Software voor het monitoren van gebruikersactiviteit, niet te verwarren met spyware, is een groeiend segment van de zakelijke markt waarbij verschillende bedrijven deze tools gebruiken om hun beveiligingstaken op te lossen.
Uit verschillende onderzoeken onder beveiligingsmanagers, onafhankelijk onderzoek en nieuwsbronnen blijkt dat het primaire gevaar voor de bedrijfsinfrastructuur en gegevens van binnenuit komt. Wanneer de perimeter 24/7 wordt beschermd en bewaakt voor indringers van buitenaf, is het tijd om na te denken over degenen die al binnen zijn: werknemers, externe dienstverleners, gecontracteerde experts.
Interne monitoring van gebruikersactiviteit wordt toegepast om fraude door medewerkers, datalekken en kwaadaardige configuratiewijzigingen zoals backdoors of wachtwoordwijzigingen te detecteren. Dergelijke monitoring maakt deel uit van bedrijfsbeveiligingsprogramma’s en is impliciet in verschillende industrienormen.
Wanneer u een product kiest om gebruikersactiviteit op bedrijfseindpunten te monitoren, moet u eerst kiezen tussen actieve DLP-oplossingen die enige geautomatiseerde blokkeringsfunctionaliteit bieden voor gebruikersacties, en passieve monitoringtools, die gedetailleerde informatie bieden voor besluitvorming. het bedrijf. Processen. Het is vermeldenswaard dat het in een moderne en gecompliceerde infrastructuur behoorlijk moeilijk kan zijn om een actieve DLP-tool correct te configureren om valse positieven te minimaliseren en de werkprocessen niet te verstoren.
In dit bericht zullen we een vergelijking van software voor het monitoren van gebruikersactiviteit bieden, gericht op passieve monitoringoplossingen en tools die zijn gebaseerd op de interessante moderne benadering van video-opnames van gebruikerssessies, geïndexeerd door verschillende tekstmetadata. Dit geïntegreerde en intuïtieve formaat voor monitoringresultaten wint steeds meer aan populariteit in de markt.
U vindt hier een gedetailleerde, in tabelvorm weergegeven vergelijking van de beste tools voor video-opname en gebruikersactiviteit. In de tussentijd zullen we hieronder een algemene vergelijking van benaderingen en producten geven.
We beginnen onze softwarevergelijking voor gebruikersmonitoring door deze tools in 3 hoofdklassen te verdelen op basis van hun architectuurtype.
De eerste klas die we kunnen noemen is op proxy gebaseerde oplossingen voor het monitoren van gebruikersactiviteit. Deze hulpprogramma’s kunnen een specifiek apparaat zijn dat is aangesloten op het bedrijfsnetwerk of een virtueel apparaat dat op een virtuele machine is geïnstalleerd. Ze fungeren als een proxy voor al het netwerkverkeer of een geselecteerde set gebruikerssessies, afhankelijk van de monitoringbehoeften. Het voorbeeld van dergelijke oplossingen is Balabit.
Het belangrijkste voordeel van deze oplossing is de eenvoud van de implementatie: het is een eenvoudige en gebruiksklare implementatie met een fysiek of virtueel apparaat. Deze implementatie heeft op geen enkele manier invloed op het werk van medewerkers en hun eindpunten.
Onder de nadelen van deze aanpak kunnen we noemen:
Je kunt niet werken met lokale sessies en zonder netwerkverbinding met een endpoint; Het is in staat om slechts een beperkte set metadatadetails over gebruikersactiviteit vast te leggen, bijv. geen bezochte URL, actieve venstertitel, systeemgebeurtenissen, verborgen getypte tekst; De verbinding is gebouwd rond een enkel punt, wat een prestatieknelpunt is, vooral voor sterk gedistribueerde infrastructuren; Hoge en inflexibele prijzen (twijfelachtige winstgevendheid voor kleine en middelgrote implementaties).
Een andere benadering is: op bastion gebaseerde bewaking van gebruikersactiviteit. Oplossingen van dit type worden ofwel geïnstalleerd op bastion-hostmachines of geleverd als een apparaat dat fungeert als een kant-en-klare bastionhost. Toegang tot bewaakte endpoints is zo geregeld dat gebruikers eerst moeten inloggen op de bastionhost en pas daarna toegang krijgen tot vitale infrastructuurknooppunten. Voorbeelden van dergelijke oplossingen zijn CyberArk en Wallix.
Deze oplossingen zijn gericht op het beheer van gebruikerstoegang en bieden daarom veel opties voor het organiseren van op regels gebaseerde toegang tot kritieke eindpunten, naast de functionaliteit voor het bewaken van gebruikersactiviteiten. Ze hebben ook hetzelfde naadloze implementatievoordeel als op proxy gebaseerde oplossingen. Tegelijkertijd hebben op bastion gebaseerde tools dezelfde nadelen: beperkte mogelijkheden voor het vastleggen en analyseren van metagegevens, prestatieknelpunten en inflexibele prijzen, die nauwelijks elastisch zijn in termen van infrastructuuromvang.
De derde alternatieve benadering is: op agenten gebaseerde software voor het bewaken van gebruikersactiviteit, waarvan de clients zijn geïnstalleerd op elk te bewaken eindpunt en een beheergedeelte bevat dat tools biedt om de resultaten te bekijken en te analyseren. Hier kunnen we software voor het monitoren van werknemersactiviteiten vergelijken, zoals Ekran System, Observeit en Netwrix.
Ekran System en Observeit zijn directe concurrenten, maar terwijl de eerste zich richt op zowel het MKB als de grote zakelijke markten, richt de laatste zich op de implementatie van grote ondernemingen. Samenvallend met de kernfunctionaliteit, bieden beide producten een aantal unieke functies, waarbij de Observeit-oplossing zich meer richt op multi-factor analyse van gebruikersgedrag en het Ekran-systeem werkt aan eenvoudige implementatie en beheer van de oplossing, evenals procesbescherming. Ekran-systeem, dat niet alleen grote implementaties maar ook de MKB-markt treft, heeft een flexibel prijsschema met betaalde licenties alleen voor klanten, in tegenstelling tot het Observeit-schema met een aanzienlijke vergoeding voor de administratiecomponent en daarom hoge “toegangskosten” .
Netwrix-producten hebben functionaliteit voor het opnemen van gebruikerssessies, terwijl ze zich meer richten op SIEM-taken. Omdat video-opnames van gebruikerssessies niet het belangrijkste kenmerk zijn, biedt de oplossing minder details over de opgenomen video in vergelijking met de hierboven genoemde tools en mist het enkele belangrijke functies zoals synchronisatie van metadata, realtime waarschuwingen bij verdachte gebeurtenissen en het bekijken van live-sessies. De prijs van Netwrix voor het monitoren van algemene gebruikersactiviteiten is minder betaalbaar dan de implementatiekosten van het Ekran-systeem in vergelijking met de Observeit-prijs.
U kunt hier een meer gedetailleerde vergelijking krijgen van de tools die in de tabel worden genoemd.
Het is moeilijk om de beste tool voor het monitoren van gebruikersactiviteit te noemen, omdat het altijd afhangt van uw specifieke behoefte, bedrijfsgrootte, budget en andere factoren. Maar het is duidelijk dat het monitoren van gebruikersactiviteit een belangrijke taak is bij het bieden van bedrijfsbeveiliging in bedrijven van elke omvang. Hoewel het monitoren van externe serviceproviders die toegang hebben tot bedrijfsinfrastructuur een onbetwistbare noodzakelijke beveiligingsactiviteit is, kan het monitoren van werknemers in sommige landen, met name het VK en andere Europese staten, twijfelachtig zijn in termen van juridische risico’s in verband met de privacy van storende werknemers. Tegelijkertijd hebben de Europese juridische instellingen verschillende aanbevelingen gedaan over de juiste organisatie van dergelijke monitoring. U kunt hier meer details lezen over het volgen van werknemers en de wettigheid ervan.
