Сравнение программных средств проведения мониторинга пользовательской активности

Различные управляющие программы безопасности, независимые исследования, а также новостные ленты показывают, что главная опасность для корпоративных данных и сетевой инфраструктуры исходит изнутри. Когда периметр защищен, и мониторинг внешних злоумышленников проводится круглосуточно, приходит время подумать о тех, кто уже находится внутри сети: о сотрудниках, сторонних провайдерах, привлеченных экспертах и пр.

Внутренний мониторинг пользовательской активности проводится для выявления случаев мошенничества сотрудников, утечки данных, а также вредоносных изменений конфигурации, таких как бэкдоры или изменения пароля. Такой мониторинг является частью программ корпоративной безопасности и сопровождается различными отраслевыми нормативными документами.

Подбирая программное обеспечение для контроля активности пользователей на корпоративных оконечных сетевых точках, сначала следует выбрать между активными DLP-решениями и пассивными средствами наблюдения. Первые обеспечивают необходимую автоматическую блокирующую функциональность пользовательских действий. Вторые - передают подробную информацию для принятия решений, но не вмешиваются в бизнес-процессы. Стоит отметить, что в современной сложной инфраструктуре может оказаться довольно трудно настроить активный DLP-инструмент должным образом, чтобы свести к минимуму количество ложных срабатываний и прерываний рабочих процессов.

В этой статье мы сравним программные средства проведения мониторинга пользовательской активности. Основное внимание заострим на пассивных мониторинговых решениях и инструментах, созданных при интересном современном подходе к пользовательской сессии видеозаписи, которая индексируется различными текстовыми метаданными для проведения быстрого поиска. Такой интегрированный и интуитивный формат результата мониторинга приобретает на рынке все большую популярность.

Здесь вы можете познакомиться с детализированным, оформленным в таблицу сравнением ведущих программных средств мониторинга активности пользователей и инструментов видеозаписи. Помимо этого, ниже мы приведем общее сравнение подходов к решению проблемы и продуктов программного обеспечения.

Начнем наше сравнение программного обеспечения мониторинга пользователей с разделения этих средств на три основных класса по типу их архитектуры:

1. Первый класс - это решения по мониторингу активности пользователя на основе использования прокси-сервера. Такие инструменты могут быть выполнены в виде отдельного прибора, подключенного к корпоративной сети, либо виртуального устройства, установленного на виртуальной машине. Они выступают в качестве прокси-сервера для всего сетевого трафика или подобранного набора пользовательских сессий в зависимости от потребностей мониторинга. Примером таких решений служит программное обеспечение и сервисы для информационной безопасности, созданные венгерской компанией BalaBit Security.

Основным преимуществом данного решения является элементарность его развертывания: простой готовый пакет с физическим или виртуальным устройством. Она никоим образом не влияет на работу сотрудников и их конечных сетевых точек.

Из недостатков такого типа подхода к решению проблемы защиты мы можем перечислить следующее:

• Это средство не в состоянии работать с местными сессиями и без подключения к конечной сетевой точке;
• Оно способно собирать только ограниченный набор метаданных о деятельности пользователя: не захватывает посещенный URL, активный заголовок окна, системные события, скрытый печатный текст;
• Устройство следит только за одной сетевой точкой, что является узким местом в производительности труда, особенно если в корпоративной инфраструктуре их множество;
• Высокая и негибкая ценовая политика (сомнительная эффективность затрат по установке в малых и средних по масштабности сетях).

2. Второй класс мониторинга активности пользователей базируется на использовании режима «Бастион». Устройства этого типа устанавливаются на хост-компьютерах или как прибор, функционирующий в виде готового бастионного узла. Доступ к мониторингу конечных точек организован таким образом, что пользователи должны сначала входить в него по паролю и только тогда они получают доступ к критически важным узлам корпоративной сетевой инфраструктуры. Примером таких решений являются устройства CyberArk и Wallix.

Этот тип решений направлен на управление доступом. Он имеет, помимо функций мониторинга пользовательской активности, ряд опций, вынуждающих соблюдать соответствующие нормы безопасности доступа к критическим конечным сетевым точкам организации. Он наделен теми же положительными качествами, что и прокси-решения. В то же время бастионные инструменты имеют аналогичные недостатки: ограниченные возможности захвата метаданных и их анализа, узкое место по производительности и негибкое ценообразование, сказывающиеся на масштабности сетевой инфраструктуры.

3. Третий класс архитектуры (альтернативный) заключается в программном обеспечении мониторинга активности пользователей, находящихся в каждой конечной сетевой точке и включает в себя часть управления, обеспечивающего инструменты для просмотра и анализа результатов. Здесь мы имеем возможность сравнивать программное обеспечение мониторинга сетевой деятельности сотрудника - Ekran System, Observeit, и Netwrix.

Ekran System и Observeit - прямые конкуренты. Однако первый продукт ориентирован на сетевой протокол SMB и крупные корпоративные рынки, второй - на внедрение в крупный бизнес. Хотя основная функциональность обеих продуктов и одинакова, они имеют свои уникальные особенности: в решении Observeit уделяется больше внимания анализу многофакторного поведения пользователей, а Ekran System работает на простое обеспечение решений и управления, включая защиту процесса мониторинга от несанкционированных вмешательств. Ekran System обрабатывает не только крупные сетевые развертывания, но и рынок сетевого протокола SMB. Имеет гибкое ценовое лицензирование по схеме «только-по-количеству клиентов», в отличие от схемы продукта Observeit со значительной платой за управленческий компонент и, следовательно, высокой стоимости за «вход».

Продукты NetWrix имеют функциональность видеозаписи пользовательского сеанса, но больше внимания уделяется задачам системы SIEM. Так как пользовательский сеанс видеозаписи не поставлен во главу угла, это решение обеспечивает менее подробную информацию о записанном видео по сравнению с ранее упомянутыми инструментами. Также отсутствуют некоторые важные сопровождающие функции - синхронизация метаданных, оповещения о подозрительных событиях в режиме реального времени и просмотр в реальном времени сеанса. Стоимость общего мониторинга активности пользователей через NetWrix менее доступна, чем цена установки Ekran System, тем более по сравнению со стоимостью Observeit.

Вы можете более подробно сравнить перечисленные инструменты в этой таблице.

Трудно назвать самый лучший инструмент мониторинга активности пользователей, потому что он всегда зависит от конкретной сетевой потребности, размера бизнеса, бюджета и других факторов. Но ясно, что мониторинг пользовательской активности является важной задачей в процессе обеспечения корпоративной безопасности на предприятиях любого масштаба. Несмотря на то, что мониторинг сторонних провайдеров, имеющих доступ к инфраструктуре компании, является неоспоримо нужным охранным мероприятием, наблюдение за работниками может оказаться под вопросом в некоторых странах. В частности, в Великобритании и других европейских странах с точки зрения правовых рисков, связанных с личной жизнью работников. В то же время, европейские правовые институты издали несколько рекомендаций о правильной организации такого мониторинга. Вы можете прочитать более подробную информацию о мониторинге работника и его законности проведения здесь: https://www.ekransystem.com/en/solutions/monitoring-employee-activity