Кроме того, долгое время работы сотрудника с определённым приложением может означать, что сотрудник испытывает трудности при работе с ним. Большинство систем позволяет блокировать запуск определённых процессов. Может существовать функция завершения уже запущенных процессов удалённо.

Как и в случае со скриншотами, есть множество вариантов получения списка процессов. Например, библиотека tlhelp32.h позволяет получить список процессов в Windows. В unix-подобных системах это делается, например, командой ps.

Мониторинг доступа к USB

Съёмные usb-носители представляют серьёзную угрозу конфиденциальной информации, поэтому доступ к ним должен контролироваться системой. Большинство систем наблюдения предоставляют возможность блокировки доступа ко всем устройствам, фильтрации устройств и журналирование использования usb-устройств. Это предотвращает как утечку информации так и проникновение вирусов на рабочий компьютер.Часто,при разрешённом доступе,всё,что копируется на съёмный носитель,сохраняется в другом месте и может быть использовано для расследования нарушений политики компании.

B Windows технически это реализуется несколькими способами:

• Полное блокирование через реестр
• Полное блокирование, через запрет записи в файлов %SystemRoot%\Inf\Usbstor.pnf , %SystemRoot%\Inf\Usbstor.inf
• Частичная блокировка и фильтрация возможна через написание USB-драйвера

В Linux и некоторых других Unix-подобных системах возможные следующие варианты блокировки:

• Запрет загрузки драйвера usb-накопителя
• При загрузке системы предать параметр nousb ядру
• Запретить монтирование устройств всем пользователям, кроме администратора

Мониторинг интернет активности

Интернет — серьёзный канал утечки конфиденциальных данных, поэтому системы контроля за действиями пользователя отслеживают многие аспекты интернет активности работника:

• Мониторинг посещаемых веб-сайтов позволяет выявить не целевое использование рабочего времени, отслеживать поисковые запросы сотрудника (из них можно отследить- ищет ли он другие вакансии или не относящуюся к работе информацию ). Сохраняются Url, заголовки посещённых страниц, время их посещения. Некоторыми системами реализуется возможность наблюдения в режиме реального времени за открытыми сайтами.
• Социальные сети. Помимо не целевой траты рабочего времени на социальные сети,через них может утекать конфиденциальная информация. Поэтому система может сохранять набор данных: просматриваемые профили, переписки, а также отправляемые туда фотографии.
• IM. Чтобы предотвратить или потом доказать утечку информации,перехватываются и сохраняются сообщения большинства популярных IM-протоколов и месседжеров (ICQ, Jabber,IRC, Skype). Это делается как программными средствами, так и через анализ трафика проходящего через шлюз.
• Мониторинг электронной почты. По данным Infowatch в первой половине 2013 года почти 30% утечек происходили через Email, поэтому важно контролировать что отсылается/принимается сотрудником компании. Для этого ведётся полное журналирование всех сообщений электронной почты. Чаще всего это делается путём перехвата сообщений локального почтового-клиента, однако возможен и перехват сообщений отправляемых через web-клиент.

Технически,такой вид мониторинга может быть реализован двумя способами:

• Перехват непосредственно сетевого трафика программно или аппаратно. Это работает до тех пор пока не используется защищенное интернет соединение,например SSL.
• Перехват содержания web-форм, полей ввода и прочего. При таком методе наблюдения,скрыть передаваемое сообщение практически не возможно.

Мониторинг локальных действий

Основные локальные действия пользователя тоже контролируются:

Мониторинг клавиатуры. Система записывает все нажимаемые клавиши, включая системные (CTRL, SHIFT, ALT, CAPS LOCK), кроме этого, могут быть записаны название окна, в которое производился ввод, язык раскладки и т. д. Это позволяет контролировать использование конфиденциальной информации, восстанавливать забытые пароли, отслеживать объём проделанной работы (для стенографисток). Программа, занимающаяся только перехватом нажатий клавиш, называется кейлоггер. Для Windows кейлоггеры создаются с помощью т. н. хуков, когда между нажатием клавиши и отправкой сообщения окну о факте нажатия вклинивается сторонняя функция, которая отмечает факт нажатия клавиши. В unix-подобных системах, использующих Х-сервер, кейлогеры реализуются посредством функции XQueryKeymap из библиотеки Xlib.

Буфер обмена. Система сохраняет всё, что было скопировано в буфер обмена, и почти всегда сопутствующую информацию. Это позволяет предотвратить потерю информации, даёт возможность обнаружить разглашение конфиденциальной информации. Windows предоставляет стандартную функцию для этих целей SetClipboardViewer, для Linux это делается через Xlib. Также есть платформонезависимые средства управления буфером обмена, например Qt.

Запоминаются все действия с файлами: копирование, удаление, редактирование и программа, через которую действие совершено. Это позволяет установить, какие файлы использовал сотрудник для своей работы и выявить вирусную атаку. Для Windows программно это реализуется подменой стандартных функций чтения/записи файла в соответствующих DLL. В Linux этого можно достичь, перехватывая системные вызовы.

Печать файлов. Через принтер может утечь конфиденциальная информация, достаточно распечатать важный документ и вынести с предприятия, поэтому сохраняются названия печатаемых файлов, время и дата печати. Также печатаемые файлы могут сохраняться как в виде исходного файла, так и в виде графического файла. В Windows для таких целей предусмотрен Print Spooler API, позволяющий управлять очередью печати. Для Linux теневое копирование файлов печати реализуется с помощью CUPS.

Каковы преимущества у систем мониторинга активности сотрудников?

• Сведение к минимуму риска утечки важной информации за пределы корпоративной сети.
• Отслеживание и запись действий пользователей и их коммуникации.
• Оценка эффективность работы сотрудников и очерк круга их интересов.
• Повышение общей дисциплины на рабочих местах.
• Выявление нелояльных работников и потенциальных каналов передачи данных.