VERGLEICH VON EKRAN SYSTEM® VS. BALABIT VS. WALLIX VS. OBSERVIT

Observeit vs Balabit vs Wallix vs Ekran System

Interne Sicherheitslücken und benutzerbasierte Bedrohungen sind heiße Themen in der Branche und nicht nur große Unternehmen sind Ziele: KMUs, Bildungseinrichtungen und Regierungsorganisationen sind gleichermaßen gefährdet.

 

Lösungen zur Überwachung der Benutzeraktivität sind nichts Neues. Diese Tools werden im Rahmen einer Compliance-Strategie und Strategie zur Gefahrenabwehr in die Sicherheitsrichtlinien vieler Unternehmen integriert. Die Tools, die wir in diesem Bericht vergleichen, wenden moderne Ansätze an: indexierte Videoaufzeichnungen von Benutzersitzungen mit erweiterten Such-, Analyse- und Benachrichtigungsfunktionen.

 

In diesem Vergleich betrachten wir vier Lösungen zur Überwachung der Benutzeraktivität - unser eigenes Ekran System vs. Balabit vs. ObserveIT vs. Wallix.

 

Unser Ziel ist es, Ihnen zu helfen, die Unterschiede zwischen diesen Lösungen besser zu verstehen und festzustellen, welche die Bedürfnisse Ihres Unternehmens am besten erfüllen.

 

Produktbewertung: Zusammenfassung

 

Ekran System wird für KMUs und große Unternehmen empfohlen, die eine stabile und einfach zu implementierende Lösung mit Kernüberwachungs-, PAM- und Identitätsmanagementfunktionen suchen.

 

ObserveIT ist eine Option für mittlere und große Unternehmen, die eine breitere Integration und eine ausgefeiltere Warnfunktionalität wünschen.

 

Wallix eignet sich für die Kontrolle und Verwaltung privilegierter Konten und wird für KMUs und Unternehmen empfohlen.

 

Große Unternehmen, die eine Reihe kritischer Endpunkte und hohe Anforderungen an die Zugriffsverwaltung haben - und eine Lösung mit detaillierten Aktivitäts- und Datenübertragungskontrollen sowie automatisierten Blockierfunktionen suchen - können sich für Balabit oder Wallix entscheiden.

 

Hinweis

 

Balabit wurde von One Identity übernommen und in One Identity Safeguard for PSM umbenannt.

 

Alle folgenden Informationen über die Balabit Shell Control Box gelten für One Identity Safeguard for PSM.

 

 

Markt- und Fokusübersicht

 

 

Ekran System®

ObserveIT

One Identity Safeguard for PSM (ehemals Balabit)

Wallix AdminBastion Suite

Beschreibung

Schutzplattform bei Insider-Bedrohungen

Enterprise Erkennungssoftware von Insider-Bedrohungen

Überwachungslösung, die den privilegierten Zugriff auf entfernte IT-Systeme steuert

Fokus auf privilegierte Zugriffsverwaltung und privilegierte Benutzerüberwachung

Zielgruppe

Unternehmen jeder Größe

Große Unternehmen aus verschiedenen Branchen

Große Unternehmen mit hohen Anforderungen an die Zugangssicherheit

Unternehmen jeder Größe

Technischer Ansatz

Agentenbasierte Software

Agentenbasierte Software

Gerät

Gerät

Bereitstellung

  • Agentenbasierte Bereitstellung (Windows-Agenten können aus der Ferne installiert werden)
  • Jump Server-Bereitstellung
  • Optimiert für virtuelle Umgebungen
  • Multi-Tenant-Modus
  • Agentenbasierte Bereitstellung
  • Jump Server-Bereitstellung
  • Bastion-Host-Bereitstellung (Möglichkeit privilegierter Sitzungen auf einem Virtual Appliance festzulegen)
  • Transparenter Modus
  • Bereitstellung des Bastion-Hosts
  • Webbasierter Client
  • Physische Anwendung oder Virtual Appliance

Wartung und Pflege

  • Manuelle Aktualisierung des Bedienfelds
  • Automatische Client-Updates (online und offline)
  • Manuelle Aktualisierung des Bedienfelds
  • Manuelle Aktualisierung des Bedienfelds
  • Manuelle Firmware-Updates

Preis (basierend auf den durchschnittlichen Bereitstellungskosten)

$

$$$

$$$$

$$$$

Lizenzierung

  • Basierend auf der Anzahl der überwachten Endpunkte
  • Mehrere Lizenzstufen
  • Grundgebühr für die Kontrollkomponente zusätzlich zur Gebühr auf Basis der Anzahl der überwachten Endpunkte
  • Basierend auf der Anzahl der gekauften Geräte (unflexibel)
  • Basierend auf der Anzahl der gekauften Geräte (unflexibel)
  • Mehrere Lizenzstufen

 

Format

 

Alle vier Lösungen beinhalten Videoaufzeichnungen von Benutzersitzungen als Teil ihrer Hauptfunktionalität und bieten Tools zur Sitzungssuche sowie eine webbasierte Schnittstelle für die DVR-ähnliche Wiedergabe. Ekran System zeichnet auch Eingangs- und Ausgangsströme auf jedem Endpunkt auf.

 

Alle vier Tools bieten manipulationssichere Audit-Trails mit parametrisierter Episodensuche durch Sitzungen sowie alarmierte Ereignismarkierungen.

 

Fokus

Insider Threat Detection

Überwachung

 

Die Überwachung der Benutzeraktivitäten ist das Kernelement aller vier Produkte. Ekran System und ObserveIT konzentrieren sich jedoch mehr darauf, detaillierte Aufzeichnungen über die Benutzeraktivitäten zu erstellen, um Insiderbedrohungen zu erkennen and die Aktivitäten der Mitarbeiter zu überwachen.

 

Zugang

 

Ekran System bietet privilegierte Zugriffsverwaltungs funktionen in Form eines Passwortmanagers, Einmalpasswörter und Multi-Faktor-Authentifizierung. Sie bietet jedoch weniger Funktionalität als die Balabit Shell Control Box oder die Wallix AdminBastion Suite.

 

Die Balabit Shell Control Box und die Wallix AdminBastion Suite, einer der größten Konkurrenten von Balabit, konzentrieren sich mehr auf privilegierte Zugriffsverwaltung und Zugangskontrolle. Bei diesen Lösungen steht die Überwachung weniger im Vordergrund und wird als zusätzliches Feature betrachtet. Infolgedessen haben sie weniger Möglichkeiten zur Untersuchung von Insider-Bedrohungen, bieten aber einen gewissen zusätzlichen Schutz vor Angriffen von außen.

 

ObserveIT verfügt über das bescheidenste Zugriffsverwaltung-Toolset dieser vier Lösungen, das nur eine sekundäre Authentifizierung bietet.

 

Architekturen

 

Diese Lösungen verwenden verschiedene Architekturmodelle: ObserveIT und Ekran System sind agentenbasierte Software, während Balabit und Wallix Gateway-basierte Lösungen sind, die als Hardware oder Virtual Appliance geliefert werden.

 

Gateway-basierte Lösungen sind einfacher zu implementieren und zu warten, haben aber einige Einschränkungen bei der Erfassung von Metadaten.

 

Agentenbasierte Lösungen hingegen bieten mehr Vielseitigkeit. Im Rahmen einer regelmäßigen Bereitstellung können sie detailliertere Metadaten sammeln, was besonders bei der Überwachung von Linux Telnet SSH-Sitzungen von entscheidender Bedeutung ist.

Agent based vs gateway based software

Agentenbasierte Software kann auch über ein Gateway-basiertes Schema bereitgestellt werden, bei dem ein Überwachungsagent auf einem einzigen Jump-Server installiert ist und alle Verbindungen überwacht, die über diesen Server geleitet werden, wodurch Balabit oder Wallix nachgeahmt wird.

Jump server deployment scheme

Die Bereitstellung von Jump-Servern schränkt die Überwachungsmöglichkeiten im Vergleich zur Bereitstellung von Agenten auf jedem Ziel-Endpunkt geringfügig ein, ist aber vielseitiger und kostengünstiger als die Lizenzierung von Wallix oder Balabit.

 

Ein weiterer Vorteil agentenbasierter Lösungen ist, dass ein Agent bei Verlust der Netzwerkverbindung die Daten lokal aufzeichnen und später an den Server senden kann.

 

Darüber hinaus gibt es im Ekran System einen Multi-Tenant-Modus, der es mehreren stark isolierten Mandanten ermöglicht, in einer Systemumgebung des Ekran System zu arbeiten. Die Daten jedes Mandanten, einschließlich der Überwachungsdaten, der Benutzeranmeldeinformationen, der Mandantennamen und der Systemkonfiguration, sind privat und für andere Mandanten nicht zugänglich.

Multi-tenant cybersecurity deployment scheme

 

Zielkunden und Preise

 

Balabit und ObserveIT richten sich an große Unternehmen, während Ekran System und Wallix sowohl den Markt für große Unternehmen als auch für KMUs ansprechen. Aber während das Wallix-Paket für KMUs ein limitiertes Toolset enthält, bietet Ekran System in allen Editionen Überwachungs-, Alarmierungs-, Reaktions- und Berichtsfunktionen. Dieser Unterschied spiegelt sich in den Preis- und Lizenzmodellen wider.

 

Preisgestaltung von Balabit

 

Der Preis der Balabit Shell Control Box ist für jedes Gerät festgelegt und so basieren die Kosten einer Balabit-Lizenz auf der Anzahl der eingesetzten Geräte, einem Modell, das sich an großen Infrastrukturen orientiert. Bereitstellungen mit einer moderaten Anzahl von Endpunkten wären nicht kosteneffizient.

 

Preisgestaltung von Wallix

 

Die Lizenzierung von Wallix ähnelt der von Balabit, da Wallix einen Festpreis pro Gerät berechnet. Wallix stellt aber auch einen webbasierten Client nach einem Abonnementmodell zur Verfügung.

 

Sie können Balabit oder Wallix auch als Virtual Appliance gegen Entgelt einsetzen.

 

Preisgestaltung von ObserveIT

 

Die Lizenzierung von ObserveIT besteht aus zwei Teilen: einem Festpreis für die Systemverwaltungskomponente und einem Preis, der auf der Anzahl der überwachten Endpunkte basiert. Vergleicht man also Balabit mit ObserveIT ist das Lizenzmodell dieses Unternehmens flexibler, obwohl es immer noch eine erhebliche Eintrittsbarriere gibt. Kleine und mittlere Bereitstellungen werden nicht kosteneffizient sein.

 

Preisgestaltung von Ekran System

 

Ekran System bietet zwei Licensing schemes.

 

Standard

 

Beim Standard-Lizenzmodell hängt die Preisgestaltung vollständig von der Anzahl der eingesetzten Agenten ab, so dass diese Lösung für kleine und mittlere Unternehmen kostengünstig ist. Gleichzeitig bietet die Standard-Lizenzierung dem Anwender alle notwendigen Werkzeuge für den Schutz vor Insider-Bedrohungen.

 

Enterprise

 

Das Enterprise-Lizenzschema fügt dem Management-Panel feste Gebühren hinzu, ähnlich wie ObserveIT, bietet aber auch zusätzliche Vorteile, die für größere Unternehmen nützlich sind, wie Einmalpasswörter, erweiterte SIEM- und Ticketing-Systemintegration, Audioaufzeichnung und hohe Verfügbarkeit.

 

Ekran System verfügt auch über ein separates Lizenzmodell für Jump-Server-Bereitstellungen.

 

Sowohl das Standard- als auch das Enterprise-Lizenzmodell bieten eine variable Lizenzierung. So können Lizenzen problemlos einem anderen Endpunkt zugewiesen werden, egal ob real oder virtuell.

 

Übersicht über das Merkmals- und Nutzungsszenario

 

 

Ekran System®

ObserveIT

One Identity Safeguard for PSM (ehemals Balabit)

Wallix AdminBastion Suite

Überwachung

  • Aufzeichnung der Benutzer-Sitzung
  • Video, aufgezeichnet in einem benutzerdefinierten Format
  • Audioaufzeichnung
  • Vollständige Metadatenerfassung
  • Suche nach Metadaten
  • Aufzeichnung der Benutzer-Sitzung
  • Video, aufgezeichnet in einem benutzerdefinierten Format
  • Vollständige Metadatenerfassung
  • Suche nach Metadaten
  • E-Mail-Überwachung
  • Aufzeichnung der Benutzer-Sitzung
  • Video, aufgezeichnet in einem benutzerdefinierten Format
  • Vollständige Metadatenerfassung
  • Suche nach Metadaten
  • Aufzeichnung der Benutzer-Sitzung
  • Videos, aufgezeichnet im Flash-Format (für GUI-Sitzungen) oder im Textformat (für SSH-Sitzungen)
  • Optische Zeichenerkennung für die textbasierte Suche

Alarmierung

  • Warnmeldungen in Echtzeit
  • Benutzerdefinierte Warnmeldungen
  • Vordefinierte Warnmeldungen
  • Live-Sitzungsansicht
  • Erzwungener Nutzer-Datentransfer
  • Automatische und manuelle Benutzersperre
  • Automatisches Beenden von Anwendungen
  • Automatische Sperrung von USB-Geräten
  • Analyse des Benutzerverhaltens
  • Warnmeldungen in Echtzeit
  • Benutzerdefinierte Warnmeldungen
  • Regelbasierte Verhaltensanalyse
  • Live-Sitzungsansicht
  • Erzwungener Nutzer-Datentransfer
  • Manuelles Sperren der Sitzung
  • Warnmeldung beim Anschluss eines USB-Speichermediums oder Mobiltelefons
  • Analyse des Benutzerverhaltens
  • Echtzeit-Warnmeldungen oder Beendigung der Sitzung
  • Benutzerdefinierte Warnmeldungen
  • Live-Sitzungsansicht
  • Möglichkeit mit Blindspotter eine Analyse des Benutzerverhaltens hinzuzufügen
  • Regelbasierte Verhaltensanalyse
  • Analyse des Benutzerverhaltens (erfordert eine zusätzliche Lizenz)
  • Warnmeldungen in Echtzeit
  • Benutzerdefinierte Warnmeldungen
  • Live-Sitzungsansicht
  • Automatische Sitzungssperre

Zugriffs verwaltung

  • Zusätzliche Authentifizierung zur Identifizierung gemeinsamer Konten
  • Zwei-Faktor-Authentifizierung
  • Einmalpasswörter
  • Privilegiertes Account- und Session-Management (PASM)
  • Manuelle Genehmigung von USB-Geräteanschlüssen
  • Passwortverwaltung
  • Zusätzliche Authentifizierung zur Identifizierung gemeinsamer Konten
  • Zweite Authentifizierung sebene
  • Passwort-Tresor und Passwortverwaltung
  • Zusätzliche Authentifizierung soptionen
  • Zugriffsberechtig ungsverwaltung
  • Zwei-Faktor-Authentifizierung
  • Passwort-Tresor und Passwortverwaltung
  • Zusätzliche Authentifizierung soptionen
  • Zugriffsberechtig ungsverwaltung
  • Zwei-Faktor-Authentifizierung

Integration

  • Active Directory-Integration
  • SIEM-Integration
  • Integration von Ticketing-Systems
  • Active Directory-Integration
  • SIEM-Integration
  • Integration von Ticketing-Systems
  • Active Directory-Integration
  • SIEM-Integration
  • Integration mit anderen Drittlösung
  • Integration von Ticketing-Systems
  • Active Directory-Integration
  • SIEM-Integration
  • Integration mit anderen Drittlösung

Sonstige

  • Individuelle Berichterstattung
  • Forensischer Export
  • Vor Manipulationen geschützte Datensätze
  • Mandantenfähigk eitsunterstützung
  • Schutz vor Deinstallation auf Treiber-Ebene
  • Stabilität und hochoptimierte Leistung
  • Individuelle Berichterstattung
  • Forensischer Export
  • Vor Manipulationen geschützte Datensätze
  • Individuelle Berichterstattung
  • Forensischer Export
  • Vor Manipulationen geschützte Datensätze
  • Individuelle Berichterstattung
  • Forensischer Export
  • Vor Manipulationen geschützte Datensätze

 

Überwachung von Benutzeraktionen

 

Der Unterschied in der Architektur und dem Fokus dieser vier Lösungen bestimmt die Unterschiede in der Art und Weise, wie sie die Überwachung der Benutzeraktivitäten angehen.

 

Ekran System vs ObserveIT

 

Ekran System und ObserveIT bieten eine wesentlich robustere Überwachungsfunktionalität, indem sie indizierte Videoformate verwenden, um alles aufzuzeichnen, was ein Benutzer während einer bestimmten Sitzung auf dem Bildschirm sieht, sowie alle zusätzlichen Metadaten zur Indexierung, einschließlich:

 

  • Namen der geöffneten Anwendungen und der besuchten Webseiten
  • Namen der aktiven Fenster
  • Tastenanschläge

 

Ekran System kann (optional) USB-Geräte überwachen und auf Wunsch einen manuellen Zugriff ermöglichen, der die Erkennung potenziell gefährlicher Geräte ermöglicht. ObserveIT überwacht nur USB-Speichergeräte und Mobiltelefone.

 

Darüber hinaus zeichnet Ekran System die Audioeingabe und -ausgabe auf Benutzerendpunkten auf.

 

Sowohl Ekran System als auch ObserveIT verfügen über verschiedene Filter, mit denen Sie die Aufzeichnung zu bestimmten Zeiten oder auf der Grundlage bestimmter Ereignisse starten und stoppen und die aufgezeichneten Informationen filtern können.

 

Diese beiden Überwachungslösungen verwenden ein Modul zur Analyse des Benutzerverhaltens, um verdächtige Benutzeraktionen zu erkennen. Auf diese Weise sammelt ObserveIT Informationen für sein Haupt-Dashboard. Ekran System bietet einen maschinellen Lernalgorithmus, der das grundlegende Benutzerverhalten festlegt, um abnormale Benutzeraktivitäten zu erkennen und das Sicherheitspersonal darüber zu informieren.

 

Wallix vs Balabit

 

Gateway-basierte Lösungen sind einfacher zu implementieren und zu warten, haben aber einige Einschränkungen bei der Erfassung von Metadaten. Wallix sammelt überhaupt keine Metadaten. Es speichert Videos im Flash-Format und liefert durch optische Zeichenerkennung zusätzliche Textdaten, die als Grundlage für die Textsuche dienen.

 

Gleichzeitig bietet Balabit mit Blindspotter ein weiteres Produkt an, das die Überwachungsdaten (die von der Balabit Shell Control Box und anderen Tools gesammelt werden) durch eine intelligente Analyse des privilegierten Benutzerverhaltens ergänzen kann. Dieses Produkt verfügt über ein separates Lizenzmodell.

 

Der Ansatz von Balabit ist weniger effektiv als die eigentliche Metadatenerfassung, da er sowohl eine weniger robuste Suchfunktion als auch einen weniger detaillierten Audit-Trail bietet.

 

Zugriffsverwaltung

 

Wenn man Ekran System vs. ObserveIT vs. Balabit vs. Wallix aus der Sicht der privilegierten Benutzerüberwachung betrachtet, bieten alle vier Dienste Werkzeuge, um die Aktivitäten im Detail zu kontrollieren. Jedes von ihnen bietet eine zweite Authentifizierungsebene für gemeinsame Konten wie root und admin.

 

 Funktionalität

Ekran System®

ObserveIT

One Identity Safeguard for PSM (ehemals Balabit)

Wallix

Sekundäre Authentifizierung

checked-icon

checked-icon

checked-icon

checked-icon

Einmalpasswort

checked-icon

minus-icon

minus-icon

checked-icon

Zustimmung des Administrators bei der Anmeldung

checked-icon

minus-icon

checked-icon

checked-icon

Privilegiertes Account- und Session-Management (PASM)

checked-icon

minus-icon

checked-icon

checked-icon

Passwortverwaltung

checked-icon

minus-icon

checked-icon

checked-icon

Integration mit verschiedenen Tools zur Passwortverwaltung von Drittanbietern

minus-icon

minus-icon

checked-icon

checked-icon

Multi-Faktor-Authentifizierungslösungen

checked-icon

minus-icon

checked-icon

checked-icon

 

Ekran System bietet im Vergleich zu ObserveIT zusätzliche Funktionen zur Zugriffsverwaltung:

 

  • Kostenlose Zwei-Faktor-Authentifizierung
  • Die Funktionalität des Einmalpassworts ermöglicht Systemadministratoren Anmeldungen manuell zu genehmigen, indem sie eine Reihe von Anmeldeinformationen für die einmalige Verwendung bereitstellt
  • Manuelle Login-Genehmigungen zur Sicherung der wichtigsten Assets
  • Ein Passwortmanager zur Umsetzung des Prinzips der geringsten Privilegien

 

ObserveIT bietet eine zusätzliche Authentifizierungsebene, die nicht nur Benutzeranmeldeinformationen anfordert, sondern auch eine Bestätigung über einen Code an die dem Benutzer zugeordnete E-Mail-Adresse sendet. Dennoch verlassen sich beide Ebenen auf den Wissensfaktor, so dass dieses Schema nicht als der beste Standard für die Multi-Faktor-Authentifizierung angesehen werden kann.

 

Die Multi-Faktor-Authentifizierung von Ekran System erfordert dagegen Anmeldeinformationen und das Mobiltelefon des Benutzers. Durch die Verwendung von zwei verschiedenen Faktoren (Wissen und Besitz) gewährleistet diese Lösung ein wirklich zuverlässiges Authentifizierungsverfahren.

 

Jede Überprüfung von Wallix und Balabit wird zeigen, dass beide Lösungen über robuste, privilegierte Zugriffskontrollfunktionen mit Zugriffsberechtigungsmanagement, Gateway-Authentifizierung, integrierter Passwort-Übernahme und Integration mit verschiedenen Passwortverwaltungs- und Multi-Faktor-Authentifizierungslösungen von Drittanbietern verfügen.

 

Balabit hat einen leichten Vorteil gegenüber Wallix, da es den Einsatz im transparenten Modus ermöglicht und die Anwendung für Benutzer, die sich über sie verbinden, unsichtbar macht.

 

Funktionalität der Vorfallsreaktion

 

Alle vier Tools liefern anpassbare Warnmeldungen bei potenziell schädlichen Aktionen und bieten neben der Benachrichtigung des Sicherheitspersonals auch die folgenden Tools zur Reaktion auf Vorfälle:

 

  • Ekran System ermöglicht die Überprüfung von Sitzungen in Echtzeit und die manuelle Sperrung von Benutzern mit Sitzungsende und anschließender Login-Sperre. Es verfügt auch über ein integriertes Alarmsystem mit einer Reihe von automatisierten Reaktionen wie Benutzersperre und Anwendungskiller.
  • ObserveIT verfügt über ein umfassendes regelbasiertes Alarmsystem, das Benutzer zwingen kann, ihre Aktionen zu bestätigen, indem es eine Sperrmeldung mit einer benutzerdefinierten Sicherheitsmeldung anzeigt. Eine Sitzung wird fortgesetzt, nachdem ein Benutzer die Nachricht gelesen hat und Feedback gibt.
  • Balabit Shell Control Box ermöglicht die automatische Beendigung von Sitzungen.
  • Wallix ermöglicht ebenfalls die automatisierte Beendigung von Sitzungen, ähnlich wie bei Balabit.

 

 

 

Rating: 
Average: 1 (1 vote)