1. Observeit et Balabit et Wallix et Ekran System

Comparaison d’Ekran System® avec Balabit, Wallix et Observeit

Observeit vs Balabit vs Wallix vs Ekran System

Les failles de sécurité internes et les menaces des utilisateurs sont des sujets d'actualité dans le domaine. Les grandes entreprises ne sont pas les seules victimes potentielles: les petites et moyennes entreprises, les établissements d'enseignement et les organisations gouvernementales sont également vulnérables.

 

Les solutions de surveillance de l'activité des utilisateurs ne sont pas nouvelles. Ces outils sont intégrés aux politiques de sécurité de nombreuses organisations dans le cadre d'une stratégie visant à respecter les normes de sécurité et à prévenir les menaces. Les outils que nous allons comparer dans cette revue utilisent des approches modernes: des enregistrements vidéo indexés de sessions d’utilisateur avec des fonctionnalités avancées de recherche, d’analyse et de notification.

 

Dans cette comparaison, nous allons étudier quatre solutions pour surveiller l'activité des utilisateurs - notre propre produit Ekran System, ainsi que Balabit, Observeit et Wallix.

 

L'objectif principal de cette comparaison est de vous aider à mieux comprendre les différences entre ces solutions afin de déterminer ce qui convient le mieux aux besoins de votre entreprise.

 

Bref aperçu sur les produits

 

Ekran System est recommandé aux petites et moyennes entreprises, ainsi qu’aux grandes entreprises, qui recherchent une solution de surveillance stable incluant les fonctionnalités de base d'analyse et de contrôle d'accès.

 

Observeit est une option pour les moyennes et grandes entreprises qui recherchent davantage d’intégration et des fonctions d’alerte améliorées.

 

Wallix is a solution which fits to control and management privileged accounts, recommended for SMBs and enterprises.

 

Les grandes entreprises avec un grand nombre de points finals critiques et les exigences élevées en matière de contrôle d'accès, qui recherchent une solution avec la fonctionnalité de surveillance des actions des utilisateurs et des données transmises et la possibilité de verrouillage automatique, peuvent choisir Balabit ou Wallix.

 

 

Revue de marché et de focus

 

 

Ekran System®

Observeit

Balabit Shell Control Box

Wallix AdminBastion Suite

Description

Logiciel de surveillance de l'activité des utilisateurs pour les serveurs et les ordinateurs de bureau

Logiciel de détection des menaces internes au sein des grandes entreprises

Dispositif de monitoring qui veille à l'accès privilégié aux systèmes IT distants

Dispositif mettant l'accent sur la gestion de l'accès privilégié et la surveillance des utilisateurs privilégiés

Public ciblé

Entreprises de toute taille

Grandes entreprises dans les différents domaines

Grandes entreprises ayant des exigences d'accès sécurisé élevées

Grandes entreprises qui doivent contrôler l'accès et la surveillance des utilisateurs privilégiés

Тype

Logiciel d’agent

Logiciel d’agent

Solution d’appereillage

Solution d’appereillage

Installation
  • Déploiement via agents
  • Déploiement par le principe d'un Jump-Server
  • Optimisation du travail dans un environnement virtuel
  • Déploiement via agents
  • Déploiement par le principe d'un Jump-Server
  • Déploiement par le principe de host-Bastion
  • Régime transparent
  • Déploiement par le principe de host-Bastion
  • Client-Web
  • Physical or virtual appliance

Assistance
  • Mise à jour manuelle du panneau de commande
  • Mise à jour automatique des clients
  • Mise à jour manuelle du panneau de commande
  • Mises à jour manuelles
  • Mises à jour manuelles

Prix moyent

*

***

****

****

Licences
  • Basé sur le nombre de points finals pour la surveillance
  • Plusieurs niveaux de licence
  • Prix de base du panneau de commande aditionné au prix, fondé en fonction du nombre de points finals à surveiller
  • Basé sur le nombre de dispositifs achetés (prix non-flexible)
  • Basé sur le nombre de dispositifs achetés (prix non-flexible)
  • Plusieurs niveaux de licences

 

Format

 

Les quatre solutions incluent l'enregistrement vidéo des sessions d’utilisateur dans le cadre de la fonctionnalité principale et fournissent des outils de recherche pour les sessions et une interface Web pour la lecture vidéo par le principe du DVR. Les quatre outils fournissent également une protection de l'accès aux données protégées contre les accès non autorisés avec une recherche paramétrée pour les épisodes individuels au sein de la session, ainsi que la mise en évidence des événements qui ont déclenché des alertes.

 

Focus

 

La surveillance des actions des utilisateurs est la principale caractéristique des quatre produits. Mais avec cela, Ekran System et Observeit accordent une attention particulière à l’attribution d’enregistrements détaillés des actions d’utilisateurs pour détecter les menaces internes et surveiller l’activité des employés.

 

Balabit Shell Control Box, ainsi que Wallix AdminBastion Suite, l'un des plus grands concurrents de Balabit, se concentrent davantage sur des fonctions de gestion d'accès privilégié et de contrôle d'accès. Ces solutions accordent moins d’attention au monitoring, en le traitant comme une fonction de contrôle d’accès supplémentaire. Par conséquent, ils ont moins d'options pour enquêter des menaces internes, mais ils offrent une protection supplémentaire contre les menaces externes.

 

Architecture

 

Les solutions en question utilisent de différents modèles architecturaux: Observeit et Ekran System sont des produits logiciels d'agent, tandis que Balabit et Wallix sont des solutions de passerelle fournies sous forme de matériel ou de périphériques virtuels. Les solutions de passerelle sont plus faciles à déployer et à gérer, mais elles ont certaines limites lors de la collecte de métadonnées.

 

En même temps, les solutions d'agent offrent une plus grande polyvalence. Lors d’une installation classique, ils peuvent collecter des métadonnées plus détaillées, ce qui est particulièrement important lors de la surveillance des sessions Linux SSH et Telnet. Ils peuvent également être installés à l’exemple d’un schéma de passerelle où l'agent de surveillance est installé sur un jump-serveur et contrôle toutes les connexions acheminées via ce serveur, comme le font Balabit ou Wallix.

 

Le déploiement du jump-serveur limite légèrement les capacités de surveillance par rapport aux agents de déploiement sur chaque point final ciblé, mais il est plus universel et accessible que les licences Wallix ou Balabit.

 

Un autre avantage des solutions d'agent est que, lors de la déconnexion du réseau, l'agent peut enregistrer les données localement, puis les envoyer au serveur ultérieurement.

 

En outre, Ekran System dispose d’un mode multi-locataire qui permet à de nombreux locataires isolés de travailler dans Ekran System. En même temps, les données de chaque locataire (y compris celles de monitoring, d'identification, les noms de client, les paramètres du système, etc.) sont indépendantes les unes des autres et inaccessibles aux autres locataires.

Public ciblé et prix

 

La licence Wallix est identique à la licence Balabit dans le sens que Wallix prend un prix fixe pour chaque dispositif. Pourtant, la principale différence par rapport aux tarifs de Balabit consiste en ce que Wallix fournit également un client Web en fonction du modèle utilisé de souscription. 

 

Le prix du Balabit Shell Control Box est fixé pour chaque périphérique et par conséquent le prix de la licence Balabit dépend donc du nombre de périphériques déployés. Ce modèle est orienté aux grandes infrastructures. Or, l'utilisation du système dans une infrastructure avec un petit nombre de points finals est souvent peu rentable.

 

Wallix’s licensing is similar to Balabit’s in that Wallix charges a fixed price per appliance. However, the main difference from Balabit pricing is that Wallix additionally provides a web-based client according to a subscription model.

 

Il existe aussi la possibilité d'installer Balabit ou Wallix en tant que dispositif virtuel (le prix ne change pas).

 

La licence d’Observeit se compose de deux parties: un prix fixe pour le panneau de contrôle et un prix basé sur le nombre de points finals pour la surveillance. Ainsi, en comparant Balabit et Observeit, le modèle de licence de ce dernier est plus flexible, bien qu’il existe toujours un obstacle important à l’entrée; ainsi, l'utilisation du système par les petites et moyennes entreprises n'est pas économiquement rentable.

 

Ekran System propose plusieurs types de licences. Dans le modèle le plus élémentaire, le prix dépend entièrement du nombre d'agents déployés, ce qui rend cette solution économiquement rentable pour les petites et moyennes entreprises. D'autres modèles de déploiement ajoutent un montant fixe pour le panneau de contrôle, similaire à Observeit, mais offrent également des avantages supplémentaires pour les grandes entreprises, tels que les mots de passe à usage unique, une intégration améliorée des systèmes SIEM et des ticket-systèmes et une haute disponibilité. Ekran System a également un modèle de licence séparé pour le déploiement du jump- serveur.

 

Revue de fonctionnalité et de scénarios d’utilisation

 

 

Ekran System®

Observeit

Balabit Shell Control Box

Wallix AdminBastion Suite

Monitoring
  • Enregistrement des sessions d’utilisateur
  • Enregistrement de vidéo au format spécial
  • Enregistrement complet des métadonnées
  • Recherche par métadonnées
  • Enregistrement des sessions d’utilisateur
  • Enregistrement de vidéo au format spécial
  • Enregistrement complet des métadonnées
  • Recherche par métadonnées
  • Enregistrement des sessions d’utilisateur
  • Enregistrement de vidéo au format spécial
  • Enregistrement limité des métadonnées
  • Recherche par métadonnées
  • Enregistrement des sessions
  • Vidéo enregistrée au format Flash (pour les sessions graphiques) ou au format texte (pour les sessions SSH)
  • Reconnaissance optique de caractères pour la recherche de texte

Alertes
  • Alertes en temps réel
  • Alertes personnalisables
  • Notifications prêtes
  • Visualisation d’une session en temps réel
  • Notifications d'utilisateur forcées
  • Blocage automatique et manuel des utilisateurs
  • Blocage automatique des applications
  • Blocage automatique des périphériques USB
  • Alertes en temps réel
  • Alertes personnalisables
  • Analyse comportementale à la base des règles
  • Visualisation de la session en temps réel
  • Messages forcés à l'utilisateur
  • Blocage manuel de sessions
  • Alertes lors de la connexion d’un périphérique USB ou d’un dispositif mobile
  • Alertes en temps réel ou la fin d’une session
  • Alertes personnalisables
  • Visualisation d’une session en temps réel
  • Possibilité d'ajouter une analyse de comportement de l'utilisateur à l'aide de Blindspotter
  • Analyse comportementale à la base des règles
  • Alertes en temps réel ou la fin d’une session
  • Alertes personnalisables
  • Visualisation d’une session en temps réel
  • Blocage automatique de sessions

Gestion d’accès

  • Authentification supplémentaire pour identifier les utilisateurs de compte partagé
  • Authentification à deux facteurs
  • Mots de passe à usage unique
  • Stockage des mots de passe et gestion des mots de passe
  • Authentification supplémentaire pour identifier les utilisateurs de compte partagé
  • Authentification à deux facteurs
  • Stockage des mots de passe et gestion des mots de passe
  • Options d'authentification supplémentaires
  • Gestion des autorisations d'accès
  • Authentification à deux facteurs
  • Stockage des mots de passe et gestion des mots de passe
  • Options d'authentification supplémentaires
  • Gestion des autorisations d'accès
  • Authentification à deux facteurs

Intégration
  • Intégration avec Active Directory
  • SIEM intégration
  • TIntégration avec ticket systèmes
  • Intégration avec Active Directory
  • SIEM intégration
  • TIntégration avec ticket systèmes
  • Intégration avec Active Directory
  • SIEM intégration
  • Intégration aves des solutions tierces
  • Intégration avec ticket systèmes
  • Intégration avec Active Directory
  • SIEM intégration
  • Intégration aves des solutions tierces

Autresr
  • Rapports personnalisables
  • Exportation sécurisée de données
  • Protection des enregistrements de la manipulation
  • Support multi-location
  • Rapports personnalisables
  • Exportation sécurisée de données
  • Protection des enregistrements de la manipulation
  • Rapports personnalisables
  • Exportation sécurisée de données
  • Protection des enregistrements de la manipulation
  • Rapports personnalisables
  • Exportation sécurisée de données
  • Protection des enregistrements de la manipulation

 

Monitoring des actions d’utilisateurs

 

La différence dans l'architecture et la focalisation des quatre solutions envisagées détermine leurs différentes approches en matière de surveillance des actions d’utilisateurs.

 

Ekran System et Observeit fournissent une surveillance beaucoup plus large en utilisant le format vidéo indexé pour enregistrer tout ce qu’un utilisateur voit à l’écran pendant une session donnée, ainsi qu’un grand nombre de métadonnées supplémentaires pour l’indexation, y compris les noms des applications ouvertes et les pages Web visitées, les noms de fenêtres actives ouvertes, la pression aux touches etc. Ekran System peut également effectuer une surveillance facultative des périphériques USB, ce qui permet de détecter des périphériques de stockage de grande capacité et d'autres périphériques potentiellement dangereux.

 

Ekran System et Observeit ont tous deux des filtres différents qui vous permettent de démarrer et d'arrêter l'enregistrement à un moment donné ou en fonction de certains événements et de filtrer les informations enregistrées.

 

Les solutions de passerelle sont plus faciles à déployer et à gérer, mais lors de la collecte de métadonnées, elles présentent certaines limites. Wallix ne collecte pas de métadonnées du tout. Il sauvegarde la vidéo au format Flash et utilise la reconnaissance optique des caractères pour fournir des données de texte supplémentaires servant de base à la recherche de texte.

 

En même temps, Balabit représente un autre produit Blindspotter qui peut compléter les données de surveillance (collectées par l’unité de contrôle Balabit Shell et par d’autres outils) avec une analyse intelligente du comportement des utilisateurs privilégiés. Ce produit est acheté séparément.

 

L'approche Balabit est moins efficace que l'enregistrement de métadonnées, car elle fournit une fonction de recherche moins étendue et fournit des enregistrements de données moins complets.

 

Gestion d’accès

 

En comparant Ekran System, Observeit, Balabit et Wallix en termes de surveillance des utilisateurs privilégiés, nous constatons que les quatre solutions offrent des outils pour gérer les actions des utilisateurs privilégiés. Chaque solution offre un niveau supplémentaire d'authentification pour les utilisateurs de comptes communs, tels que “root” et “admin.”

 

Ekran System possède davantage de fonctions de contrôle d'accès qu'Observeit, notamment: une authentification à deux facteurs gratuite et des mots de passe à usage unique qui permettent aux administrateurs de système de contrôler manuellement l'authentification. Comme alternative à Wallix et à Balabit, Ekran System dispose de moins de capacités de contrôle d’accès, mais il offre davantage de capacités de surveillance.

 

Dans toute revue de Wallix et Balabit, on dit que les deux solutions offrent un large éventail de fonctions de contrôle d’accès priviligié avec règlages des droits d’accès, une authentification via une passerelle, un stock de mots de passe inclus et une intégration avec des solutions tierces de gestion de mots de passe et d’authentification à plusieurs facteurs.

 

Balabit a un petit avantage en ce sens qu'il vous permet d'effectuer le déploiement en mode transparent, ce qui rend le serveur proxy Balabit invisible aux utilisateurs qui s'y connectent.

 

Fonctionnalité de réponse aux incidents

 

Les quatre outils fournissent des alertes personnalisables pour les actions potentiellement dangereuses, ainsi que la possibilité d'envoyer des notifications au personnel de sécurité. De plus, ils fournissent les outils suivants pour répondre aux incidents:

 

  • Ekran System vous permet d'afficher des sessions en direct, ainsi que de mettre fin à la session manuellement et de bloquer les tentatives d'autorisation ultérieures. Il dispose également d'un système de notification intégré avec de nombreuses réponses automatiques, telles que le blocage des utilisateurs et des applications.
  • Observeit dispose d'un système d’alertes bien développé basé sur des règles spécifiques, ainsi que de la possibilité de demander aux utilisateurs de confirmer leurs actions en leur montrant un message bloquant avec un texte personnalisable. La session se poursuivra après que l'utilisateur aura lu le message et laissé une réponse. 
  • Balabit Shell Control Box vous permet de mettre automatiquement fin à une session utilisateur.
  • Wallix vous permet également de terminer automatiquement la session de la même manière que Balabit.

 

Autres comparaisons:

Veriato (ex. Spector 360), Observeit et Ekran System
Veriato (ex. Spector 360), Observeit et Ekran System
CyberArk, Observeit et Ekran System
CyberArk, Observeit et Ekran System
Cyberark, Lieberman et Ekran System
Cyberark, Lieberman et Ekran System