Varonis е добре познат доставчик на решения за сигурност на данните. Неговият продукт DatAdvantage е сърцето на неговата платформа за сигурност на данните и дава на потребителите пълна видимост и контрол върху техните критични данни и хибридна ИТ инфраструктура. Той предоставя ясна представа кой има достъп до какво. Колкото и да е добър Varonis, решихме, че би било интересно да разгледаме набързо какви алтернативи има за него. Ние се концентрирахме върху един аспект на Varonis: анализ на разрешенията. В крайна сметка, ако това е цялата функционалност, от която се нуждаете, Varonis може да е твърде много за вас. Претърсихме пазара в търсене на най-добрите алтернативи на Varonis за анализ на разрешенията и се радваме да представим нашите открития.
Но преди да прегледаме различните алтернативи, ще разгледаме по-задълбочено инструмента Varonis DatAdvantage и ще видим какво точно прави. Това ще ни помогне да оценим наличните алтернативи. Ще проучим също разрешенията и управлението на правата за достъп, тъй като те са ключови елементи на анализа на разрешенията. Накрая ще прегледаме най-добрите алтернативи, които бихме могли да намерим, и ще опишем най-добрите и най-интересните характеристики на всеки продукт.
Съдържание
Относно Варонис
Varonis Systems е американо-израелска компания, която разработи софтуерна платформа за сигурност, която позволява на организациите да проследяват, визуализират, анализират и защитават своите неструктурирани данни. Varonis извършва анализ на поведението на потребителите, за да идентифицира необичайно поведение и да защити корпоративните данни от кибератаки. Софтуерът използва метаданни, събрани от инфраструктурата на организацията, за да картографира взаимоотношенията между служителите, обекти от данни, съдържание и използване.
Продуктът DatAdvantage на компанията показва кой може и кой има достъп до данни във файлови системи и имейл. Той може да покаже къде потребителите имат твърде много достъп и безопасно да автоматизира промените в списъците за контрол на достъпа и групите за сигурност. Като такъв, той предлага повече от много конкурентни инструменти за управление на разрешения.
DatAdvantage е двупосочен инструмент. Можете да изберете ресурс и да видите кой има достъп до него или можете да изберете потребител или група, за да видите всичко, до което имат достъп. Инструментът ще разбере вложени групи, разрешения и наследяване. Той дори ще идентифицира папки, където разрешенията не функционират правилно.
Алгоритъмът за машинно обучение на инструмента, задвижван от изкуствен интелект, може също да идентифицира потребители с ненужен достъп и да препоръча мерки за смекчаване. Това е бърз и точен начин за намаляване на риска. Промените в разрешенията могат да бъдат моделирани в пясъчна среда, преди да бъдат ангажирани само с няколко щраквания.
Необходимостта от управление на правата за достъп
Всички знаем, че нарушенията на данните са станали често срещано явление. Може да се изкушим да мислим, че това се прави само от злонамерени хакери и престъпници или от тайни организации с достъп до сложни технологии, но за съжаление това е далеч от истината. Въпреки че външните атаки съществуват, част – ако не и по-голямата част – от риска идва отвътре.
Вътрешните рискове могат да бъдат под различни форми. Безскрупулните служители може да търсят начин да спечелят бързи пари, като продават поверителни данни на конкуренти. Пробивите на данни също могат да се случат случайно. Например служителите може да не знаят за политиките за сигурност или просто да имат твърде много достъп до данни и други ресурси.
Някои от основните причини за вътрешни атаки са прекомерните привилегии за достъп, нарастващия брой устройства с достъп до поверителни данни и цялостната нарастваща сложност на информационните системи. Предоставянето на ограничен достъп на потребителите до споделени файлове, Active Directory и други ресурси в рамките на организацията въз основа на реални нужди е един от най-добрите начини за намаляване на възможността както от злонамерени, така и от случайни атаки и пробиви и загуби на данни.
Това обаче е по-лесно да се каже, отколкото да се направи. Днешните мрежи често се разпространяват в широки географски области и се състоят от хиляди устройства. Управлението на правата за достъп може бързо да се превърне в огромна задача, пълна с рискове и клопки от всякакъв вид. Тук инструментите за управление на правата за достъп могат да бъдат полезни.
Разрешения накратко
Разрешенията се отнасят до това, което даден потребител има право да прави с конкретен файл, директория или други ресурси. Съществуват няколко основни разрешения като четене, писане, модифициране, изпълнение и изброяване на съдържанието на папката. Пълният контрол е друго основно разрешение, което предоставя на потребителя всяко друго разрешение за ресурс. Има и разширени разрешения за много специфични действия като атрибути за четене, разрешения за четене, промяна на разрешения или поемане на собственост, само за да назовем няколко.
Списъците за контрол на достъпа (ACL) се използват за присвояване на разрешение на обекти във файлова система, където всеки обект има ACL, който определя какво разрешение има всеки потребител или група потребители върху него. В повечето йерархични файлови системи обектите наследяват разрешението на своя родител. Например файл ще наследи разрешенията на папката, която го съдържа.
Най-добрите алтернативи на Varonis
Има много продукти, които се занимават с управление на правата за достъп и анализ на разрешенията. Те споделят обща цел, като помагат на администраторите да гарантират, че никой няма достъп до ресурси, от които не се нуждаят, като същевременно гарантират, че всеки има достъп до това, от което се нуждае. Някои от продуктите в нашите списъци са широки инструменти за управление на правата за достъп, докато други са по-прости инструменти за анализ на разрешения. Опитахме се да включим различни инструменти, за да ви дадем по-добра представа какво е налично.
1- Мениджър на правата за достъп до SolarWinds (БЕЗПЛАТНА пробна версия)
Мениджърът на правата за достъп на SolarWinds (ARM) е създаден, за да помогне на мрежовите администратори да следят оторизацията на потребителите и разрешенията за достъп. Той е насочен към улесняване на обезпечаването и депровизирането на потребителите, проследяването и наблюдението. Той помага за минимизиране на шансовете за вътрешни атаки, като предлага лесен начин за управление и наблюдение на потребителските разрешения и гарантира, че не се дават ненужни разрешения.
SolarWinds Access Rights Manager разполага с интуитивно табло за управление на потребителите, където можете да създавате, променяте, изтривате, активирате и деактивирате потребителски достъп до различни файлове и папки. Той също така предлага специфични за ролите шаблони, които лесно дават на потребителите достъп до конкретни ресурси във вашата мрежа. Можете да използвате този инструмент за лесно създаване и изтриване на потребители само с няколко щраквания. Това е само малка извадка от възможностите на инструмента. Ето по-подробен поглед върху някои от най-интересните функции на инструмента.
Можете да използвате този инструмент за наблюдение и одит на промените в обектите на Active Directory и груповите политики. Той също така позволява на човек да види кой какви промени е направил, както и тяхната дата и час. Това улеснява откриването на неоторизирани потребители и злонамерени или невежи действия, една от първите стъпки за поддържане на контрол върху правата за достъп и информиране за всички потенциални проблеми, преди те да имат неблагоприятен ефект.
Мониторингът на AD, GPO, файлове и папки е едно нещо — и важно — но SolarWinds Access Rights Manager отива много по-далеч от това. Можете не само да го използвате за управление на потребители, но също така можете да анализирате кои потребители са имали достъп до кои услуги и ресурси. Продуктът ви дава безпрецедентна видимост в членството в групите в Active Directory и файловите сървъри. Това поставя вас, администратора, в една от най-добрите позиции за предотвратяване на вътрешни атаки.
Никой инструмент не е завършен, ако не може да докладва какво прави и какво открива. Ако имате нужда от инструмент, който може да генерира доказателства, които да се използват в случай на бъдещи спорове или евентуални съдебни спорове, този инструмент е за вас. И ако имате нужда от подробни отчети за целите на одита и за спазване на спецификациите, определени от регулаторните стандарти, които се прилагат за вашия бизнес, вие също ще ги намерите.
Мениджърът на правата за достъп на SolarWinds лесно ще ви позволи да генерирате страхотни отчети, които директно адресират опасенията на одиторите и спазването на регулаторните стандарти. Те могат да бъдат създадени бързо и лесно само с няколко щраквания. Отчетите могат да включват всяка информация, за която се сетите. Например, регистрационните дейности в Active Directory и достъпите до файловия сървър могат да бъдат включени в отчет. От вас зависи да ги направите толкова обобщени или подробни, колкото ви е необходимо.
SolarWinds Active Rights Manager дава на мрежовите администратори възможността да оставят управлението на правата за достъп за даден обект в ръцете на човека, който го е създал. Например, потребителят може да определи кой има достъп до създаден от него файл. Този вид система за саморазрешаване играе важна роля за предотвратяване на неоторизиран достъп до информация. Има смисъл: кой знае кой трябва да има по-добър достъп до ресурс от този, който го е създал? Това се прави чрез уеб-базиран портал за самостоятелно разрешение, който улеснява собствениците на ресурси да обработват заявки за достъп и да задават разрешения.
Мениджърът на правата за достъп на SolarWinds може също да се използва за оценка, в реално време и по всяко време, нивото на риск на вашата организация. Той изчислява процент на риска за всеки потребител въз основа на тяхното ниво на достъп и разрешения за ресурс. Тази функция го прави удобно за мрежовите администратори и/или членовете на екипа по сигурността да имат пълна видимост върху активността на потребителите и нивото на риск, породен от всеки потребител. Знаейки кои потребители имат най-високи нива на риск, ще ви позволи да ги наблюдавате по-отблизо.
Този инструмент не само се занимава с управлението на правата на Active Directory, но също така ще се грижи за правата на Microsoft Exchange. Продуктът може значително да ви помогне да опростите наблюдението и одита на правата на Exchange, както и да ви помогне да предотвратите пробиви на данни. Може да проследява промените в пощенски кутии, папки на пощенска кутия, календари и публични папки. Можете също да използвате диспечера на правата за достъп SolarWinds с SharePoint. Системата за управление на потребителите на инструмента ще покаже разрешенията на SharePoint в дървовидна структура и ще позволи на администраторите бързо да видят кой е упълномощен за достъп до даден ресурс на SharePoint.
Едно е да имате автоматизирана система, която следи вашата среда, но освен ако не сте уведомени, когато се открие нещо странно, пропускате смисъла. За тази цел системата за предупреждение на SolarWinds Access Rights Manager е ненадмината. Той ще информира обслужващия персонал за случващото се в мрежата, като издава сигнали за предварително определени събития. Сред типовете събития, които могат да задействат сигнали, са промените на файловете и промените в разрешенията. Тези сигнали могат да помогнат за смекчаване и предотвратяване на изтичане на данни.
Мениджърът на правата за достъп на SolarWinds се лицензира въз основа на броя на активираните потребители в Active Directory. Активиран потребител е или активен потребителски акаунт, или акаунт за услуга. Цените за продукта започват от $2 995 за до 100 активни потребители. За повече потребители (до 10 000) подробни цени могат да бъдат получени, като се свържете с отдела за продажби на SolarWinds. Ако искате да изпробвате инструмента, преди да го закупите, можете да получите безплатна, неограничена за потребителя 30-дневна пробна версия.
2- Инструмент за отчитане на ефективни разрешения на Netwrix
Отчитането на ефективни разрешения на Netwrix е безплатен инструмент от Netwrix, директен конкурент на Varonis, който дава представа за това кой има разрешения за какъв ресурс между Active Directory и споделените файлове. Инструментът ще ви помогне да се уверите, че разрешенията на служителите съответстват на действителните им роли в организацията. Чрез отчетите на системата администраторите могат да видят на потребителите членство в AD група и разрешения за споделяне на файлове с един поглед, заедно с подробности за това дали тези разрешения са били изрично назначени или наследени.
Инструментът за отчитане на ефективни разрешения на Netwrix предоставя полезна информация, която можете директно да използвате, за да оттеглите ненужни права за достъп. Това може да помогне да се гарантира, че потребителите имат само разрешенията, от които се нуждаят, за да вършат работата си. Освен това може да помогне за намаляване на общите рискове за сигурността, като направи ценните ви данни достъпни само от отговарящи на условията потребители. Въпреки че е лесен за използване инструмент, той ви позволява бързо да проследявате разрешенията на всеки потребител в Active Directory и файловите сървъри и ви предоставя готови за използване отчети само с няколко щраквания.
Този инструмент може също да ви помогне да осигурите съответствие, като ви помогне при събирането на доказателства, че всички разрешения са в съответствие с длъжностните характеристики и ролите на служителите в организацията. Това често се изисква от регулаторни рамки като SOX или PCI-DSS, например.
Има само един недостатък на инструмента за отчитане на ефективни разрешения на Netwrix. Това е еднопосочен инструмент и като такъв ще покаже ефективните разрешения, притежавани от конкретен потребител или група, но не може да ви покаже ефективните разрешения за конкретен файл или директория.
3- STEALTHbits
STEALTHbits предлага набор от решения за управление и сигурност на Active Directory, които позволяват на организациите да одитират и почистват Active Directory, да валидират разрешенията и да управляват правата за достъп, да се връщат назад и да се възстановяват от нежелани промени и да наблюдават и откриват заплахи в реално време. Инструментът предлага широка защита за вашите важни данни. Чрез почистване и строго регулиране на достъпа човек може ефективно да защити Active Directory от атаки, както отвътре, така и отвън.
Една от основните функции на инструмента е AD одит. Той ще инвентаризира, анализира и докладва за Active Directory с цел да го подсигури и оптимизира. STEALTHbits също така извършва одит на промените в Active Directory, което ви позволява да постигнете сигурност и съответствие чрез отчитане в реално време, предупреждение и блокиране на промените. Функцията за почистване на Active Directory на продукта, която можете да използвате за почистване на остарели AD обекти, токсични условия и собственици на групи, е друга от най-полезните му функции.
Одитирането и отчитането на разрешенията за Active Directory на STEALTHbits могат да се използват за отчитане на AD домейна, организационните единици и разрешенията за обекти. Инструментът също така предлага връщане и възстановяване на Active Directory за лесно отмяна на нежелани промени в Active Directory и консолидиране на домейни, за да ви позволи да поемете контрола над Active Directory чрез лесен работен процес.
4- ManageEngine ADManager Plus
ManageEngine е друго добре известно име сред мрежовите и системните администратори. Неговият набор от инструменти на ADManager Plus включва репортера за разрешения NTFS, инструмент, който ви позволява да управлявате разрешенията в движение направо от помощната програма за отчитане на ADManager Plus.
ADManager Plus генерира и също така експортира отчети за разрешенията за достъп до всички NTFS папки, както и файлове и техните свойства за Windows файлови сървъри в лесно разбираем формат. Това може да помогне на администраторите бързо да преглеждат и анализират настройките за сигурност на ниво файл в техните среди. Генерираните отчети могат да бъдат експортирани в excel, CSV, HTML, PDF и CSVDE формати за по-нататъшна обработка от външни инструменти.
Някои от отчетите, генерирани от този инструмент, включват отчета за споделяния в сървърите, който показва всички споделени ресурси, налични в посочените сървъри, заедно с важни подробности като местоположението им, списъка с акаунти с разрешения за споделянията, както и свързаните с тях разрешения, и обхвата на разрешенията. Отчетът Папки, достъпни от акаунти, изброява папките и файловете, за които посочените акаунти имат разрешения. Можете да проверите за папки в определен път и допълнително да дефинирате нивото на достъп, за да генерирате резултатите. Това са само някои от наличните отчети, които да ви дадат представа какво може да направи инструментът за вас.
ManageEngine ADManager Plus се предлага в безплатно и професионално издание. Безплатното издание ви позволява да управлявате и отчитате до 100 обекта в един домейн. Професионалното издание се инсталира безплатно и може да бъде оценено за 30 дни, след което автоматично се връща към ограниченията на Безплатното издание, освен ако не бъде закупен лиценз за Professional Edition. За подробности относно различните налични издания и техните цени, трябва да се свържете с ManageEngine.