Comparacion de Ekran System^® con Balabit, Wallix y Observeit

Observeit vs Balabit vs Wallix vs Ekran System

Las violaciones de seguridad internas y las amenazas de los usuarios son los temas de candente actualidad en la industria, y no sólo las empresas grandes son víctimas potenciales, también lo son las empresas pequeñas y medianas, instituciones educativas y organizaciones.

Las soluciones para monitorizar la actividad de los usuarios no son algo nuevo. Tales herramientas son integradas a la política de seguridad de numerosas organizaciones en el ámbito de la estrategia de cumplimiento de los estándares de seguridad y prevención de las amenazas. Las herramientas que vamos a comparar en esta reseña aplican unos enfoques modernos: las grabaciones indizadas de las sesiones de usuarios con las opciones de búsqueda, análisis y notificaciones avanzadas.

En esta reseña examinaremos cuatro soluciones para monitorizar la actividad de los usuarios – nuestro propio producto Ekran System, así como Balabit, Observeit y Wallix.

El objetivo principal de esta comparación es ayudarle a comprender mejor las diferencias entre dichas soluciones para determinar cuales es la mejor para satisfacer las necesidades de su empresa.

Una breve reseña de los productos

Ekran System es recomendado tanto para las empresas pequeñas y medianas, como las grandes, cuales están buscando una solución estable para monitorizar, incluyendo la funcionalidad general del análisis y gestión de acceso.

Observeit, es un producto para las empresas medianas y grandes que buscan una integración amplia y opciones de notificación avanzadas.

Las empresas grandes, que suelen tener una gran cantidad de agentes finales críticos y unos requisitos exigentes de la gestión de acceso, también las que buscan una solución con la funcionalidad del monitoreo de las actividades del usuario y los datos transferidos, así como con una posibilidad del bloqueo automático, pueden elegir Balabit o Wallix.

Estudio de mercado y enfoque

	Ekran System^®	Observeit	Balabit Shell Control Box	Wallix AdminBastion Suite
Descripción	Software para monitorizar la actividad de los usuarios para los servidores y escritorios	Software para detectar las amenazas internas dentro de las empresas grandes	Un dispositivo para la supervisión que controla el acceso privilegiado a los sistemas TI remotos	Un dispositivo que se centra en la gestión del acceso privilegiado y la monitorización de los usuarios privilegiados
Destinatarios	Empresas de cualquier tipo	Las empresas grandes de cualquier industria	Las empresas grandes con exigentes requisitos de seguridad del acceso	Las empresas grandes que necesitan vigilar el acceso de los usuarios privilegiados
Tipo	El software de agente	El software de agente	Solución de hardware	Solución de hardware
Instalación	Despliegue basado en agentes Despliegue a base del servidor Jump Optimización para operaciones en el entorno virtual	Despliegue basado en agente El despliegue a base del servidor Jump	Despliegue a base de host Bastión Modalidad transparente	Despliegue según el principio de host Bastión Cliente web
Soporte	Actualización manual del panel de control Actualización de clientes automática	Actualización manual del panel de control	Actualización manual de software	Actualización manual de software
Coste medio	*	***	****	****
Activación de licencias	Dependiendo de la cantidad de los puntos base para la monitorización Varias categorías de licencias	Precio básico por el panel de control complementando el precio basándose en la cantidad de los agentes finales de la monitorizacións	En función del número de los dispositivos comprados (valor inflexible)	Basándose en la cantidad de los dispositivos comparados (valor inflexible) Varias categorías de licencias

Formato

Las cuatro soluciones incluyen la grabación de las sesiones del usuario como parte de la funcionalidad principal y proporcionan las herramientas de búsqueda por las sesiones e interfaz web para reproducir un vídeo basándose en el principio de DVR. Todas las herramientas, además facilitan las grabaciones protegidas de datos contra el acceso no autorizado con consulta parametrizada de los sucesos dentro de una sesión, así como, la determinación de los eventos que activaron las notificaciones.

Enfoque

La monitorización de las actividades de los usuarios, es la principal particularidad de los cuatro productos. Al mismo tiempo, tanto Ekran System como Observeit, han prestado mucha atención a las grabaciones de prueba de las actividades de los usuarios para detectar las amenazas internas y la supervisar la actividad de los usuarios.

Balabit Shell Control Box, así como Wallix AdminBastion Suite, uno de los mayores competidores de Balabit, se orientan más en la función de la gestión privilegiada y el control del acceso. Estas soluciones le prestan menos importancia a la monitorización, considerándolo como una opción complementaria de la gestión del acceso. Por ello, dichos productos tienen menos oportunidades para investigar las amenazas internas, no obstante, proveen la seguridad adicional contra las amenazas externas.

Arquitectura

Las soluciones antes vistas, utilizan varios modelos de arquitectura: Observeit y Ekran System son los programas informáticos de agente, mientras que Balabit и Wallix son las soluciones de puerta de enlace de red, que son suministradas por hardware o dispositivos virtuales. Las soluciones de puerta de enlace de red tienen un despliegue y soporte bastante fácil, aunque tienen algunas restricciones en el momento de la recopilación de los metadatos.

Al mismo tiempo, las soluciones de agente presentas más universalidad. En una instalación ordinaria tienen la posibilidad de recopilar metadatos más detallados, lo que es muy importante al monitorizar las sesiones de Linux SSH y Telnet. También pueden ser instalados sobre el plano de puerta de enlace de red, donde un agente del monitoreo es instalado en un servidor jump y controla todas las conexiones que fueron aplicadas a través del servidor, como lo hacen Balabit o Wallix.

El despliegue de un servidor jump, puede limitar las posibilidades en comparación con el despliegue de agentes en cada punto específico, no obstante, es más universal y asequible que la realización de la licencia de Wallix o Balabit.

Otra ventaja de las soluciones de agente es que, al desconectarse de la red, el agente puede realizar una grabación de datos específica, y luego, enviarlo al servidor.

Destinatarios y precios

Wallix, Balabit y Observeit se centran en las empresas grandes, mientras que el sistema de Ekran se centra tanto en las empresas pequeñas y medianas, como en las grandes. Tal segmentación se refleja, ante todo, en los modelos de fijación de precios y licencias.

El precio de Balabit Shell Control Box se determina para cada dispositivo, y, por consiguiente, el precio de la licencia de Balabit se basa en la cantidad de los dispositivos desplegados. Este modelo se orienta en las mayores infraestructuras, y el uso del sistema dentro de la infraestructura, con unos agentes finales, no resulta rentable.

El régimen de la expedición de licencias de Wallix es similar al régimen de Balabit, ya que Wallix tiende a cobrar una cuota fija por cada dispositivo. Sin embargo, el principal rasgo que diferencia de las cuotas de Balabit, es que Wallix adicionalmente ofrece un cliente web según el tipo de suscripción usado.

La activación de licencias de Observeit se compone de dos partes: precio fijo por el panel de control y precio basado en la cantidad de los agentes finales para la supervisión. De tal modo, comparando Balabit y Observeit, el modelo de licencias del último es más flexible, sin embargo, existe una dificultad de acceso; de modo que, el uso del sistema por las empresas pequeñas y medianas no resulta rentable.

El sistema Ekran, proporciona varios tipos de licencias. Utilizando el modelo básico, el precio depende completamente de la cantidad de despliegue de agentes, lo que hace esta solución rentable para pequeñas y medianas empresas. Otros modelos de despliegue añaden no sólo el pago por el panel de gestión similar a Observeit, sino también ofrecen otras ventajas adicionales que pueden ser útiles para las empresas grandes, tales como contraseñas de un solo uso, integración SIEM y sistema de reporte de incidentes avanzado, así como alta accesibilidad. También, el sistema Ekran, tiene un modelo adicional de licencias para el despliegue de un servidor jump.

Estudio de funcionalidad y circunstancias de uso

	Ekran System^®	Observeit	Balabit Shell Control Box	Wallix AdminBastion Suite
Supervisión	Grabación de las sesiones del usuario Grabación de vídeo en un formato especial Grabación completa de los metadatos Búsqueda por metadatos	Grabación de las sesiones del usuario Grabación de vídeo en un formato especial Grabación completa de los metadatos Búsqueda por metadatos	Grabación de las sesiones del usuario Grabación de vídeo en un formato especial Grabación limitada de los metadatos Búsqueda por metadatos	Grabación de sesiones Grabación de vídeos en formato Flash (para las sesiones gráficas) o en formato de texto (para las sesiones SSH) Reconocimiento óptico de los símbolos para búsqueda textual
Notificaciones	Notificaciones en tiempo real Notificaciones configurables Notificaciones preparadas Visualización de la sesión en tiempo real Alerta forzada de los usuarios Bloqueo automático y manual de los usuarios Bloqueo automático de las aplicaciones Bloqueo automático de los dispositivos USB	Notificaciones en tiempo real Notificaciones configurables Análisis de comportamiento basado en las reglas Visualización de la sesión en tiempo real Mensaje forzado al usuario Bloqueo manual de las sesiones	Notificaciones en tiempo real o finalización de una sesión Notificaciones configurables Visualización de la sesión en tiempo real Opción de adjuntar el análisis de comportamiento de los usuarios mediante Blindspotter	Notificaciones en tiempo real o finalizacion de una sesión Notificaciones configurables Visualización de la sesión en tiempo real Bloqueo automático de sesiones
Gestión de acceso	Autentificación adicional para la identificación de los usuarios de las cuentas comunes Autentificación de dos factores Contraseñas de un solo uso	Autentificación adicional para identificar a los usuarios de las cuentas comunes	Almacenamiento y gestión de las contraseñas Parámetros adicionales de autentificación Gestión de permisos de acceso Autentificación de dos factores	Almacenamiento y gestión de contraseñas Parámetros adicionales de autentificación Gestión de acceso de permisos Autentificación de dos factores
Integración	Integración con Active Directory Integración SIEM Integración con sistemas de reporte de incidentes	Integración con Active Directory Integración SIEM Integración con los sistemas de reporte de incidentes	Integración con Active Directory Integración con SIEM Integración con los productos externos Integración con los sistemas de reporte de incidentes	Integración con Active Directory Integración con SIEM
Otros	Reportes configurables Exportación segura de datos Protección de las grabaciones contra la manipulación	Reportes configurables Exportación segura de datos Protección de grabaciones contra la manipulación	Reportes configurables Exportación segura de datos Protección de las grabaciones contra manipulación	Reportes configurables Exportación segura de datos Protección de las grabaciones contra manipulación

Monitorización de las actividades de los usuarios

La diferencia en la arquitectura y el enfoque de los cuatro productos examinados anteriormente, determina sus criterios para la monitorización de las actividades de los usuarios.

Ekran System y Observeit proporcionan el monitoreo mucho más amplio, utilizando el formato de vídeo indizado para grabar todo lo que el usuario ve en la pantalla durante una sesión particular, así como un número de los metadatos adicionales para la indización, incluyendo los títulos de las aplicaciones abiertas y las páginas web visitadas, los nombres de las ventanas activas, información entrada por de teclado etc. Ekran System, también, puede realizar un monitoreo opcional de los dispositivos USB, permitiendo detectar los dispositivos de alta capacidad de almacenamiento u otros dispositivos potencialmente peligrosos.

Tanto Ekran System, como Observeit, tienen filtros adicionales, que permiten iniciar y parar una grabación en un tiempo determinado o basándose en los eventos determinados y filtrar la información que está grabando.

Las soluciones de puerta de enlace de red son fáciles de desplegar y mantener, aunque al recopilar los metadatos pueden tener algunas limitaciones. Wallix no recopila los metadatos en absoluto. Realiza la grabación de videos en formato Flash y usa el reconocimiento óptico de caracteres para proporcionar los datos de texto adicionales, que se utilizan como base de búsqueda de texto..

Al mismo tiempo, Balabit brinda otro producto llamado Blindspotter, que puede complementar los datos de supervisión (recopilados por una unidad de control Balabit Shell u otras herramientas) con el análisis intelectual de comportamiento de los usuarios privilegiados. Este producto se adquiere adicionalmente.

El enfoque Balabit es menos eficaz que la grabación de los metadatos, ya que proporciona una función de búsqueda menos amplia y proporciona una grabación de datos escasa.

Gestión de acceso

Comparando Ekran System, Observeit, Balabit y Wallix desde el punto de vista de la supervisión a los usuarios privilegiados, vemos que las cuatro soluciones proporcionan las herramientas para gestionar las actividades de los usuarios privilegiados. Cada solución ofrece un nivel de autentificación adicional, tales como “root” y “admin”.

Ekran System tiene más funciones para gestionar el acceso que Observeit, incluyendo: autentificación de dos factores gratuita, contraseñas de un solo uso que permiten a los administradores de sistema controlar manualmente el proceso de autentificación. Como alternativa a Wallix y Balabit, Ekran System dispone de menos recursos para gestionar el acceso, sin embargo, proporciona oportunidades de supervisión más avanzadas.

En cualquier reseña de Wallix y Balabit se indica que las dos soluciones tienen la funcionalidad avanzada para la gestión del acceso privilegiado con una opción de la configuración de los derechos de acceso, autentificación a través de la puerta de enlace de red, almacenamiento incorporado de contraseñas e integración con varias soluciones externas para gestionar contraseñas y la autentificación de múltiples factores.

Balabit tiene una pequeña ventaja: le proporciona la opción de desplegarse en un modo transparente, lo que hace que el servidor proxy de Balabit se encuentre invisible para los usuarios que se conectan a través de éste.

Funcionalidad de respuestas a incidentes

Las cuatro herramientas, proporcionan notificaciones configurables de las actividades potencialmente peligrosas, así como, la oportunidad de enviar alertas a los empleados encargados del servicio de seguridad. Además, les proporcionan las siguientes herramientas de responder a incidentes:

Ekran System permite ver las sesiones en online, así como de forma manual finalizar una sesión y bloquear los próximos intentos de autentificación. También dispone de su sistema de alertas integrado con una variedad de respuestas automáticas, tales como bloqueo de los usuarios y aplicaciones.
Observeit tiene un elaborado sistema de arteras basado en las normas establecidas, así como, ofrece una oportunidad de solicitar a los usuarios que confirmen sus acciones mostrándoles el mensaje de bloqueo con un texto ajustable. La sesión continuará después de que el usuario lea el mensaje y deje su respuesta.
Balabit Shell Control Box permite automáticamente finalizar la sesión del usuario.
Wallix permite también finalizar automáticamente la sesión de forma analógica que Balabit.