ObserveIT vs Cyberark vs Ekran System^®

CyberArk vs ObserveIT vs Ekran System

Insider-Bedrohungen haben sich als ein wichtiges Thema im Bereich der Cybersicherheit etabliert. Es sind viele verschiedene Lösungen zur Bekämpfung des Problems entstanden. Diese Lösungen richten sich jedoch oft an unterschiedliche Zielgruppen und konzentrieren sich auf verschiedene Aspekte des Problems, was es schwierig macht, die beste Lösung für eine bestimmte Situation zu wählen.

In dieser Produktbesprechung haben wir beschlossen, unser eigenes Ekran System mit zwei Konkurrenzlösungen für die Erkennung von Insider-Bedrohungen und die privilegierte Zugriffsverwaltung zu vergleichen: ObserveIT und CyberArk.

Unser Ziel ist es, die Stärken und Grenzen von Ekran System vs. ObserveIT vs. CyberArk aufzuzeigen und Ihnen zu helfen, die Situationen besser zu verstehen, in denen Ekran System die beste Wahl wäre.

Produktbewertung: Zusammenfassung

CyberArk ist in diesem Vergleich bei weitem das schwächste der drei Produkte, wenn es darum geht, Insider-Bedrohungen zu erkennen und zu verhindern.

Es verwendet einen Bastion-Ansatz, bei dem alle Verbindungen durch den Bastion-Host geleitet werden müssen, was zwar bequem sein kann, aber auch seine eigenen Probleme mit sich bringt. Ein solcher Host kann als Leistungsengpass und Single Point of Failure dienen und hat nur begrenzte Aufzeichnungsmöglichkeiten, so dass er als Überwachungsinstrument am wenigsten effektiv ist.

CyberArk bringt jedoch eine starke Funktionalität für die privilegierte Zugriffsverwaltung mit, was es neben seinem hohen Preis zu einer guten Empfehlung für große Unternehmen macht, die nach einer privilegierten Identitätsmanagement-Lösung suchen.

ObserveIT konzentriert sich viel stärker auf die Benutzerüberwachung und die Erkennung von Insider-Bedrohungen, aber der hohe Preis macht es nur für große Unternehmen rentabel.

Ekran System bietet einen robusten und stabilen Funktionsumfang zu einem niedrigeren Preis als ObserveIT und ist somit eine einfache Empfehlung sowohl für KMUs als auch für große Unternehmen.

Darüber hinaus bietet Ekran System einen stabilen Client mit hoher Leistung, automatischen Client-Updates, privilegierter Zugriffsverwaltung und kostenlosem Datenbank-Support, was eine einfache Bereitstellung und Wartung ermöglicht.

Eine Ekran System Enterprise-Lizenz bietet darüber hinaus eine Reihe von zusätzlichen Funktionen, die speziell für große Unternehmen entwickelt wurden, wie z.B. SIEM- und Ticketing-Systemintegration, Hochverfügbarkeit und Multi-Tenancy-Support.

Markt- und Fokusübersicht

	Ekran System^®	ObserveIT	CyberArk
Beschreibung	Schutzplattform bei Insider-Bedrohungen	Erkennung von Insider-Bedrohungen und Benutzer-Audit-Software	Funktionen zum privilegierten Account-Management, zum Passwortschutz und zur Prüfung von Benutzeraktionen
Zielgruppe	Unternehmen jeder Größe	Große Unternehmen	Große Unternehmen mit der Notwendigkeit eines umfassenden Schutzes des privilegierten Zugriffs
Technischer Ansatz	Agentenbasierte Software	Agentenbasierte Software	Bastion-basierte Lösung
Bereitstellung	Agentenbasierte Bereitstellung (Windows-Agenten können aus der Ferne installiert werden) Jump Server-Bereitstellung Optimiert für virtuelle Umgebungen	Agentenbasierte Bereitstellung Jump Server-Bereitstellung	Agentenbasierte Bereitstellung Jump Server-Bereitstellung Virtual Appliance Einsatzunterstützung
Wartung und Pflege	Manuelle Aktualisierung des Bedienfelds Automatische Client-Updates 24/7 Support	Manuelle Aktualisierung des Bedienfelds	Manuelle Updates
Preis (basierend auf den durchschnittlichen Bereitstellungskosten)	$	$$$	$$$$
Lizenzierung	Basierend auf der Anzahl der überwachten Endpunkte Mehrere Lizenzstufen	Grundgebühr für die Systemverwaltungskomponente zusätzlich zur Gebühr auf Basis der Anzahl der überwachten Endpunkte*	Grundgebühr für die Systemverwaltungsinfrastruktur zusätzlich zur Gebühr auf Basis der Anzahl der überwachten Endpunkte, Nutzer oder Sitzungen

*Hinweis

Die Preise von ObserveIT werden sich aufgrund des Erwerbs dieses Produkts durch Proofpoint ändern, die beschlossen hat, die einmalige Lizenz durch ein Abonnement zu ersetzen. Vorläufig gibt es keine Informationen über die zukünftige ObserveIT-Preisgestaltung.

Lizenzierung und Zielkunden

Jede dieser Lösungen ist für ein anderes Zielpublikum und einen anderen Zweck konzipiert, was sich in ihren Preisen und Merkmalen widerspiegelt.Jede dieser Lösungen ist für ein anderes Zielpublikum und einen anderen Zweck konzipiert, was sich in ihren Preisen und Merkmalen widerspiegelt.

Preisvergleich zwischen ObserveIT und CyberArk

Sowohl ObserveIT als auch CyberArk sind relativ teuer und zielen auf große Unternehmen ab. Die Kosten von CyberArk sind nicht flexibel für kleinere Bereitstellungen.

Während ObserveIT sich darauf konzentriert, ein Tool für das Management von Insider-Bedrohungen mit Fähigkeiten zur Erkennung und Verhinderung von Insider-Angriffen bereitzustellen, verfügt CyberArk über wesentlich robustere, privilegierte Identitätsmanagement-Funktionen mit schwächeren Überwachungsmöglichkeiten. Es ist in erster Linie für die Prüfung und die Aufrechterhaltung belastender Dokumente im Falle eines Vorfalls gedacht.

Preis- und Lizenzvergleich Ekran System vs. ObserveIT

Obwohl Ekran System bestimmte Zugriffsverwaltungstools swie Zwei-Faktor-Authentifizierung, Einmalpasswörter und privilegiertes Account-Management bietet, ist es ObserveIT am ähnlichsten, obwohl es letztendlich viel erschwinglicher ist als ObserveIT oder CyberArk.

Ekran System ist eine Komplettlösung zum Schutz vor Insider-Bedrohungen für Unternehmen jeder Größe. Es kombiniert eine robuste Überwachung mit Funktionen für privilegierte Zugriffsverwaltung und Identitätsmanagement. Das flexible Lizenzmodell ermöglicht es Ekran System, schnelle Implementierungen in kleinem und großem Maßstab zu unterstützen, während die automatische Lizenzbereitstellung es einfach macht, die Nutzung einer einzigen Lizenz in einer virtuellen Umgebung zu maximieren.

Übersicht über das Merkmals- und Nutzungsszenario

	Ekran System^®	ObserveIT	CyberArk
Überwachung	Vollständige Videoaufzeichnung jeder lokalen und Remote-Sitzung Audioaufzeichnung von Eingangs- und Ausgangsströmen Umfangreiche Sammlung zusätzlicher Metadaten	Vollständige Videoaufzeichnung jeder lokalen und Remote-Sitzung Umfangreiche Sammlung zusätzlicher Metadaten Überwachung der Dateiaktivität	Videoaufzeichnung von Remote-Sitzung Umfangreiche Sammlung zusätzlicher Metadaten
Berichterstattung	Fortgeschrittenes Berichterstellungssystem	Fortgeschrittenes Berichterstellungssystem	Privilegierte Bedrohungsanalyse Verhaltensanalyse
Reaktion auf Vorfälle	Warnmeldungen in Echtzeit Benutzerdefinierte Warnmeldungen Vordefinierte Warnmeldungen Live-Sitzungsansicht Erzwungener Nutzer-Datentransfer Automatische und manuelle Benutzersperre Automatisches Beenden von Anwendungen Automatische Sperrung von USB-Geräten Verhaltensanalyse von Benutzern und Entitäten	Warnmeldungen in Echtzeit Benutzerdefinierte Warnmeldungen Regelbasierte Verhaltensanalyse Live-Sitzungsansicht Erzwungener Nutzer-Datentransfer Manuelles Sperren der Sitzung Warnmeldung beim Anschluss eines USB-Speichermediums oder Mobiltelefons Verhaltensanalyse von Benutzern und Entitäten	Automatische Sitzungssperre
Zugriffsverwaltung	Zusätzliche Authentifizierung zur Identifizierung der Nutzer gemeinsamer Konten Zwei-Faktor-Authentifizierung Einmalpasswörter Privilegiertes Account- und Session-Management Passwort-Tresor Manuelle USB-Freigabe	Zusätzliche Authentifizierung zur Identifizierung der Nutzer gemeinsamer Konten Zweite Authentifizierungsebene	Zusätzliche Authentifizierung zur Identifizierung der Nutzer gemeinsamer Konten Zwei-Faktor-Authentifizierung Einmalpasswort-Funktionalität Passwort-Tresor und Passwortverwaltung (Cyberark Passwort-Tresor)
Integrationen	Active Directory SIEM Ticketingsysteme	Active Directory SIEM Ticketingsysteme	Active Directory SIEM Ticketingsysteme
Zusätzliche Vorteile	Stabiler Agent mit großer Leistung Erweiterter Agentenschutz auf Treiberebene Flexibles Lizenzmodell Automatische Lizenzbereitstellung für eine virtuelle Umgebung Support für eine kostenlose Datenbank Werkzeug zur autonomen Erkennung verdächtiger Ereignisse Schutz der Privatsphäre der Mitarbeiter durch Anonymisierung (Möglichkeit, den Firmennamen auf Berichte und Benachrichtigungen zu setzen)	Werkzeug zur autonomen Erkennung verdächtiger Ereignisse Schutz der Privatsphäre der Mitarbeiter durch Anonymisierung	Umfassende Sicherheitsfunktionalität für privilegierte Accounts Berechtigungsbasiertes Account-Management Werkzeug zur autonomen Erkennung verdächtiger Ereignisse

Vergleich des technischen Ansatzes

Der Hauptunterschied zwischen CyberArk, ObserveIT und Ekran System liegt in den sehr unterschiedlichen technischen Ansätzen, die diese Lösungen zur Mitarbeiterüberwachung verfolgen.

Während ObserveIT und Ekran System Agenten einsetzen, die an einzelnen Endpunkten installiert werden, verwendet CyberArk eine separate virtuelle oder physische Appliance, die als Proxy-Server vom Typ Bastion fungiert und alle Daten, die sie durchlaufen, erfasst und aufzeichnet. Jeder dieser Ansätze hat seine Stärken und Schwächen.

CyberArk PAM Traditional Architecture

Der Bastion-Ansatz von Cyberark bietet eine einfache Bereitstellung und einen gewissen aktiven Schutz, allerdings mit den zusätzlichen Kosten für Hardware und Wartung des Geräts. Agentenbasierte Lösungen sind letztlich viel besser in der Überwachung von Benutzeraktionen, da sie alle Sitzungen aufzeichnen können und pro Sitzung viel mehr Daten erhalten.

Ekran System bietet eine einfache Bereitstellung mit besonders komfortablen Funktionen für die Bereitstellung von Windows-Agenten (Remote-Installation mit vordefinierten oder benutzerdefinierten Einstellungen ist möglich).

Ekran System und ObserveIT unterstützen auch den Einsatz von Jump-Servern. Sie können nur einen Terminalserver-Client auf einem Jump-Server installieren, um alle Sitzungen zu überwachen, die über diesen Server laufen. Bei Bedarf kann Ekran System mit seinem PASM-Toolset auch den Zugang zu den Endpunkten innerhalb des geschützten Perimeters verwalten.

Jump server deployment scheme

Aufnahmefähigkeiten

CyberArk

CyberArk hat die begrenztesten Aufzeichnungsmöglichkeiten unter den drei Lösungen. Es ist in der Lage, nur Benutzersitzungen aufzuzeichnen, die durch den Bastion-Host geleitet werden, ohne die Möglichkeit, lokale oder über andere Server geleitete Sitzungen aufzuzeichnen.

Die Lösung sammelt die geringste Menge an zusätzlichen Metadaten und ist z. B. nicht in der Lage, den Inhalt von laufenden Skripten in Linux-Sitzungen zu überwachen. Einigen CyberArk-Rezensionen zufolge fehlt den Benutzern eine Möglichkeit, Aufzeichnungen einfach zu durchsuchen, da sie als einfache Videodateien gespeichert sind und viel Speicherplatz beanspruchen.

Alle drei Lösungen verwenden zusätzliche Authentifizierungsmerkmale für die Ziel-Endpunkte, obwohl keiner der betrachteten CyberArk-Konkurrenten sein ausgeklügeltes Zugriffsverwaltungssystem, das auf einer Reihe von Berechtigungen basiert, schlagen kann.

ObserveIT and Ekran System

Sowohl ObserveIT als auch Ekran System speichern ihre Videos in einem indizierten, durchsuchbaren Format zusammen mit großen Mengen relevanter Metadaten. Die Videos sind leicht durchsuchbar und benötigen viel weniger Platz.

Ähnlich wie ObserveIT bietet Ekran System eine große Transparenz der Benutzeraktionen, so dass Sie jede Sitzung vollständig aufzeichnen können, unabhängig von den verwendeten Anwendungen oder der Berechtigungsstufe, die ein Benutzer hat. Gleichzeitig ist CyberArk nicht anwendungsunabhängig und erfordert für bestimmte Anwendungen die Installation eines speziellen Konnektors.

Zusätzlich zeichnet Ekran System die Audioeingabe und -ausgabe an jedem Benutzerendpunkt auf.

Zugriffsverwaltung und Vorfallsreaktion

Alle drei Lösungen verfügen über eine integrierte Funktion zum Beenden von Sitzungen, die es ermöglicht, die laufende Sitzung zu beenden, wenn böswillige Aktionen entdeckt werden.

Ekran System

Um böswillige Handlungen überhaupt erst zu erkennen, setzt Ekran System ein robustes, anpassbares Alarmsystem ein, das so eingerichtet werden kann, dass es die Gegebenheiten einer bestimmten Organisation am besten widerspiegelt und bei bestimmten verdächtigen Ereignissen Benachrichtigungen an das Sicherheitspersonal sendet.

Monitoring result - alerts

Darüber hinaus kann Ekran System alle USB-Geräte beim Anschluss erkennen und optional blockieren, wodurch die Verwendung von Massenspeichergeräten und anderen potenziell gefährlichen Tools verhindert wird. Diese Plattform verwendet auch ein Modul für künstliche Intelligenz, um normales Benutzerverhalten zu analysieren und verdächtige Aktionen zu erkennen.

Mit Ekran System können Sie Benutzern einen temporären RDP Zugriff auf geschützte Computer mit bevorzugten Accounts ermöglichen, deren Anmeldedaten im sicheren Passwort-Tresor gespeichert sind.

Als Komplettlösung bietet Ekran System auch PAM-Funktionalität zur Sicherung des Zugriffs auf kritische Daten:

Multi-Faktor-Authentifizierung zur positiven Identifizierung von Benutzern, die versuchen sich anzumelden (sogar bei einem gemeinsamen Konto)
Ein PASM-Toolset (Privilegiertes Account- und Session-Management) zur Überwachung des Fernzugriffs auf Unternehmensressourcen
Einmalpasswörter für den granularen Zugriff auf die sichersten Anlagen
Passwortverwaltung zur Sicherung von Benutzeranmeldeinformationen und anderen Geheimnissen
Manuelle Freigabe des Logins

ObserveIT

ObserveIT hat eine ähnliche Warnfunktionalität. Es verwendet auch ein integriertes Verhaltensanalysemodul, das so konzipiert ist, dass verdächtiges Verhalten automatisch erkannt wird, ohne dass manuell Warnmeldungen erstellt werden müssen. Aber bei ObserveIT sammelt dieses Modul auch Daten für ein Dashboard.

Die Zugriffsverwaltungsfunktionen sind nicht die Stärke von ObserveIT. ObserveIT ist nur mit einer Sekundär-Authentifizierung ausgestattet, die keinen zuverlässigen Zugriffsschutz gewährleistet.

Es kann auch USB-Speichergeräte und Mobiltelefone erkennen und blockieren.

CyberArk

CyberArk hingegen konzentriert sich auf den Passwortschutz. Es verfügt über einen separaten sicheren Passwortspeicher mit der Möglichkeit, Passwörter automatisch zu ändern und bei Bedarf ein Einmalpasswort anzufordern.

Diese Lösung bietet den Kunden fast das gleiche Überwachungstoolset wie Ekran System und ObserveIT: Videoaufzeichnung, gekoppelt mit umfangreicher Metadatenprotokollierung.

CyberArk verfügt auch über eine privilegierte Funktion zur Bedrohungsanalyse, ähnlich der Verhaltensanalyse von ObserveIT, die versucht, Bedrohungen auf der Grundlage vorprogrammierter Algorithmen automatisch zu erkennen und die auch automatisch Sitzungen unterbrechen kann.