Сравнение программ мониторинга активности пользователей

Программы мониторинга активности пользователей (не путать со шпионским ПО) - это растущий сегмент корпоративного рынка, где ряд компаний используют эти инструменты для решения своих задач по обеспечению безопасности.

Различные опросы на тему безопасности, независимые исследования, а также новостные ленты показывают, что главная опасность для корпоративных данных и инфраструктуры идет изнутри. Когда периметр защищен и осуществляется мониторинг внешних злоумышленников в режиме 24/7, пора подумать о тех, кто уже находится в периметре: сотрудников, сторонних поставщиков услуг, нанятых экспертов.

Мониторинг внутренней активности пользователей применяется для обнаружения мошенничества со стороны сотрудников, утечки данных и злонамеренных изменений конфигурации, таких как использование backdoor-программ для тайного доступа к данным и управления компьютерами или смена паролей. Такой мониторинг является частью программ обеспечения корпоративной безопасности и подразумевается различными производственными нормами.

При выборе продукта для контроля активности пользователей на корпоративных рабочих станциях, во-первых, следует выбирать между активными DLP-системами, обеспечивающими некоторые автоматизированные функции блокировки действий пользователей и пассивными средствами наблюдения, которые содержат подробную информацию для принятия решений, но не вмешиваются в бизнес-процессы.

В этой статье приводится сравнение программных средств мониторинга пользовательской активности с упором на решения для пассивного мониторинга и инструменты, основанные на современном подходе фиксирования пользовательских сессий на видео и их индексирования различными текстовыми метаданными для быстрого поиска. Такой формат интегрированных и интуитивно понятных результатов мониторинга приобретает все большую популярность на рынке.

Вы можете найти подробное сравнение ведущих инструментов мониторинга активности пользователей и видеозаписи в виде таблицы здесь. А ниже мы предоставим общее сравнение подходов и продуктов.

Начнем сравнение программ мониторинга с того, что поделим эти инструменты на 3 основных типа, отличающиеся типом архитектуры.

Первый тип - это решения для мониторинга пользовательской активности на основе прокси. Эти инструменты могут представлять собой конкретное устройство, подключенное к корпоративной сети или виртуальное устройство, установленное на виртуальной машине. Они выступают в качестве прокси-сервера для всего сетевого трафика или определенного набора пользовательских сессий в зависимости от задач мониторинга. Пример такого решения - Balabit.

Основное преимущество данного решения - это простота развертывания физического или виртуального устройства. Такое развертывание никоим образом не влияет на работу сотрудников на рабочих станциях.

Среди минусов данного подхода можно назвать:

• неспособность работать с локальными сессиями и без сетевого подключения к рабочей станции;
• способность захватывать только ограниченный набор метаданных информации об активности пользователя; так, например, могут быть пропущены посещенные URL, заголовок активного окна, системные события, скрытый печатный текст;
• соединение строится вокруг одной рабочей станции, которая является слабым местом в плане производительности, особенно когда речь идет о сильно распределенных инфраструктурах;
• дорогое и негибкое ценообразование (при сомнительной эффективности затрат для малых и средних развертываний).

Другой подход – это мониторинг пользовательской активности на основе АПК «Бастион».

Решения этого типа устанавливаются на хост-машинах Бастион или предоставляются в качестве устройства, которое выступает как готовый хост-бастион. Доступ к мониторингу рабочих станций организован таким образом, что пользователи должны сначала осуществить вход с помощью логина в хост-бастион, и только тогда они получают доступ к узлам критической инфраструктуры. Пример подобных решений - CyberArk и Wallix.

Такие решения направлены на управление доступом пользователей, и за счет этого предоставляют множество вариантов организации на основе правил доступа к критическим рабочим станциям, помимо возможности мониторинга активности пользователей. Как и у решений на базе прокси, их преимущество заключается в удобстве развертывания. В то же время, инструменты на базе Бастиона имеют те же минусы: ограниченные возможности захвата и анализа метаданных, проблемы с производительностью и негибкое ценообразование, которое с трудом приспосабливается к масштабам инфраструктуры.

Третий альтернативный подход - это программы мониторинга пользовательской активности на базе агентов. Здесь клиентские устройства устанавливаются на каждой рабочей станции, где нужен мониторинг, и включают инструменты управления для просмотра и анализа результатов. К этому типу относятся такие программы мониторинга активности сотрудников, как Ekran System (Система «Экран»), Observeit и Netwrix.

Ekran System и Observeit - конкуренты, но тогда как первый нацелен на крупный корпоративный и СМБ-рынок, второй - на развертывание крупных бизнесов. Совпадая в базовой функциональности, оба продукта предлагают некоторые уникальные возможности; причем Observeit сфокусирован больше на многофакторном анализе поведения пользователей, а цель Ekran System - простое развертывание и управление, а также защита процесса мониторинга от несанкционированного прерывания. Как в сфере крупного развертывания, так и на СМБ-рынке, Ekran System отличается гибким ценообразованием с лицензированием по принципу «оплата только за клиентов», в отличие от схемы Observeit с его значительной платой за компонент управления и, соответственно, высокой «входной» стоимостью.

Система «Экран» позволяет осуществлять мониторинг сотрудников компании, привилегированных пользователей и сторонних подрядчиков, контролируя работу с критически важными приложениями и доступ к конфиденциальным данным, отслеживая все изменения на серверах и выявляя нарушения безопасности и акты мошенничества. Двухфакторная аутентификация для администраторов и уведомления о подозрительных событиях обеспечивают полноценную защиту в режиме реального времени.

Продукты Netwrix обладают функцией записи сессий, при этом фокусируясь больше на управлении информацией и событиями безопасности. Поскольку видеозапись пользовательских сессий - не главная функция, продукт предлагает менее детализированное записанное видео, по сравнению с ранее упомянутыми инструментами, и имеет недостаток в некоторых важных сопутствующих опциях, вроде синхронизации метаданных, оповещений о подозрительных событиях в реальном времени и живого просмотра сессий. У Netwrix стоимость мониторинга пользовательской активности в целом менее доступная, чем стоимость развертывания Ekran System, если сравнивать с ценой Observeit.

Сложно назвать лучший инструмент мониторинга пользовательской активности, потому что это зависит от ваших конкретных нужд, масштабов бизнеса, бюджета и других факторов. Но ясно, что мониторинг пользовательской активности – важная задача для обеспечения корпоративной безопасности на предприятиях любого размера. В то время как мониторинг сторонних поставщиков услуг, имеющих доступ к инфраструктуре компании - это очевидная мера в обеспечении безопасности, необходимость мониторинга сотрудников может подвергаться сомнению в некоторых странах, в частности, в Великобритании и других европейских государствах, из-за правовых рисков, связанных с нарушением конфиденциальности личных данных сотрудников. В то же время, европейские правовые институты издали несколько рекомендаций о правильной организации такого контроля. Более подробную информацию о мониторинге активности сотрудников и его законности вы можете почитать по ссылке.