El software de monitorización de la actividad del usuario, que no debe confundirse con el software espía, es un segmento en crecimiento del mercado empresarial con varias empresas que utilizan estas herramientas para resolver sus tareas de seguridad.
Varias encuestas de ejecutivos de seguridad, investigaciones independientes y fuentes de noticias muestran que el principal peligro para la infraestructura y los datos corporativos proviene del interior. Cuando el perímetro está protegido y monitoreado las 24 horas del día, los 7 días de la semana, en busca de intrusos externos, es hora de pensar en aquellos que ya están adentro: empleados, proveedores de servicios externos, expertos contratados.
El monitoreo interno de la actividad del usuario se aplica para detectar fraudes de empleados, fugas de datos y cambios de configuración maliciosos, como puertas traseras o cambios de contraseña. Dicho monitoreo es parte de los programas de seguridad corporativos y está implícito en varias normas de cumplimiento de la industria.
Al elegir un producto para controlar la actividad del usuario en los puntos finales corporativos, primero debe elegir entre las soluciones DLP activas que brindan alguna funcionalidad de bloqueo automatizado para las acciones del usuario y las herramientas de monitoreo pasivo, que brindan información detallada para tomar decisiones pero que no interfieren en el negocio. Procesos. Vale la pena mencionar que en una infraestructura moderna y complicada, puede ser bastante difícil configurar una herramienta DLP activa correctamente para minimizar los falsos positivos y no interrumpir los procesos de trabajo.
En esta publicación, proporcionaremos una comparación de software de monitoreo de la actividad del usuario que se centra en las soluciones de monitoreo pasivo y las herramientas creadas en el interesante enfoque moderno de la grabación de video de la sesión del usuario indexada por varios metadatos de texto para una búsqueda fácil. Este formato de resultado de monitoreo integrado e intuitivo gana cada vez más popularidad en el mercado.
Puede encontrar una comparación detallada enmarcada en una tabla de las principales herramientas de grabación de video y monitoreo de la actividad de los usuarios aquí. Mientras tanto, a continuación proporcionaremos una comparación general de enfoques y productos.
Comenzaremos nuestra comparación de software de monitoreo de usuarios dividiendo estas herramientas en 3 clases principales por su tipo de arquitectura.
La primera clase que podemos nombrar es soluciones de supervisión de la actividad del usuario basadas en proxy. Estas herramientas pueden ser un dispositivo específico conectado a la red corporativa o un dispositivo virtual instalado en una máquina virtual. Actúan como un proxy para todo el tráfico de red o un conjunto seleccionado de sesiones de usuario según las necesidades de monitoreo. El ejemplo de tales soluciones es Balabit.
La principal ventaja de esta solución es la simplicidad de su implementación: es una implementación simple y lista para usar con dispositivo físico o virtual. Esta implementación no afecta el trabajo de los empleados y sus puntos finales de ninguna manera.
Entre las desventajas de este enfoque, podemos nombrar:
No puede trabajar con sesiones locales y sin conexión de red a un punto final; Es capaz de capturar solo un conjunto limitado de detalles de metadatos sobre la actividad del usuario, por ejemplo, no capturar la URL visitada, el título de la ventana activa, los eventos del sistema, el texto escrito oculto; La conexión se construye en torno a un único punto, lo que supone un cuello de botella en términos de rendimiento, especialmente para infraestructuras muy distribuidas; Precios altos y no flexibles (rentabilidad cuestionable para implementaciones pequeñas y medianas).
Otro enfoque es supervisión de la actividad del usuario basada en bastión. Las soluciones de este tipo se instalan en máquinas host bastión o se proporcionan como un dispositivo, que actúa como un host bastión listo. El acceso a los puntos finales monitoreados está organizado de tal manera que los usuarios primero deben iniciar sesión en el host bastión y solo entonces se les otorga acceso a los nodos de infraestructura crítica. El ejemplo de tales soluciones son CyberArk y Wallix.
Estas soluciones se centran en la gestión del acceso de los usuarios y, por lo tanto, proporcionan muchas opciones para organizar el acceso basado en reglas a los puntos finales críticos, además de la funcionalidad de supervisión de la actividad del usuario. También tienen la misma ventaja de implementación sin problemas que las soluciones basadas en proxy. Al mismo tiempo, las herramientas basadas en bastión tienen las mismas desventajas: posibilidades limitadas de captura y análisis de metadatos, cuello de botella en el rendimiento y precios no flexibles, que apenas son elásticos en cuanto al tamaño de la infraestructura.
El tercer enfoque alternativo es software de supervisión de la actividad del usuario basado en agentes, que tiene sus clientes instalados en cada punto final a monitorear e incluye una parte de gestión que proporciona herramientas para ver y analizar los resultados. Aquí podemos comparar el software de monitoreo de la actividad de los empleados como Ekran System, Observeit y Netwrix.
Ekran System y Observeit son competidores directos, pero mientras que el primero se dirige tanto a las pymes como a los grandes mercados corporativos, el segundo se centra en las implementaciones de grandes empresas. Coincidiendo con la funcionalidad principal, ambos productos ofrecen algunas características únicas con la solución Observeit que se enfoca más en el análisis de comportamiento del usuario multifactor y el Sistema Ekran trabaja en la implementación y administración de la solución fácil, así como en la protección del proceso de monitoreo de las interrupciones no autorizadas. Ekran System, que afecta no solo a las grandes implementaciones, sino también al mercado de las PYMES, tiene un esquema de precios flexible con licencias de pago solo para clientes, a diferencia del esquema Observeit con una tarifa significativa por el componente de administración y, por lo tanto, un alto costo de “entrada”.
Los productos Netwrix tienen la funcionalidad de grabación de sesiones de usuario, mientras se enfocan más en las tareas SIEM. Como la grabación de video de la sesión del usuario no es la característica principal, la solución proporciona menos detalles sobre el video grabado en comparación con las herramientas mencionadas anteriormente y carece de algunas características importantes como sincronización de metadatos, alertas en tiempo real sobre eventos sospechosos y visualización de sesiones en vivo. El precio de Netwrix para el monitoreo general de la actividad del usuario es menos asequible que el costo de implementación del sistema Ekran en comparación con el precio de Observeit.
Puede obtener una comparación más detallada de las herramientas mencionadas en la tabla aquí.
Es difícil nombrar la mejor herramienta de monitoreo de la actividad del usuario, porque siempre depende de su necesidad particular, tamaño de la empresa, presupuesto y otros factores. Pero está claro que el monitoreo de la actividad de los usuarios es una tarea importante dentro del proceso de brindar seguridad corporativa en empresas de cualquier tamaño. Si bien el monitoreo de los proveedores de servicios de terceros que acceden a la infraestructura de la empresa es una actividad de seguridad indiscutiblemente necesaria, el monitoreo de los empleados puede ser cuestionable en algunos países, en particular en el Reino Unido y otros estados europeos en términos de riesgos legales relacionados con la privacidad de los empleados perturbadores. Al mismo tiempo, las instituciones legales europeas emitieron varias recomendaciones sobre la correcta organización de dicho seguimiento. Puede leer más detalles sobre el seguimiento de empleados y su legalidad aquí.
