Ekran System ® 与Balabit、Wallix和Observeit的比较

Observeit vs Balabit vs Wallix vs Ekran System

 

内部安全漏洞和用户威胁是业内的热门话题,不仅大型企业是潜在的受害者:中小企业、教育机构和政府组织同样脆弱。

 

监控用户活动的解决方案并不新鲜。

 

这些工具已集成到许多组织的安全策略中,作为遵守安全标准和防范威胁的策略的一部分。 我们将在本综述中比较的工具使用现代方法:使用高级搜索,分析和通知对用户会话进行索引视频录制。

 

在此比较中,我们研究四种用于监控用户活动的解决方案 – 我们自己的开发,Ekran System,以及Balabit,Observeit和Wallix。

 

此比较的主要目的是帮助您更好地理解这些解决方案之间的差异,以确定最适合您组织需求的解决方案。

 

产品概述

 

Ekran System 适用于中小型企业,以及寻求包括基本分析和访问控制功能的稳定监控解决方案的大型企业。

 

Observeit是寻求更广泛集成和高级警报功能的大中型企业的选择。拥有大量关键端点和高访问控制要求的大型企业正在寻找具有监控用户操作,传输数据以及自动锁的功能的解决方案,可以选择Balabit或Wallix。

 

 

市场和焦点概述

 

 

Ekran System®

Observeit

Balabit Shell Control Box

Wallix AdminBastion Suite

描述

用于监视服务器和桌面的用户活动的软件

用于检测大型企业内部威胁的软件

监控设备控制对远程IT系统的特权访问

专注于管理特权访问和监视特权用户的设备

目标受众

各种规模的企业

各行各业的大企业

各行各业的大企业

各种规模的企业

类型

代理软件

代理软件

硬件方案

硬件方案

安装

  • 基于代理的部署(可以远程安装Windows代理)
  • Jump服务器部署
  • 在虚拟环境中工作的优化
  • 基于代理的部署
  • Jump服务器部署
  • 基于Bastion 的主机部署(可以在虚拟设备上配置特权会话的管理)
  • 透明模式
  • 基于Bastion 的主机部署
  • Web客户端
  • 物理或虚拟设备

支持

  • 控制面板的手动更新
  • 自动客户端更新
  • 控制面板的手动更新
  • 手动固件更新
  • 手动固件更新

平均成本

*

***

****

****

许可

  • 基于要监视的端点的数量
  • 多个许可级别
  • 除了基于要监视的端点数目的价格之外,控制面板的基本价格
  • 基于购买的设备数量(非灵活成本)
  • 基于购买的设备数量(非灵活成本)
  • 多个许可级别

 

格式

 

所有四种解决方案都包括作为主要功能的一部分的用户会话的视频记录,并提供按会话搜索的工具和用于在DVR原理上播放视频的Web界面。所有四个工具还提供了数据记录,保护数据记录不受未经授权的访问,通过参数化搜索会话内的单个情节,以及突出显示触发警报的事。

 

焦点

 

监控用户操作是所有四种产品的主要特征。与此同时,Ekran System和Observeit更加注重提供用户行为的详细记录,以检测内部威胁并监控员工活动。 Ekran系统还配备了特权访问控制功能,但功能比Balabit Shell Control Box和Wallix AdminBastion Suite少。

 

Balabit Shell Control Box以及Wallix AdminBastion Suite是Balabit最大的竞争对手之一,它们更专注于特权访问控制和访问控制。这些解决方案较少关注监控,将其视为可选的访问控制功能。因此,它们调查内部威胁的功能较弱,但它们提供额外的保护以免受外部威胁。

 

架构

 

该解决方案使用不同的架构模型:Observeit和EkranSystem是代理软件产品,而Balabit和Wallix是作为提供硬件或虚拟设备的网关解决方案。网关解决方案更易于部署和支持,但在收集元数据时存在一些限制。

 

同样,代理决策确保了更大的普遍性。在正常安装时,他们可以收集更详细的元数据,这在监控LinuxSSH和Telnet会话时尤为重要。它们也可以根据网关方案安装,其中监视代理程序安装在单个jump服务器上,并控制通过此服务器建立的所有连接,如Balabit或Wallix所做的那样。

 

与将代理部署到每个目标端点相比,部署jump服务器会略微限制监视功能,但与Wallix或Balabit许可相比,它更通用且价格更合理。

 

基于代理解决方案的另一个优点,当网络连接断开连接时,代理可以在本地记录数据,然后再将其发送到服务器。

 

此外,Ekran System具有多租户模式,允许多个独立租户在Ekran System上工作。同时,每个租户的数据(包括监视数据、凭证、客户名、系统设置等)彼此独立,并且其他租户无法访问。

目标受众和价格

 

Balabit和Observeit目标是大型企业,而EkranSystem和Wallix的目标是大型企业以及中小型企业。同时,适用于中小型公司的Wallix软件包功能有限,EkranSystem在每个软件包中提供监控,检测和分析事件,事件响应和多因素身份验证的基本功能。此细分主要反映在定价和许可模型中。 

 

BalabitShellControlBox的价格对于每台设备都是固定的,因此Balabit许可证的成本取决于部署的设备数量。该模型专注于大型基础设施,并且在具有少量端点的基础设施中使用系统通常是不经济的。

 

Wallix许可类似于Balabit许可,因为Wallix对每台设备收取固定价格。 但是,与Balabit关税的主要区别在于,Wallix还提供了一个Web客户端,具体取决于所使用的订阅模型。

 

也可以将Balabit或Wallix安装为虚拟设备(成本不会改变)。

 

Observeit许可包括两部分:控制面板的固定价格和基于要监控的端点数量的价格。因此,与Balabit相比,Observeit的许可模式更加灵活,尽管仍有很大的进入障碍;因此,中小型公司使用该系统是不经济的。

 

Ekran系统提供多种类型的许可。对于最基本的模型,价格完全取决于所部署的代理数量,这使得该解决方案对于中小型公司而言具有成本效益。其他部署模型增加了固定的控制面板费用,类似于Observeit,但也提供了对大公司有用的额外好处,例如一次性密码,SIEM和ticket系统的增强集成以及高可用性。Ekran还具有用于部署jump服务器的独立许可模型。

 

功能和用例概述

 

 

Ekran System®

Observeit

Balabit Shell Control Box

Wallix AdminBastion Suite

监控

  • 记录用户会话
  • 以特殊格式录制视频
  • 完整的元数据记录
  • 元数据搜索
  • 记录用户会话
  • 以特殊格式录制视频
  • 完整的元数据记录
  • 元数据搜索
  • 记录用户会话
  • 以特殊格式录制视频
  • 完整的元数据记录
  • 元数据搜索
  • 记录会话
  • 以Flash格式(用于图形会话)或以文本格式(用于SSH会话)录制的视频
  • 用于文本搜索的光学字符识别

警告

  • 实时警报
  • 可自定义的警报
  • 准备好的警报
  • 实时查看会话
  • 强制用户通知
  • 自动和手动拉黑用户
  • 自动锁定应用程序
  • 自动锁定USB设备
  • 实时警报
  • 可自定义的警报
  • 基于规则的行为分析
  • 实时查看会话
  • 强制用户通知
  • 手动会话锁定
  • 连接USB设备或移动设备时的通知
  • 实时警报或会话结束
  • 可自定义的警报
  • 实时查看会话
  • 能够使用Blindspotter添加用户行为的预测分析
  • 基于规则系统的用户行为分析
  • 实时警报或会话结束
  • 可自定义的警报
  • 实时查看会话
  • 自动会话锁定

访问控制

  • 用于标识共同帐户用户的额外身份验证
  • 双因素认证
  • 一次性密码
  • 密码存储与密码管理
  • 用于标识共同帐户用户的额外身份验证
  • 双因素认证
  • 密码存储与密码管理
  • 高级验证选项
  • 访问权限管理
  • 双因素身份验证
  • 密码存储与密码管理
  • 高级验证选项
  • 访问权限管理
  • 双因素身份验证

体化

  • Active Directory集成
  • SIEM集成
  • 与ticket 系统集成
  • Active Directory集成
  • SIEM集成
  • 与ticket 系统集成
  • Active Directory集成
  • SIEM集成
  • 与第三方解决方案的集成
  • 与ticket 系统集成
  • Active Directory集成
  • SIEM集成
  • 与第三方解决方案的集成

其他

  • 自定义报告
  • 安全的数据导出
  • 保护记录免受操纵
  • 多租户支持
  • 自定义报告
  • 安全的数据导出
  • 保护记录免受操纵
  • 自定义报告
  • 安全的数据导出
  • 保护记录免受操纵
  • 保护记录免受操纵
  • 安全的数据导出
  • 保护记录免受操纵

 

用户操作监控

 

所考虑的四种解决方案的体系结构和焦点的差异决定了它们监视用户操作的不同方法。

 

EkranSystem和Observeit提供更广泛的监控,使用索引视频格式记录用户在特定会话期间在屏幕上看到的所有内容,以及用于索引的大量其他元数据,包括打开的应用程序和访问过的网页的名称、活动窗口的名称、击键等。 Ekran System还可以选择性地监控USB设备,从而可以检测大容量存储设备和其他有潜在危险的设备。

 

EkranSystem和Observeit都有各种过滤器,允许您在特定时间或基于某些事件开始和停止记录,并过滤记录的信息。

 

网关解决方案更易于部署和维护,但在收集元数据时存在一些限制。Wallix根本不收集元数据。它以Flash格式保存视频,并使用光学字符识别来提供额外的文本数据,这些数据用作文本搜索的基础。

 

同时,Balabit还推出了另一款Blindspotter产品,该产品可以补充监测数据(由BalabitShell控制单元和其他工具收集),并对特权用户的行为进行智能分析。这个产品是单独购买的。

 

Balabit的方法不如元数据的实际记录有效,因为它提供了不那么广泛的搜索功能,并提供不太完整的数据记录。

 

访问控制

 

在监控特权用户方面比较EkranSystem,Observeit,Balabit和Wallix,我们发现所有四种解决方案都提供管理特权用户操作的工具。每个解决方案都为共同帐户的用户提供了额外的身份验证级别,例如“root”和“admin”。

 

EkranSystem具有比Observeit更多的访问控制功能,包括:免费双因素身份验证,以及允许系统管理员手动控制身份验证的一次性密码。作为Wallix和Balabit的替代品,Ekran System配备了一组执行基本访问控制任务的PAM功能。

 

在Wallix和Balabit的任何评论中,可以看到两种解决方案都具有广泛的特权访问管理,包括设置访问权限,网关认证,内置密码存储以及与各种第三方密码管理解决方案和多因素身份验证的集成。

 

Balabit有一个小优势,它允许您以透明模式执行部署,这使得Balabit代理服务器对通过它连接的用户不可见。

 

事件响应功能

 

所有这四个工具都为潜在危险的活动提供自定义警报,以及向安全人员发送通知的功能。此外,它们还提供以下事件响应工具:

 

  • Ekran系统允许您实时查看会话以及手动结束会话并阻止后续授权尝试。它还具有内置警报系统,具有许多自动响应,例如阻止用户和应用程序。
  • Observeit具有基于预定义规则的精心设计的警报系统,以及通过向用户显示带有自定义文本的阻止消息来请求用户确认其操作的功能。在用户阅读消息并留下回复之后,会话将继续。
  • Balabit Shell Control Box允许您自动结束用户会话。
  • Wallix还允许您自动结束会话,类似于Balabit。

 

 

 

排行榜: 
Average: 1 (1 vote)