ИЛИМ-ПАЛП_2017_2
F5

Сравнение программного обеспечения для мониторинга активности пользователей

| 23.03.2016 00:39:15
Сравнение программного обеспечения для мониторинга активности пользователей

Разработка программного обеспечения для мониторинга активности пользователей (не путать с программами-шпионами) – это динамично развивающийся сегмент рынка, поделенный рядом компаний, которые используют эти инструменты для решения своих собственных задач в области безопасности.


Различные обзоры по вопросам безопасности, независимые исследования, а также новостные ленты свидетельствуют, что главная угроза для корпоративных данных и инфраструктуры идет изнутри. Когда периметр корпоративной сети защищен и проникновение за него внешних злоумышленников контролируется 24 часа 7 дней в неделю, пришло время подумать о тех, кто внутри этого периметра – сотрудниках компании, сторонних поставщиках услуг, наемных специалистах.

Мониторинг активности внутренних пользователей применяется для выявления случаев мошенничества сотрудников, утечки информации, а также злоумышленного изменения конфигурации (бэкдоры, изменение пароля и т.д.). Такой мониторинг является частью комплекса мероприятий, нацеленных на обеспечение высокого уровня корпоративной безопасности.

При выборе продукта для контроля активности пользователей сначала вы должны определить, нужна ли вам активная DLP-система, способная обеспечивать автоматизированную блокировку нежелательных действий пользователя, или же больше подойдет пассивное средство мониторинга, которое предоставляет подробную информацию для принятия решений, но само не вмешивается в процесс. Стоит отметить, что в современной сложной инфраструктуре бывает довольно сложно настроить активный DLP-инструмент так, чтобы свести к минимуму количество ложных срабатываний, прерывающих рабочие процессы.

В этой статье мы проведем сравнение программного обеспечения для контроля пользовательской активности, сосредоточив внимание на пассивных системах для мониторинга и инструментах, основанных на интересном современном подходе – видеозаписи сеанса пользователя, индексируемой различными текстовыми метаданными для удобного поиска. Этот интуитивно понятный формат приобретает все большую популярность на рынке.

Сравнение программного обеспечения для мониторинга мы начнем с деления этих инструментов на три основных класса по типу их архитектуры.

Первый класс – это системы мониторинга на основе прокси. Эти инструменты доступны как в виде аппаратных устройств, подключаемых к корпоративной сети, так и в виде виртуальных устройств, устанавливаемых на виртуальных машинах. Они выступают в качестве прокси-сервера для всего сетевого трафика или выбранного набора пользовательских сессий в зависимости от задач мониторинга. Примером таких систем является BalaBit.

Основным преимуществом подобной системы является простота ее развертывания: это готовый («коробочный») продукт в физическом или виртуальном исполнении. Его ввод в действие никак не влияет на работу сотрудников.

Разумеется, есть и свои недостатки:

  • невозможность работать с локальными сессиями без подключения пользователя к сети;
  • захват только ограниченного набора данных, касающихся активности пользователя (например, не анализируются посещаемые URL-адреса, заголовки активных окон, системные события, скрытый текст);
  • соединение строится вокруг одной точки, которая является критическим элементом (узким местом, своеобразным «горлышком бутылки») с точки зрения производительности, особенно для сильно разветвленных структур;
  • высокая стоимость и отнюдь не гибкая ценовая политика (и в результате сомнительная экономическая эффективность для малых и средних предприятий).

Другой подход заключается в мониторинге активности пользователей в режиме «бастион». Система этого типа устанавливается на хосте-бастионе или в виде отдельного аппаратного устройства, который играет роль готового бастионного узла. Доступ к отслеживаемым конечным точкам организован таким образом, что пользователи должны сначала войти в хост-бастион и только тогда они получают доступ к критически важным узлам инфраструктуры. Примерами таких решений являются CyberArk и Wallix.

Подобные системы помимо непосредственно мониторинга пользовательской активности предоставляют множество вариантов организации доступа к критическим конечным точкам на основе установленных правил. Еще одно их преимущество – возможность плавного развертывания. В то же время инструменты бастионного типа имеют те же недостатки, что и прокси-системы: ограниченные возможности захвата и анализа метаданных, создание узкого места для производительности, негибкое ценообразование.

Альтернативный третий подход основан на взаимодействии клиентов, устанавливаемых на каждой конечной точке, подлежащей мониторингу, и расположенного на сервере блока управления, включающего инструменты для просмотра и анализа результатов. Ниже мы сравним три программы этого типа – Observeit, NetWrix и система «Экран».

Observeit и «Экран» являются прямыми конкурентами, но в то время как первый ориентирован исключительно на крупные развертывания, потенциальными пользователями второго являются как предприятия малого и среднего бизнеса, так и крупные корпорации. Совпадая в основной функциональности, оба продукта имеют некоторые свои уникальные особенности. Observeit уделяет больше внимания многофакторному анализу поведения пользователей, а разработчики «Экрана» стремятся к достижению максимальной простоты развертывания и управления системой, а также к совершенствованию процесса защиты от несанкционированного прерывания. Будучи нацеленным не только на крупные развертывания, но и на рынок малого бизнеса, система «Экран» имеет гибкую ценовую политику с лицензированием по схеме «оплата только за клиентов». Этим он отличается от Observeit, где за компонент управления также взимается значительная плата, что оказывает существенное влияние на общую стоимость пакета.

В продуктах NetWrix основное внимание уделяется задачам SIEM. Возможность осуществления видеозаписи сеанса пользователя здесь также присутствует, но поскольку это не является главной функцией NetWrix, видео получается менее информационным по сравнению с ранее упомянутыми инструментами. В частности не хватает некоторых важных сопровождающих функций, таких как синхронизация метаданных, оповещение о подозрительных событиях в режиме реального времени и просмотр текущего сеанса. По цене NetWrix менее доступен, что система «Экран», но сопоставим с Observeit.

Более подробное сравнение перечисленных выше инструментов вы сможете найти в этой таблице.

Трудно назвать лучший инструмент для мониторинга активности пользователей, потому что это во многом зависит от конкретных потребностей, размера бизнеса, бюджета и других факторов. Но ясно, что в процессе обеспечения корпоративной безопасности на предприятиях любых размеров без подобного мониторинга обойтись сегодня очень сложно. Однако следует уделить еще внимание и правому вопросу. В то время как контроль доступа к инфраструктуре компании извне неоспоримо является необходимой составляющей ее охранной деятельности, возможность осуществления мониторинга активности своих собственных сотрудников в некоторых странах (в частности, в Великобритании и других европейских государствах) может оказаться под вопросом с точки зрения правовых рисков, связанных с вторжением в личную жизнь.






Возврат к списку

Текст сообщения*
Защита от автоматических сообщений
 

Лента событий

Новости компаний

© 2003-2017 Бизнес-класс Архангельск. Все права защищены. Разработка: digital-агентство F5