Porównanie EKRAN SYSTEM VS Balabit vs Wallix vs OBSERVEIT

Observeit vs Balabit vs Wallix vs Ekran System

Naruszenie bezpieczeństwa wewnętrznego i systemów IT oraz zagrożenia ze strony użytkowników są gorącymi tematami w branży cyberbezpieczeństwa. Dotyczą one nie tylko dużych przedsiębiorstw, ale także małych i średnich firm, instytucji edukacji i organizacji rządowych.

 

Rozwiązania do monitorowania aktywności użytkowników nie są niczym nowym. Narzędzia te zintegrowane są z politykami bezpieczeństwa wielu organizacji w ramach strategii zgodności i zapobiegania zagrożeniom. Narzędzia, które będziemy porównywać w tym przeglądzie, stosują nowoczesne podejścia: indeksowane zapisy wideo sesji użytkowników z rozszerzonymi funkcjami wyszukiwania, analizy i powiadamiania.

 

W tym porównaniu przyjrzymy się czterem rozwiązaniom do monitorowania aktywności użytkowników – naszemu produktowi Ekran System vs Balabit vs Observeit vs Wallix.

 

Naszym głównym celem tego porównania jest pomoc w lepszym zrozumieniu różnic pomiędzy rozwiązaniami w celu ustalenia, które najlepiej odpowiada potrzebom Twojej organizacji.

 

Przegląd Produktu: Podsumowanie

 

Program do monitoringu komputera, serwerów i aktywności użytkowników Ekran System polecany jest zarówno sektorowi MŚP i dużym przedsiębiorstwom, poszukującym stabilnego rozwiązania do monitorowania i nagrywania sesji, posiadającego funkcje analityczne i możliwość zarządzania tożsamością oraz dostępem.

 

Observeit jest opcją dla średnich i dużych przedsiębiorstw, szukających szerszej integracji i bardziej wyrafinowanych funkcji alertowania.

 

Duże przedsiębiorstwa, które mają wiele krytycznych punktów końcowych (w postaci komputerów czy serwerów) i duże wymagania dotyczące zarządzania dostępem i tożsamością – oraz które poszukują rozwiązania z funkcjonalnością automatycznego blokowania, a także szczegółową kontrolą aktywności i przesyłanych danych – mogą wybrać rozwiązanie Balabit lub Wallix.

 

 

Przegląd Rynku i Główne Cechy

 

 

Ekran System

Observeit

Balabit Shell Control Box

Wallix AdminBastion Suite

Opis

Oprogramowanie do monitorowania aktywności użytkowników na serwerach i stacjach roboczych

Oprogramowanie do wykrywania zagrożeń wewnętrznych w korporacjach

Urządzenie monitorujące, które kontroluje uprzywilejowany dostęp do zdalnych systemów IT

Urządzenie skupiające się na zarządzaniu dostępem uprzywilejowanym i monitorowaniem użytkowników uprzywilejowanych

Docelowi klienci

Firmy każdej wielkości

Duże przedsiębiorstwa w wielu branżach

Duże przedsiębiorstwa z wysokimi wymaganiami dotyczącymi zarządzania dostępem uprzywilejowanym

Duże przedsiębiorstwa, które muszą kontrolować dostęp  i monitorować użytkowników uprzywilejowanych

Technologia

Agent-based software

Agent-based software

Appliance

Appliance

Wdrożenie

  • Wdrożenie oparte o agenta
  • Wdrożenie oparte o Jump Server
  • Zoptymalizowane dla środowisk wirtualnych
  • Wdrożenie oparte o agenta
  • Wdrożenie oparte o Jump Server
  • Wdrożenie Bastion host
  • Transparentność
  • Wdrożenie Bastion host
  • Klient webowy

Utrzymanie

  • Ręczna aktualizacja klientów
  • Automatyczna aktualizacja klientów
  • Ręczna aktualizacja klientów
  • Ręczna aktualizacja firmware
  • Ręczna aktualizacja firmware

Średni koszt wdrożenia

*

***

****

****

Licencjonowanie

  • Na podstawie liczby monitorowanych punktów końcowych
  • Kilka poziomów licencji
  • Opłata podstawowa za komponent kontrolny i dodatkowa opłata na podstawie liczby monitorowanych punktów końcowych
  • Na podstawie liczby zakupionych urządzeń (nieelastyczne)
  • Na podstawie liczby zakupionych urządzeń (nieelastyczne)
  • Kilka poziomów licencji

 

Format

 

Wszystkie cztery rozwiązania wykorzystują nagrania wideo sesji użytkownika jako część głównej funkcjonalności i dostarczają narzędzia przeszukiwania sesji i interfejs webowy dla odtwarzacza. Wszystkie cztery narzędzia zapewniają również odporne na manipulacje ścieżki audytu z parametryzowanym wyszukiwaniem fragmentów sesji, a także znaczniki i alerty zdarzeń.

 

Główne Cechy

 

Monitorowanie aktywności użytkowników jest podstawową cechą wszystkich czterech produktów. Jednak zarówno Ekran System, jak i Observeit koncentrują się na dostarczaniu szczegółowych zapisów aktywności użytkowników w celu wykrywania zagrożeń wewnętrznych i monitorowania aktywności pracowników.

 

Balabit Shell Control Box i Wallix AdminBastion Suite, jeden z największych konkurentów Balabit, koncentrują się bardziej na funkcjach zarządzania dostępem uprzywilejowanym i kontrolą dostępu. Rozwiązania te w mniejszym stopniu koncentrują się na monitoringu, postrzegając je jako funkcję uzupełniającą dla funkcji zarządzania dostępem i tożsamością. W rezultacie mają mniej możliwości badania zagrożeń wewnętrznych, ale zapewniają pewne dodatkowe zabezpieczenia przed atakami z zewnątrz.

 

Architektura

 

Rozwiązania te używają różnych modeli architektury: Observeit i Ekran System są oprogramowaniem do monitorowania aktywności użytkowników opartym o agenta, natomiast Balabit i Wallix są oparte o gateway-proxy, będąc dostarczonym jako hardware lub urządzenie wirtualne. Rozwiązanie oparte o proxy są łatwiejsze we wdrożeniu i utrzymaniu, ale mają trochę ograniczeń jeśli chodzi o zbieranie metadanych.

 

Z drugiej jednak strony rozwiązania agentowe zapewniają większą wszechstronność. W ramach zwykłego wdrożenia, mogą zbierać więcej szczegółowych metadanych, które są szczególnie ważne podczas monitorowania sesji Telnet SSH Linux. Mogą również zostać wdrożone w architekturze gateway-proxy gdzie agent monitorowania zainstalowany jest na pojedynczym serwerze przesiadkowym i monitoruje wszystkie połączenia przechodzące przez ten serwer, naśladując rozwiązanie Balabit lub Wallix.

 

Wdrożenie z wykorzystaniem serwera przesiadkowego nieznacznie ogranicza możliwości prowadzonego monitoringu w porównaniu do wdrożenia z wykorzystaniem agentów na każdym endpoincie (serwerze lub komputerze), ale jest bardziej wszechstronne i korzystniejsze cenowo od produktu Wallix lub Balabit.

 

Kolejną przewagą rozwiązań agentowych jest to, że jeśli zostanie utracone połączenie sieciowe, agent kontynuuje swoją pracę zapisując lokalnie przechwycone nagrania i wysyłając je do serwera, jak tylko zostanie odzyskane połączenie.

 

Docelowa grupa klientów i cena

 

Wallix, Balabit i Observeit celują w największe przedsiębiorstwa, podczas gdy Ekran System skierowany jest zarówno dla dużych przedsiębiorstw i sektora MŚP. Ta segmentacja znajduje odzwierciedlenie przede wszystkim w cenie i modelach licencjonowania.

 

Cena Balabit Shell Control Box jest stała dla każdego urządzenia, dlatego też koszt licencjonowania Balabit zależny jest od liczby wdrożonych urządzeń. Model ten zorientowany jest na dużą infrastrukturę - wdrożenia dla umiarkowanej liczby punktów końcowych nie są opłacalne.

 

Licencjonowanie Wallix’a podobne jest do Balabit’a - cena jest stała dla każdego urządzenia. Jednakże, główną różnicą w stosunku do Balabit’a jest to, że zgodnie z modelem subskrypcji, Wallix dodatkowo zapewnia klienta webowego.

 

Licencjonowanie Observeit składa się z dwóch części: stałej ceny dla komponentu zarządzania systemem i ceny zależnej od liczby monitorowanych serwerów czy komputerów. W porównaniu Balabit vs Observeit, model licencjonowania Observeit jest bardziej elastyczny, jednakże wciąż istnieje znacząca bariera wejścia - w związku z tym wdrożenia małej i średniej wielkości nie będą opłacalne.

 

Ekran System oferuje kilka rodzajów licencji. W przypadku najbardziej podstawowego modelu, ceny w pełni zależą od liczby wdrożonych agentów, dzięki czemu rozwiązanie jest opłacalne dla małych i średnich firm. Inne modele wdrożenia dodają stałą opłatę dla panelu zarządzania, podobnie jak Observeit, ale także zapewniają dodatkowe korzyści, które są przydatne dla większych firm, takie jak:

 

  • jednorazowe hasła,
  • zaawansowaną integrację z systemami SIEM,
  • integrację z systemami Help Desk,
  • wysoką dostępność.

 

Ekran System posiada również oddzielny model licencjonowania dla wdrożeń z wykorzystaniem serwerów przesiadkowych Jump Box.

 

Przegląd Funkcji i Przypadków Użycia

 

 

Ekran System

Observeit

Balabit Shell Control Box

Wallix AdminBastion Suite

Monitoring

  • Nagrywanie sesji użytkownika
  • Nagrywanie video w niestandardowym formacie
  • Pełne rejestrowanie metadanych
  • Przeszukiwanie po metadanych
  • Nagrywanie sesji użytkownika
  • Nagrywanie video w niestandardowym formacie
  • Pełne rejestrowanie metadanych
  • Przeszukiwanie po metadanych
  • Nagrywanie sesji użytkownika
  • Nagrywanie video w niestandardowym formacie
  • Ograniczone rejestrowanie metadanych
  • Przeszukiwanie po metadanych
  • Nagrywanie sesji użytkownika
  • Video zapisane w formacie Flash (dla sesji graficznych) lub formacie tekstowym (dla sesji SSH)
  • Optyczne rozpoznawanie znaków (OCR) dla przeszukiwania po tekście

Alertowanie

  • Alerty w czasie rzeczywistym
  • Niestandardowe alerty
  • Predefiniowane alerty
  • Podgląd sesji na żywo
  • Wymuszona wiadomość użytkownika
  • Automatyczne lub ręczne blokowanie użytkownika
  • Automatyczne wyłączenie aplikacji
  • Automatyczne blokowanie urządzeń USB
  • Alerty w czasie rzeczywistym
  • Niestandardowe alerty
  • Oparta o reguły analiza behawioralna
  • Podgląd sesji na żywo
  • Wymuszona wiadomość użytkownika
  • Ręczne blokowanie sesji
  • Alerty w czasie rzeczywistym lub przerwanie sesji
  • Niestandardowe alerty
  • Podgląd sesji na żywo
  • Możliwość dodania analizy behawioralnej użytkownika z wykorzystaniem narzędzia Blindspotter
  • Alerty w czasie rzeczywistym
  • Niestandardowe alerty
  • Podgląd sesji na żywo
  • Automatyczne blokowanie sesji

Zarządzanie dostępem

  • Dodatkowe uwierzytelnienie dla identyfikowania współdzielonych kont
  • Dwuskładnikowe uwierzytelnienie (2FA)
  • Jednorazowe hasła
  • Dodatkowe uwierzytelnienie dla indentyfikowania współdzielonych kont
  • Skarbiec haseł i zarządzanie hasłami
  • Dodatkowe opcje uwierzytelnienia
  • Zarządzanie uprawnieniami dostępu
  • Dwuskładnikowe uwierzytelnienie (2FA)
  • Skarbiec haseł i zarządzanie hasłami
  • Dodatkowe opcje uwierzytelnienia
  • Zarządzanie uprawnieniami dostępu
  • Dwuskładnikowe uwierzytelnienie (2FA)

Integracje

  • Integracja z Active Directory
  • Integracja z systemami SIEM
  • Integracja z systemami Help-Desk
  • Integracja z Active Directory
  • Integracja z systemami SIEM
  • Integracja z systemami Help-Desk
  • Integracja z Active Directory
  • Integracja z systemami SIEM
  • Integracja z innymi rozwiązaniami firm trzecich
  • Integracja z systemami Help-Desk
  • Integracja z Active Directory
  • Integracja z systemami SIEM

Inne

  • Indywidualne raportowanie
  • Forensic export
  • Zapisy chronione przed manipulowaniem
  • Indywidualne raportowanie
  • Forensic export
  • Zapisy chronione przed manipulowaniem
  • Indywidualne raportowanie
  • Forensic export
  • Zapisy chronione przed manipulowaniem
  • Indywidualne raportowanie
  • Forensic export
  • Zapisy chronione przed manipulowaniem

 

Monitorowanie Działań Użytkownika

 

Różnice w architekturze i głównych funkcjach tych czterech rozwiązań determinują różnice w podejściu do monitorowania aktywności użytkowników.

 

Ekran System i Observeit zapewniają znacznie bardziej niezawodną funkcjonalność monitorowania serwerów czy komputerów, używając zindeksowanych formatów wideo do rejestrowania wszystkiego, co użytkownik widzi na ekranie podczas konkretnej sesji. Dodatkowo przechwytywane są wszystkie metadane, takie jak nazwy otwartych aplikacji i odwiedzanych stron internetowych, nazwy aktywnych okien, naciśnięcia klawiszy itd., które wykorzystywane są do indeksowania. Ekran System może również opcjonalnie monitorować urządzenia USB, umożliwiając wykrywanie pamięci masowych i innych potencjalnie niebezpiecznych urządzeń.

 

Zarówno Ekran System i Observeit zawierają różne filtry, które pozwalają rozpoczynać i przerywać nagrywanie w określonym czasie lub określonym zdarzeniu, filtrując informacje, które są rejestrowane.

 

Rozwiązania oparte o gateway-proxy są łatwiejsze we wdrożeniu i utrzymaniu, ale posiadają pewne ograniczenia w zbieraniu metadanych. Wallix w ogóle nie gromadzi metadanych. Nagrywa video w formacje Flash i używa optycznego rozpoznawania znaków (OCR), aby dostarczyć dodatkowych danych tekstowych, które wykorzystywana są jako podstawa do przeszukiwania sesji.

 

W tym samym czasie, Balabit dostarcza inny produkt, Blindspotter, który może uzupełnić dane monitoringu (zebrane przez Balabit Shell Control Box i inne narzędzia) o inteligentną analizę behawioralną użytkowników uprzywilejowanych. Produkt ten posiada oddzielny model licencjonowania.

 

Podejście Balabit’a jest mniej efektywne niż przechwytywanie metadanych, ponieważ zapewnia ono mniej rozbudowane funkcje wyszukiwania i mniej szczegółowe ścieżki audytu.

 

Zarządzanie dostępem i tożsamością

 

Rozważając Ekran System vs Observeit vs Balabit vs Wallix z perspektywy monitorowania użytkowników uprzywilejowanych, wszyscy czterej dostawcy zapewniają narzędzia do szczegółowej kontroli aktywności. Każdy z nich zapewnia drugą warstwę uwierzytelniania dla kont współdzielonych, takich jak “root” lub “admin”.

 

Ekran System zapewnia dodatkowe funkcje zarządzania tożsamością i dostępem w porównaniu do Observeit: darmowe uwierzytelnianie dwuskładnikowe, a także jednorazowa hasła, które pozwalają administratorom systemu ręcznie zatwierdzać loginy, dostarczając zestaw jednorazowych danych uwierzytelniających. Jako alternatywa Wallix i Balabit, Ekran System posiada mniej funkcji zarządzania dostępem, ale zapewnia lepsze możliwości monitorowania aktywności użytkowników komputerów i serwerów.

 

Jakikolwiek przegląd rozwiązań Wallix i Balabit powie, że oba produkty mają solidne funkcje kontroli i zarządzania dostępem uprzywilejowanym, uwierzytelnienie proxy, wbudowane przechwytywanie haseł oraz integrację z różnymi systemami do zarządzania hasłami i rozwiązaniami uwierzytelniania wieloskładnikowego.

 

Balabit ma niewielką przewagę nad Wallix'em, ponieważ umożliwia wdrożenie w trybie transparentnym, dzięki czemu urządzenie staje się niewidoczne dla użytkowników, którzy się przez niego łączą.

 

Odpowiadanie na incydenty

 

Wszystkie cztery produkty dostarczają konfigurowalne alerty na potencjalnie szkodliwe działania z punktu widzenia bezpieczeństwa systemu IT. Oprócz powiadamiania zespołu bezpieczeństwa IT zapewniają również następujące narzędzia reagowania na incydenty:

 

  • Ekran System pozwala na przegląd sesji w czasie rzeczywistym i ręczne blokowanie użytkownika z jednoczesnym zakończeniem sesji i blokadą późniejszego logowania.
  • Observeit posiada kompleksowy system alertów oparty na regułach, który może zmusić użytkowników do potwierdzania swoich działań, wyświetlając komunikat blokujący z niestandardowym komunikatem bezpieczeństwa. Sesja jest kontynuowana po tym, jak użytkownik odczyta wiadomość i przekaże informację zwrotną.
  • Balabit Shell Control Box pozwala na automatyczne przerywanie sesji.
  • Wallix również pozwala automatycznie przerywać sesje, podobnie jak Balabit.

 

 

 

Rating: 
Average: 1 (1 vote)