VERGLEICH VON EKRAN SYSTEM^® VS. BALABIT VS. WALLIX VS. OBSERVIT

Observeit vs Balabit vs Wallix vs Ekran System

Interne Sicherheitslücken und benutzerbasierte Bedrohungen sind heiße Themen in der Branche und nicht nur große Unternehmen sind Ziele: KMUs, Bildungseinrichtungen und Regierungsorganisationen sind gleichermaßen gefährdet.

Lösungen zur Überwachung der Benutzeraktivität sind nichts Neues. Diese Tools werden im Rahmen einer Compliance-Strategie und Strategie zur Gefahrenabwehr in die Sicherheitsrichtlinien vieler Unternehmen integriert. Die Tools, die wir in diesem Bericht vergleichen, wenden moderne Ansätze an: indexierte Videoaufzeichnungen von Benutzersitzungen mit erweiterten Such-, Analyse- und Benachrichtigungsfunktionen.

In diesem Vergleich betrachten wir vier Lösungen zur Überwachung der Benutzeraktivität - unser eigenes Ekran System vs. Balabit vs. ObserveIT vs. Wallix.

Unser Ziel ist es, Ihnen zu helfen, die Unterschiede zwischen diesen Lösungen besser zu verstehen und festzustellen, welche die Bedürfnisse Ihres Unternehmens am besten erfüllen.

Produktbewertung: Zusammenfassung

Ekran System wird für KMUs und große Unternehmen empfohlen, die eine stabile und einfach zu implementierende Lösung mit Kernüberwachungs-, PAM- und Identitätsmanagementfunktionen suchen.

ObserveIT ist eine Option für mittlere und große Unternehmen, die eine breitere Integration und eine ausgefeiltere Warnfunktionalität wünschen.

Wallix eignet sich für die Kontrolle und Verwaltung privilegierter Konten und wird für KMUs und Unternehmen empfohlen.

Große Unternehmen, die eine Reihe kritischer Endpunkte und hohe Anforderungen an die Zugriffsverwaltung haben - und eine Lösung mit detaillierten Aktivitäts- und Datenübertragungskontrollen sowie automatisierten Blockierfunktionen suchen - können sich für Balabit oder Wallix entscheiden.

Hinweis

Balabit wurde von One Identity übernommen und in One Identity Safeguard for PSM umbenannt.

Alle folgenden Informationen über die Balabit Shell Control Box gelten für One Identity Safeguard for PSM.

Markt- und Fokusübersicht

	Ekran System^®	ObserveIT	One Identity Safeguard for PSM (ehemals Balabit)	Wallix AdminBastion Suite
Beschreibung	Schutzplattform bei Insider-Bedrohungen	Enterprise Erkennungssoftware von Insider-Bedrohungen	Überwachungslösung, die den privilegierten Zugriff auf entfernte IT-Systeme steuert	Fokus auf privilegierte Zugriffsverwaltung und privilegierte Benutzerüberwachung
Zielgruppe	Unternehmen jeder Größe	Große Unternehmen aus verschiedenen Branchen	Große Unternehmen mit hohen Anforderungen an die Zugangssicherheit	Unternehmen jeder Größe
Technischer Ansatz	Agentenbasierte Software	Agentenbasierte Software	Gerät	Gerät
Bereitstellung	Agentenbasierte Bereitstellung (Windows-Agenten können aus der Ferne installiert werden) Jump Server-Bereitstellung Optimiert für virtuelle Umgebungen Multi-Tenant-Modus	Agentenbasierte Bereitstellung Jump Server-Bereitstellung	Bastion-Host-Bereitstellung (Möglichkeit privilegierter Sitzungen auf einem Virtual Appliance festzulegen) Transparenter Modus	Bereitstellung des Bastion-Hosts Webbasierter Client Physische Anwendung oder Virtual Appliance
Wartung und Pflege	Manuelle Aktualisierung des Bedienfelds Automatische Client-Updates (online und offline)	Manuelle Aktualisierung des Bedienfelds	Manuelle Aktualisierung des Bedienfelds	Manuelle Firmware-Updates
Preis (basierend auf den durchschnittlichen Bereitstellungskosten)	$	$$$	$$$$	$$$$
Lizenzierung	Basierend auf der Anzahl der überwachten Endpunkte Mehrere Lizenzstufen	Grundgebühr für die Kontrollkomponente zusätzlich zur Gebühr auf Basis der Anzahl der überwachten Endpunkte	Basierend auf der Anzahl der gekauften Geräte (unflexibel)	Basierend auf der Anzahl der gekauften Geräte (unflexibel) Mehrere Lizenzstufen

Format

Alle vier Lösungen beinhalten Videoaufzeichnungen von Benutzersitzungen als Teil ihrer Hauptfunktionalität und bieten Tools zur Sitzungssuche sowie eine webbasierte Schnittstelle für die DVR-ähnliche Wiedergabe. Ekran System zeichnet auch Eingangs- und Ausgangsströme auf jedem Endpunkt auf.

Alle vier Tools bieten manipulationssichere Audit-Trails mit parametrisierter Episodensuche durch Sitzungen sowie alarmierte Ereignismarkierungen.

Fokus

Insider Threat Detection

Überwachung

Die Überwachung der Benutzeraktivitäten ist das Kernelement aller vier Produkte. Ekran System und ObserveIT konzentrieren sich jedoch mehr darauf, detaillierte Aufzeichnungen über die Benutzeraktivitäten zu erstellen, um Insiderbedrohungen zu erkennen and die Aktivitäten der Mitarbeiter zu überwachen.

Zugang

Ekran System bietet privilegierte Zugriffsverwaltungs funktionen in Form eines Passwortmanagers, Einmalpasswörter und Multi-Faktor-Authentifizierung. Sie bietet jedoch weniger Funktionalität als die Balabit Shell Control Box oder die Wallix AdminBastion Suite.

Die Balabit Shell Control Box und die Wallix AdminBastion Suite, einer der größten Konkurrenten von Balabit, konzentrieren sich mehr auf privilegierte Zugriffsverwaltung und Zugangskontrolle. Bei diesen Lösungen steht die Überwachung weniger im Vordergrund und wird als zusätzliches Feature betrachtet. Infolgedessen haben sie weniger Möglichkeiten zur Untersuchung von Insider-Bedrohungen, bieten aber einen gewissen zusätzlichen Schutz vor Angriffen von außen.

ObserveIT verfügt über das bescheidenste Zugriffsverwaltung-Toolset dieser vier Lösungen, das nur eine sekundäre Authentifizierung bietet.

Architekturen

Diese Lösungen verwenden verschiedene Architekturmodelle: ObserveIT und Ekran System sind agentenbasierte Software, während Balabit und Wallix Gateway-basierte Lösungen sind, die als Hardware oder Virtual Appliance geliefert werden.

Gateway-basierte Lösungen sind einfacher zu implementieren und zu warten, haben aber einige Einschränkungen bei der Erfassung von Metadaten.

Agentenbasierte Lösungen hingegen bieten mehr Vielseitigkeit. Im Rahmen einer regelmäßigen Bereitstellung können sie detailliertere Metadaten sammeln, was besonders bei der Überwachung von Linux Telnet SSH-Sitzungen von entscheidender Bedeutung ist.

Agent based vs gateway based software

Agentenbasierte Software kann auch über ein Gateway-basiertes Schema bereitgestellt werden, bei dem ein Überwachungsagent auf einem einzigen Jump-Server installiert ist und alle Verbindungen überwacht, die über diesen Server geleitet werden, wodurch Balabit oder Wallix nachgeahmt wird.

Jump server deployment scheme

Die Bereitstellung von Jump-Servern schränkt die Überwachungsmöglichkeiten im Vergleich zur Bereitstellung von Agenten auf jedem Ziel-Endpunkt geringfügig ein, ist aber vielseitiger und kostengünstiger als die Lizenzierung von Wallix oder Balabit.

Ein weiterer Vorteil agentenbasierter Lösungen ist, dass ein Agent bei Verlust der Netzwerkverbindung die Daten lokal aufzeichnen und später an den Server senden kann.

Darüber hinaus gibt es im Ekran System einen Multi-Tenant-Modus, der es mehreren stark isolierten Mandanten ermöglicht, in einer Systemumgebung des Ekran System zu arbeiten. Die Daten jedes Mandanten, einschließlich der Überwachungsdaten, der Benutzeranmeldeinformationen, der Mandantennamen und der Systemkonfiguration, sind privat und für andere Mandanten nicht zugänglich.

Multi-tenant cybersecurity deployment scheme

Zielkunden und Preise

Balabit und ObserveIT richten sich an große Unternehmen, während Ekran System und Wallix sowohl den Markt für große Unternehmen als auch für KMUs ansprechen. Aber während das Wallix-Paket für KMUs ein limitiertes Toolset enthält, bietet Ekran System in allen Editionen Überwachungs-, Alarmierungs-, Reaktions- und Berichtsfunktionen. Dieser Unterschied spiegelt sich in den Preis- und Lizenzmodellen wider.

Preisgestaltung von Balabit

Der Preis der Balabit Shell Control Box ist für jedes Gerät festgelegt und so basieren die Kosten einer Balabit-Lizenz auf der Anzahl der eingesetzten Geräte, einem Modell, das sich an großen Infrastrukturen orientiert. Bereitstellungen mit einer moderaten Anzahl von Endpunkten wären nicht kosteneffizient.

Preisgestaltung von Wallix

Die Lizenzierung von Wallix ähnelt der von Balabit, da Wallix einen Festpreis pro Gerät berechnet. Wallix stellt aber auch einen webbasierten Client nach einem Abonnementmodell zur Verfügung.

Sie können Balabit oder Wallix auch als Virtual Appliance gegen Entgelt einsetzen.

Preisgestaltung von ObserveIT

Die Lizenzierung von ObserveIT besteht aus zwei Teilen: einem Festpreis für die Systemverwaltungskomponente und einem Preis, der auf der Anzahl der überwachten Endpunkte basiert. Vergleicht man also Balabit mit ObserveIT ist das Lizenzmodell dieses Unternehmens flexibler, obwohl es immer noch eine erhebliche Eintrittsbarriere gibt. Kleine und mittlere Bereitstellungen werden nicht kosteneffizient sein.

Preisgestaltung von Ekran System

Ekran System bietet zwei Licensing schemes.

Standard

Beim Standard-Lizenzmodell hängt die Preisgestaltung vollständig von der Anzahl der eingesetzten Agenten ab, so dass diese Lösung für kleine und mittlere Unternehmen kostengünstig ist. Gleichzeitig bietet die Standard-Lizenzierung dem Anwender alle notwendigen Werkzeuge für den Schutz vor Insider-Bedrohungen.

Enterprise

Das Enterprise-Lizenzschema fügt dem Management-Panel feste Gebühren hinzu, ähnlich wie ObserveIT, bietet aber auch zusätzliche Vorteile, die für größere Unternehmen nützlich sind, wie Einmalpasswörter, erweiterte SIEM- und Ticketing-Systemintegration, Audioaufzeichnung und hohe Verfügbarkeit.

Ekran System verfügt auch über ein separates Lizenzmodell für Jump-Server-Bereitstellungen.

Sowohl das Standard- als auch das Enterprise-Lizenzmodell bieten eine variable Lizenzierung. So können Lizenzen problemlos einem anderen Endpunkt zugewiesen werden, egal ob real oder virtuell.

Übersicht über das Merkmals- und Nutzungsszenario

	Ekran System^®	ObserveIT	One Identity Safeguard for PSM (ehemals Balabit)	Wallix AdminBastion Suite
Überwachung	Aufzeichnung der Benutzer-Sitzung Video, aufgezeichnet in einem benutzerdefinierten Format Audioaufzeichnung Vollständige Metadatenerfassung Suche nach Metadaten	Aufzeichnung der Benutzer-Sitzung Video, aufgezeichnet in einem benutzerdefinierten Format Vollständige Metadatenerfassung Suche nach Metadaten E-Mail-Überwachung	Aufzeichnung der Benutzer-Sitzung Video, aufgezeichnet in einem benutzerdefinierten Format Vollständige Metadatenerfassung Suche nach Metadaten	Aufzeichnung der Benutzer-Sitzung Videos, aufgezeichnet im Flash-Format (für GUI-Sitzungen) oder im Textformat (für SSH-Sitzungen) Optische Zeichenerkennung für die textbasierte Suche
Alarmierung	Warnmeldungen in Echtzeit Benutzerdefinierte Warnmeldungen Vordefinierte Warnmeldungen Live-Sitzungsansicht Erzwungener Nutzer-Datentransfer Automatische und manuelle Benutzersperre Automatisches Beenden von Anwendungen Automatische Sperrung von USB-Geräten Analyse des Benutzerverhaltens	Warnmeldungen in Echtzeit Benutzerdefinierte Warnmeldungen Regelbasierte Verhaltensanalyse Live-Sitzungsansicht Erzwungener Nutzer-Datentransfer Manuelles Sperren der Sitzung Warnmeldung beim Anschluss eines USB-Speichermediums oder Mobiltelefons Analyse des Benutzerverhaltens	Echtzeit-Warnmeldungen oder Beendigung der Sitzung Benutzerdefinierte Warnmeldungen Live-Sitzungsansicht Möglichkeit mit Blindspotter eine Analyse des Benutzerverhaltens hinzuzufügen Regelbasierte Verhaltensanalyse Analyse des Benutzerverhaltens (erfordert eine zusätzliche Lizenz)	Warnmeldungen in Echtzeit Benutzerdefinierte Warnmeldungen Live-Sitzungsansicht Automatische Sitzungssperre
Zugriffs verwaltung	Zusätzliche Authentifizierung zur Identifizierung gemeinsamer Konten Zwei-Faktor-Authentifizierung Einmalpasswörter Privilegiertes Account- und Session-Management (PASM) Manuelle Genehmigung von USB-Geräteanschlüssen Passwortverwaltung	Zusätzliche Authentifizierung zur Identifizierung gemeinsamer Konten Zweite Authentifizierung sebene	Passwort-Tresor und Passwortverwaltung Zusätzliche Authentifizierung soptionen Zugriffsberechtig ungsverwaltung Zwei-Faktor-Authentifizierung	Passwort-Tresor und Passwortverwaltung Zusätzliche Authentifizierung soptionen Zugriffsberechtig ungsverwaltung Zwei-Faktor-Authentifizierung
Integration	Active Directory-Integration SIEM-Integration Integration von Ticketing-Systems	Active Directory-Integration SIEM-Integration Integration von Ticketing-Systems	Active Directory-Integration SIEM-Integration Integration mit anderen Drittlösung Integration von Ticketing-Systems	Active Directory-Integration SIEM-Integration Integration mit anderen Drittlösung
Sonstige	Individuelle Berichterstattung Forensischer Export Vor Manipulationen geschützte Datensätze Mandantenfähigk eitsunterstützung Schutz vor Deinstallation auf Treiber-Ebene Stabilität und hochoptimierte Leistung	Individuelle Berichterstattung Forensischer Export Vor Manipulationen geschützte Datensätze	Individuelle Berichterstattung Forensischer Export Vor Manipulationen geschützte Datensätze	Individuelle Berichterstattung Forensischer Export Vor Manipulationen geschützte Datensätze

Überwachung von Benutzeraktionen

Der Unterschied in der Architektur und dem Fokus dieser vier Lösungen bestimmt die Unterschiede in der Art und Weise, wie sie die Überwachung der Benutzeraktivitäten angehen.

Ekran System vs ObserveIT

Ekran System und ObserveIT bieten eine wesentlich robustere Überwachungsfunktionalität, indem sie indizierte Videoformate verwenden, um alles aufzuzeichnen, was ein Benutzer während einer bestimmten Sitzung auf dem Bildschirm sieht, sowie alle zusätzlichen Metadaten zur Indexierung, einschließlich:

Namen der geöffneten Anwendungen und der besuchten Webseiten
Namen der aktiven Fenster
Tastenanschläge

Ekran System kann (optional) USB-Geräte überwachen und auf Wunsch einen manuellen Zugriff ermöglichen, der die Erkennung potenziell gefährlicher Geräte ermöglicht. ObserveIT überwacht nur USB-Speichergeräte und Mobiltelefone.

Darüber hinaus zeichnet Ekran System die Audioeingabe und -ausgabe auf Benutzerendpunkten auf.

Sowohl Ekran System als auch ObserveIT verfügen über verschiedene Filter, mit denen Sie die Aufzeichnung zu bestimmten Zeiten oder auf der Grundlage bestimmter Ereignisse starten und stoppen und die aufgezeichneten Informationen filtern können.

Diese beiden Überwachungslösungen verwenden ein Modul zur Analyse des Benutzerverhaltens, um verdächtige Benutzeraktionen zu erkennen. Auf diese Weise sammelt ObserveIT Informationen für sein Haupt-Dashboard. Ekran System bietet einen maschinellen Lernalgorithmus, der das grundlegende Benutzerverhalten festlegt, um abnormale Benutzeraktivitäten zu erkennen und das Sicherheitspersonal darüber zu informieren.

Wallix vs Balabit

Gateway-basierte Lösungen sind einfacher zu implementieren und zu warten, haben aber einige Einschränkungen bei der Erfassung von Metadaten. Wallix sammelt überhaupt keine Metadaten. Es speichert Videos im Flash-Format und liefert durch optische Zeichenerkennung zusätzliche Textdaten, die als Grundlage für die Textsuche dienen.

Gleichzeitig bietet Balabit mit Blindspotter ein weiteres Produkt an, das die Überwachungsdaten (die von der Balabit Shell Control Box und anderen Tools gesammelt werden) durch eine intelligente Analyse des privilegierten Benutzerverhaltens ergänzen kann. Dieses Produkt verfügt über ein separates Lizenzmodell.

Der Ansatz von Balabit ist weniger effektiv als die eigentliche Metadatenerfassung, da er sowohl eine weniger robuste Suchfunktion als auch einen weniger detaillierten Audit-Trail bietet.

Zugriffsverwaltung

Wenn man Ekran System vs. ObserveIT vs. Balabit vs. Wallix aus der Sicht der privilegierten Benutzerüberwachung betrachtet, bieten alle vier Dienste Werkzeuge, um die Aktivitäten im Detail zu kontrollieren. Jedes von ihnen bietet eine zweite Authentifizierungsebene für gemeinsame Konten wie root und admin.

Funktionalität	Ekran System^®	ObserveIT	One Identity Safeguard for PSM (ehemals Balabit)	Wallix
Sekundäre Authentifizierung
Einmalpasswort
Zustimmung des Administrators bei der Anmeldung
Privilegiertes Account- und Session-Management (PASM)
Passwortverwaltung
Integration mit verschiedenen Tools zur Passwortverwaltung von Drittanbietern
Multi-Faktor-Authentifizierungslösungen

Ekran System bietet im Vergleich zu ObserveIT zusätzliche Funktionen zur Zugriffsverwaltung:

Kostenlose Zwei-Faktor-Authentifizierung
Die Funktionalität des Einmalpassworts ermöglicht Systemadministratoren Anmeldungen manuell zu genehmigen, indem sie eine Reihe von Anmeldeinformationen für die einmalige Verwendung bereitstellt
Manuelle Login-Genehmigungen zur Sicherung der wichtigsten Assets
Ein Passwortmanager zur Umsetzung des Prinzips der geringsten Privilegien

ObserveIT bietet eine zusätzliche Authentifizierungsebene, die nicht nur Benutzeranmeldeinformationen anfordert, sondern auch eine Bestätigung über einen Code an die dem Benutzer zugeordnete E-Mail-Adresse sendet. Dennoch verlassen sich beide Ebenen auf den Wissensfaktor, so dass dieses Schema nicht als der beste Standard für die Multi-Faktor-Authentifizierung angesehen werden kann.

Die Multi-Faktor-Authentifizierung von Ekran System erfordert dagegen Anmeldeinformationen und das Mobiltelefon des Benutzers. Durch die Verwendung von zwei verschiedenen Faktoren (Wissen und Besitz) gewährleistet diese Lösung ein wirklich zuverlässiges Authentifizierungsverfahren.

Jede Überprüfung von Wallix und Balabit wird zeigen, dass beide Lösungen über robuste, privilegierte Zugriffskontrollfunktionen mit Zugriffsberechtigungsmanagement, Gateway-Authentifizierung, integrierter Passwort-Übernahme und Integration mit verschiedenen Passwortverwaltungs- und Multi-Faktor-Authentifizierungslösungen von Drittanbietern verfügen.

Balabit hat einen leichten Vorteil gegenüber Wallix, da es den Einsatz im transparenten Modus ermöglicht und die Anwendung für Benutzer, die sich über sie verbinden, unsichtbar macht.

Funktionalität der Vorfallsreaktion

Alle vier Tools liefern anpassbare Warnmeldungen bei potenziell schädlichen Aktionen und bieten neben der Benachrichtigung des Sicherheitspersonals auch die folgenden Tools zur Reaktion auf Vorfälle:

Ekran System ermöglicht die Überprüfung von Sitzungen in Echtzeit und die manuelle Sperrung von Benutzern mit Sitzungsende und anschließender Login-Sperre. Es verfügt auch über ein integriertes Alarmsystem mit einer Reihe von automatisierten Reaktionen wie Benutzersperre und Anwendungskiller.
ObserveIT verfügt über ein umfassendes regelbasiertes Alarmsystem, das Benutzer zwingen kann, ihre Aktionen zu bestätigen, indem es eine Sperrmeldung mit einer benutzerdefinierten Sicherheitsmeldung anzeigt. Eine Sitzung wird fortgesetzt, nachdem ein Benutzer die Nachricht gelesen hat und Feedback gibt.
Balabit Shell Control Box ermöglicht die automatische Beendigung von Sitzungen.
Wallix ermöglicht ebenfalls die automatisierte Beendigung von Sitzungen, ähnlich wie bei Balabit.