ObserveIT User Activity Monitoring

Transkript

1 KuppingerCole Report EXECUTIVE VIEW von Martin Kuppinger April 2015 ObserveIT bietet eine umfassende Lösung für die Überwachung von Nutzeraktivitäten innerhalb des gesamten Unternehmens. Das Produkt arbeitet hauptsächlich mithilfe von Agenten, die auf einer Vielzahl von Plattformen bereitgestellt werden können. Es ermöglicht eine detaillierte Analyse des Nutzerverhaltens und das Eingreifen in Live- Sessions. von Martin Kuppinger April 2015 Content 1 Übersicht Produktbeschreibung Stärken und Herausforderungen Copyright... 9 Verwandte Quellen #70,960 Leadership Compass Privilege Management

2 #70,736 Advisory Note Privilege Management Seite 2 von 10

3 1 Übersicht Privilege Management betrifft die mächtigsten IT-Nutzer in Ihrem Unternehmen: Ihre Administratoren und Super User. Die Administratoren in Ihren Windows-Umgebungen, die Admin-Nutzer Ihrer Virtualisierungsplattform, Ihre SAP Super User oder Ihre Datenbankadministratoren - um nur einige der möglichen Administratortypen zu nennen - sind besonders privilegierte Nutzer. Aus verschiedenen Gründen sind der Schutz und die Überwachung dieser Accounts traditionell schwach ausgeprägt, unter anderem weil privilegierte Accounts typischerweise keiner einzelnen Person zugeordnet sind. Dies bedeutet, dass sie häufig von mehreren Administratoren genutzt werden. Dies gilt insbesondere für den Master-Account in UNIX-Systemen, den Root-Account, der immer noch im Mittelpunkt der meisten UNIX-basierten Administrationsszenarios steht. In der Praxis ist nur selten ein Lifecycle Management- Prozess für privilegierte Nutzer vorhanden, und die Gefahr der Offenlegung von Passwörtern, wenn interne Administratoren das Unternehmen verlassen oder wenn der Vertrag eines externen Administrators ausläuft, ist relativ hoch. Wenn diesbezüglich keine zusätzlichen Maßnahmen ergriffen wurden, besteht keine Aufzeichnung darüber, welche Person tatsächlich einen Administrator-Account genutzt hat, um eine bestimmte Aktion auszuführen, und es gibt auch keinen Nachweis darüber, welche Operationen ausgeführt wurden, auf welche Geräte zugegriffen wurde oder welche Daten kopiert, gelöscht oder modifiziert wurden. Der Schutz eines Unternehmens oder einer Behörde vor äußeren Einflüssen, zum Beispiel mittels Firewalls, ist heutzutage eine häufige Herangehensweise in der Informationstechnologie, aber mehr und mehr Unternehmen werden sich der Gefahr bewusst, die von Angriffen durch Insider ausgeht, insbesondere durch höchst privilegierte Nutzer wie Administratoren. Dass es sich dabei um eine real existierende Gefahr für jedes Unternehmen und jede Behörde handelt, wurde in letzter Zeit sehr medienwirksam durch einige Ereignisse unter Beweis gestellt. Der bekannteste Fall betrifft Edward Snowden, der als Administrator bei der NSA (National Security Agency), dem US-Auslandsgeheimdienst, tätig war. Das Verständnis, dass von legitimierten und vertrauenswürdigen internen Administratoren durchgeführte Aktionen ein großes Sicherheitsrisiko für IT-Systeme und somit auch für das Unternehmen darstellen können, ungeachtet der Tatsache, ob sie absichtlich oder unbeabsichtigt ausgeführt wurden, sollte dazu führen, dass geeignete Maßnahmen als Hauptelement der IT- Sicherheitsstrategie eines Unternehmens ergriffen werden. Hierzu zählen die Definition und Implementierung geeigneter Prozesse für Privileged User Management und die Durchsetzung dieser Prozesse. Die Hauptprozesse von Privileged User Management und Access Management umfassen: Onboarding, Wartung und Offboarding von Anwendungen: Dies beinhaltet den vollständigen Lebenszyklus eines Zielsystems, integriert in eine Privilege Management-Lösung. Dieser Lebenszyklus beginnt mit der ersten Integration des Systems und umfasst alle Änderungen des Systems während des Lebenszyklus sowie die Entfernung des Systems nach seiner Stilllegung. Seite 3 von 10

4 Zugriffsanfragen: Ein Administratorzugriff mittels eines privilegierten Accounts erfordert üblicherweise einen technischen oder geschäftlichen Grund. Um einen unkontrollierten Zugriff auf das System zu verhindern, muss ein angemessener Anfrage-Workflow für die verschiedenen Arten von Zugriffsanfragen implementiert werden. Dies umfasst Ad-hoc-Zugriff, beispielsweise für unmittelbare Fehlerbehebungen, Zugriff für geplante Aufgaben sowie regelmäßigen Zugriff zu Wartungszwecken. Genehmigung: Workflows für die Genehmigung, Hinterfragung oder Verweigerung des Zugriffs müssen ebenfalls vorhanden sein. Der Zugriff kann gemäß eines Zeitplans zu einem bestimmten Zeitpunkt und für eine im Vorfeld festgelegte Dauer oder unmittelbar für dringende Aufgaben genehmigt werden, falls erforderlich. Systemzugriff: Nach erfolgter Anfrage und Genehmigung muss das System für Privileged Access Management den tatsächlichen Zugriff auf das integrierte System ermöglichen. Überwachungssteuerung und Audit: Der administrative Zugriff auf wichtige Systeme erfordert angemessene Audit-Maßnahmen. Dies umfasst die Überwachung aller aktiven Administrator- Sessions, den Zugriff auf bestimmte Administrator-Sessions in Echtzeit für Supervisor sowie die Protokollierung von Tastatureingabesequenzen, die visuelle Aufzeichnung von Sessions und die Archivierung der gesammelten Informationen. Zusätzlich kann eine automatische Prozessüberwachung eingesetzt werden, um ungewünschte Aktionen im Rahmen einer Administrator-Session zu erkennen und abzufangen. Fortgeschrittene Privilege Management-Lösungen sind keine punktuellen Lösungen für den Zugriff auf einzelne, wichtige Systeme, sondern sie bieten eine einheitliche Privilege Management-Plattform für viele wichtige Systeme, die in die allgemeinen IT-Sicherheitsstrategien und in IAM-Strategien (Identity and Access Management) integriert ist. Die bei der Implementierung eines Privilege Management- Systems sowie bei der Kommunikation mit verbundenen Systemen gesammelten Daten können zudem für die Analyse der allgemeinen GRC-Systeme (Governance, Risk and Compliance) eines Unternehmens verwendet werden. Um dies zu erreichen, müssen Privilege Management-Systeme über geeignete Schnittstellen verfügen und die relevanten Standards in Bezug auf Dateiformate und Kommunikationsprotokolle erfüllen. Der Markt für Produkte in den Bereichen Privileged User Management und Privileged Access Management (aufgrund der Tatsache, dass die Kategorisierung der Produkte je nach Anbieter variiert, werden diese üblicherweise als "Privilege Management" oder abgekürzt als "PxM" bezeichnet) hat sich im Vergleich zu anderen IT-Sicherheitsprodukten erst spät entwickelt. Dennoch gibt es heute eine Vielzahl von IT-Sicherheitsanbietern, die sich auf diese Bereiche spezialisiert haben und die ausgereifte, für Unternehmen geeignete Privilege Management-Lösungen bieten. Die technologischen Ansätze der angebotenen Produkte umfassen: Jump-Host-Architekturen mit Privilege Management, transparente Gateway- und Scanning-Geräte zur Erfassung, Analyse und Aufzeichnung des Netzwerk-Traffics, und Sicherheit-Suites mit Privilege Management-Architekturen zur Bereitstellung von serverseitigen Agentenkomponenten. Eine umfassende Übersicht dieses Marktsegments finden Sie im Dokument Leadership Compass Privilege Management von KuppingerCole. Seite 4 von 10

5 Auf dem Markt für Privilege Management gibt es einen wichtigen Bereich rund um die Überwachung und Aufzeichnung von Sessions sowie die Analyse des Nutzerverhaltens, der im Fall von Verstößen gegen Richtlinien idealerweise das Eingreifen in Sessions in Echtzeit ermöglichen sollte. Seite 5 von 10

6 2 Produktbeschreibung ObserveIT ist einer der wenigen spezialisierten Anbieter, die im Bereich Privileged Session Monitoring begonnen haben. Wie alle Akteure in diesem speziellen Marktsegment für Privilege Management- Lösungen hat ObserveIT sein Portfolio schrittweise ausgebaut, um eine umfassendere Funktionalität zu bieten. Das Unternehmen konzentriert sich nun auf User Activity Monitoring für alle empfindlichen Nutzer, einschließlich der folgenden drei Hauptfunktionen: Überwachung und Aufzeichnung von Sessions in visueller Form in Bezug auf Befehlszeilen- und GUI- Sessions sowie Erstellung von Nutzeraktivitätsprotokollen aus den aufgezeichneten Daten; Nutzerverhaltensanalysen, die abnormale oder illegitime Aktivitäten von Nutzern oder gekaperte Accounts erkennen und diesbezüglich Alarm schlagen; und Eingreifen in Sessions in Echtzeit, was das Abfangen und Ändern von Sessions zur Laufzeit auf der Grundlage von bei der Nutzeraktivitätsanalyse oder mittels externen Produkten, wie z. B. SIEM-Tools (Security Information und Event Management), erfassten Daten ermöglicht. Zusätzlich konzentriert das Unternehmen sich nicht mehr ausschließlich auf die traditionelle Abdeckung von Administratoren und Anwendern, sondern unterstützt auch Anwendungsfälle mit anderen Anwendungsnutzern von Systemen, wie z. B. SAP, und externen Service-Providern, die Anwendungen anbieten. Im Bereich der Session-Überwachung und -Aufzeichnung oder - um den von ObserveIT eingeführten Begriff zu verwenden Visual Endpoint Recording, ist ObserveIT in der Lage, Sessions für eine Vielzahl von Systemen zu erfassen, und unterstützt diesbezüglich alle wichtigen Protokolle, wie z. B. RDP (Remote Desktop Protocol) einschließlich der Citrix-Variante, SSH, Telnet, direkte Konsolenanmeldungen usw. Aufgrund der Tatsache, dass ObserveIT einen agentenbasierten Ansatz verwendet, können Daten anders als bei einigen anderen Lösungen, die netzwerk- oder Gateway-basiert sind, auch lokal gesammelt werden. Der agentenbasierte Ansatz von ObserveIT ermöglicht nicht nur die Überwachung und anschließende Aufzeichnung von Sessions, sondern erstellt auch Nutzeraktivitätsprotokolle, d.h. alle Nutzeraktivitäten werden protokolliert. Diese Protokolle ermöglichen eine sinnvolle und effiziente Suche, sodass Kunden schnell zum richtigen Abschnitt in einer Aufzeichnung springen können, wenn sie forensische Aufgaben ausführen. ObserveIT bietet eine starke Implementierung bezüglich dieser Funktionen und ermöglicht somit eine effiziente Analyse von aufgezeichneten Sessions. Diese Nutzeraktivitätsprotokolle beinhalten detaillierte Informationen, die nicht über andere Quellen verfügbar sind, einschließlich Anwendungen, geöffneten Fenstern, aufgerufenen URLs, Texteingaben usw. All diese Daten können auf einfache Weise durchsucht werden, auch ohne die Aufzeichnung direkt zu öffnen. Auf dieser Grundlage ist eine Reihe von Berichten verfügbar. Daten können auch in weit verbreitete Formate exportiert werden, wie z. B. Microsoft Excel-Dateien oder XML-Dokumente. Das Tool verfügt Seite 6 von 10

7 über einen integrierten Berichtsgenerator zur Erstellung von vorkonfigurierten, benutzerdefinierten Berichten. Auf der Basis der vielen gesammelten Daten bietet ObserveIT außerdem die Möglichkeit, regelbasierte Analysen des Nutzerverhaltens durchzuführen und Alarms auszugeben, wenn Regelverstöße erkannt werden. Solche Regeln können konfiguriert werden, z. B. um den Zugriff auf selten verwendete Anwendungen, Systeme oder andere Ressourcen zu ermitteln, die Ausführung einer außergewöhnlichen Anzahl von Aktivitäten zu identifizieren oder Alarm zu schlagen, wenn Aktivitäten außerhalb der normalen Arbeitszeiten ausgeführt werden. Für solche Analysen steht eine Vielzahl von Kriterien zur Verfügung. Außerdem können Daten in andere Lösungen exportiert werden, wie z. B. in SIEM-Tools oder die neuen RTSI-Produkte (Real Time Security Intelligence), die SIEM erweitern, indem Big-Data-Analysen und andere Funktionen hinzugefügt werden. Aktuell unterstützt ObserveIT keine vorausschauenden, musterbasierten Analysen, sondern ist auf regelbasierte Analysen beschränkt. Musterbasierte Ansätze für Analysen auf der Grundlage von historischen Daten können außergewöhnliche Muster und Anomalien selbständig erkennen, ohne dass eine große Gruppe von Regeln für diesen Zweck erstellt werden muss. Während fortgeschrittene RTSI- Lösungen zwar eine solche Analyse durchführen und Ergebnisse zurückliefern könnten, würde der Wert des Produkts von ObserveIT durch diese Analysefunktionen steigen. Auf der Grundlage von Regeln kann ein Alarm zur Laufzeit ausgegeben werden, um festgelegte Personen über Regelverstöße zu informieren, so dass diese Maßnahmen ergreifen können. Diese Maßnahmen umfassen den Zugriff auf Videoaufzeichnungen von Sessions, aber auch den Zugriff auf das detaillierte Nutzeraktivitätsprotokoll. Basierend auf der Integration von SIEM-Lösungen von Drittanbietern oder deren Regelsets ermöglicht ObserveIT Session-Drill-Downs in Echtzeit, die direkte Kommunikation mit dem Nutzer und das Beenden von Sessions, falls erforderlich. Agenten sammeln die Daten und leiten sie an den Anwendungsserver von ObserveIT weiter, der einen Datenbankserver im Backend verwendet. Analysen werden von der Anwendungsserverkomponente ausgeführt, die auch in Microsoft Active Directory- und Netzwerkmanagementlösungen integriert werden kann, während Business Intelligence- und SIEM-Lösungen eine direkte Schnittstelle zum Datenbankserver nutzen. Diese Architektur ist relativ simpel. ObserveIT verfügt über ein gut definiertes Partnernetzwerk für verschiedene Gruppen von Partnern, einschließlich Alliance- und Technologiepartnern für technische Integration, Wiederverkäufer und Vertriebspartner sowie Managed Service- und Consulting-Partner. 3 Stärken und Herausforderungen ObserveIT bietet eine robuste Lösung für Privileged Session Management und nachfolgende Session- Analysen. Zudem ermöglicht der agentenbasierte Ansatz von ObserveIT auch die Erfassung von verschiedensten Daten mittels lokalen Systemen. Dies unterstützt den reichen Datenschatz, der Seite 7 von 10

8 zusätzlich zu Videoaufzeichnungen von ObserveIT gesammelt wird, und ermöglicht die Überwachung von lokalen Sessions. Dies erfordert jedoch die Implementierung von lokalen Agenten, was in manchen Szenarien ein Hindernis darstellen könnte. ObserveIT unterstützt außerdem virtualisierte und gemeinsam genutzte Desktop-Umgebungen (Citrix, VDI etc ) Außerdem ist ObserveIT ein starker Akteur auf dem Markt für Privilege Management sowie im wachsenden Marktsegment für User Activity Monitoring. Die größte Herausforderung ist unserer Ansicht nach die mangelnde Unterstützung von fortgeschrittenen, musterbasierten Analysen. Davon abgesehen sind alle wichtigen Funktionen, die man in diesem Marktsegment erwartet, vorhanden. Deshalb zählt ObserveIT zu den Produkten, die bei der Auswahl einer Lösung einen genaueren Blick wert sind. Außerdem kann ObserveIT auf ein starkes, globales Partnernetzwerk zurückgreifen und unterstützt eine Vielzahl von verschiedenen Plattformen und Systemen, wobei viele Technologiepartner eine gebrauchsfertige Integration bieten. Seite 8 von 10

9 Stärken Robuste und vielseitige Lösung für Privileged Session Management Starke Funktionen zur Aufzeichnung von Sessions, einschließlich umfangreicher Kontextinformationen Leistungsfähige Berichterstellungsfunktionen auf der Grundlage von Daten aus Nutzeraktivitäten verknüpft mit Videos Viele Partner in allen Bereichen mit globaler Abdeckung Starke Integration für Backend-Systeme, wie z. B. SIEM-Lösungen Echtzeitanalysen von Sessions sowie Alarm- und Interventionsfunktionen Breite Plattformunterstützung innerhalb des gesamten Unternehmens (Desktop, Server, Citrix, Jump-Server ) Herausforderungen Keine Unterstützung von musterbasierten Analysen des Nutzerverhaltens Implementierung von Agenten erforderlich, allerdings bieten Agenten nützliche Funktionen bezüglich Sessionanalysen Großflächige Implementierungen können aufgrund der zentralisierten Backend- Serverarchitektur eine Herausforderung darstellen 4 Copyright 2015 Kuppinger Cole Ltd. All rights reserved. Reproduction and distribution of this publication in any form is forbidden unless prior written permission. All conclusions, recommendations and predictions in this document represent KuppingerCole s initial view. Through gathering more information and performing deep analysis, positions presented in this document will be subject to refinements or even major changes. KuppingerCole disclaim all warranties as to the completeness, accuracy and/or adequacy of this information. Even if KuppingerCole research documents may discuss legal issues related to information security and technology, KuppingerCole do not provide any legal services or advice and its publications shall not be used as such. KuppingerCole shall have no liability for errors or inadequacies in the information contained in this document. Any opinion expressed may be subject to change without notice. All product and company names are trademarks or registered trademarks of their respective holders. Use of them does not imply any affiliation with or endorsement by them. Seite 9 von 10

10 The Future of Information Security Today KuppingerCole supports IT professionals with outstanding expertise in defining IT strategies and in relevant decision making processes. As a leading analyst company KuppingerCole provides first-hand vendor-neutral information. Our services allow you to feel comfortable and secure in taking decisions essential to your business. KuppingerCole, founded in 2004, is a leading Europe-based analyst company for identity focused information security, both in classical and in cloud environments. KuppingerCole stands for expertise, thought leadership, and a vendor-neutral view on these information security market segments, covering all relevant aspects like Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), IT Risk Management, Authentication and Authorization, Single Sign-On, Federation, User Centric Identity Management, eid cards, Cloud Security and Management, and Virtualization. For further information, please contact clients@kuppingercole.com Kuppinger Cole Ltd. Sonnenberger Strasse Wiesbaden Germany Tel. +49 (211) Fax +49 (211)