如何合并SIM和IAM系統以降低企業風險
通常情況下,IT組織在公司內部通過它們管理的身份管理進程和技術來管理用戶訪問和授權,與此同時,IT安全組織已經通過自己的一系列策略、流程以及技術來降低風險。組織通過將這兩個功能合并在一起來增加它們的有效性,以達到1+1>2的效果。
IT安全部門已經開始在組織內部部署安全信息和事件管理系統(SIM),用它來監控和報告信息資產漏洞。通過分布在組織各處的掃描器,搜集違反信息策略的情況數據,然后使用一個可管理的計分軟件來對整體的漏洞情況做一個風險定義和報告,然后由SIM補救這些風險。雖然它變得越來越有效,但這些技術只是作為一個早期預警雷達系統,它會在一個嚴重的策略違反活動發生時識別此類事件,然后由一個分類流程來驗證并對該問題進行補救。
目前的大多數SIM系統僅被設置成關注識別事件,即敏感信息試圖從授權渠道流出公司域的事件。這樣的報告對任何組織都很重要,但經理們還是期待SIM系統可以提供更主動的信息資產漏洞管理和控制功能,而不僅僅是報告事件,來減少欺詐活動。但是這項功能只能在人這個安全因素與現在的SIM工具提供的信息相結合之后才能實現。
當安全經理們在組織內部尋找有用的用戶授權和角色信息來和他們的SIM系統數據相結合時,他們發現最完整的信息并不是來自傳統的人力資源(HR)系統,而是來自IT部門的IAM系統。與HR工具不同,這些系統是用來識別用戶在組織內部扮演的角色或責任的,這樣可以使用戶有正確的系統和信息訪問權限,方便他們履行職責。
在過去,這樣的訪問是通過管理一系列權限,比較粗放的訪問權利來實現的,但現在的趨勢是將多種權限集中于一個基于單一角色的訪問控制(RBAC)定義,這樣有利于一致性和方便管理。舉個例子,如果所有的WEB開發工程師都需要在相同的10個系統里擁有相同的20項權限才能完成他們的工作,相對于要管理200個權限(10個系統各有20項權限)來說,如果將所有這些權限放在一個RBAC對象上來進行控制的話,就會很方便,比如一個叫“WEB工程師”的對象,只要在帳戶配置過程中使用這個單一的值來賦予或去除他們的帳號即可。通過在一個RBAC模型上使用用戶身份識別和訪問控制,IT人員處理用戶帳號的入職、變更、離職就會更加快速,流程也極大地簡化,而且會更加有效。
聯合SIM和IAM降低風險
那么這兩種迥然不同的技術是如何協同工作來降低組織的風險的呢?SIM技術是安全管理者識別違反策略活動時所使用的集中化工具。但是,為了修復一個識別的漏洞,分流過程之后,還要有核實和補救該問題的過程。這通常要求一個IT安全人士更深入地鉆研所提供的信息,然后確定該活動的影響。
這個流程通常情況下是有效的,SIM工具是用來處理信息和系統的,而不是人。在很多情況下,IT安全人員需要補救一個問題,但是他卻對以下內容一無所知:某些人是否與此問題有關?他們何時被卷入此問題的?誰引起以及造成這個問題的發生?如果某些人與此問題有關,那么他們需要問一系列問題:這是一個由不滿的內部人員實施的欺詐活動嗎?是否是一個未被授權的人從公司外部獲得了內部系統的訪問權限?這是否是一件由授權用戶實施的,大部分普通用戶沒有權限完成的事?舉個例子,一個人事部的同事向外部的有利益的合作伙伴發送稅務識別號碼。這是否是因為開發員在編程過程中出現的錯誤,將敏感信息作為輸入數據從一個系統發送到另一個系統?由于這樣的信息并不存在于SIM系統的本地解決方案中,IT安全人員必須花時間去追蹤這些信息,這樣就會在決定這事件是否會給組織帶來嚴重的風險問題上,造成不必要的延誤。
舉個例子,當一個數據丟失防護(DLP)工具識別出一個安全事件,并向SIM系統報告:信用卡信息在一個信息包中被發現,此信息包正打算被傳送到組織范圍外部,已經被攔截。在SIM系統識別該事件發生的日期、時間、目標IP地址、源IP地址、用戶名和此事件的嚴重度時,它并沒有辦法獲知此次傳輸是由誰發起的,以及這個人是否被授權來發送這一類型的信息。通過訪問組織的IAM信息,SIM系統可以獲知的信息,不僅包括這個事件中被映射到這個IP地址/用戶名的用戶,而且它可以通過查看他們的角色來判斷這是否是一個授權事件。
這就意味著IAM技術扮演了一個向SIM系統提供信息的角色,它們加強并提供SIM系統需要的更完整的信息,有了這樣高可信度的信息后,可以使事件更快地被補救。SIM技術同樣也對IAM技術有益,因為它可以識別一些看起來不是很明顯的事件,比如職責分離(SOD)——舉個例子,用戶可以訪問他們自己管理的信息,或系統管理員可以在他們自己管理的系統里手動繞過授權控制。
而且通過他們的信息渠道監控功能,SIM技術可以幫助組織監控雇員們正在做什么,甚至在應用程序被移入云技術后也可以。對于位于組織內部的一些特定的外部人員實施的信息和活動,他們也可以通過這些人在IAM系統里獲得的角色予以特殊的關注。
一家銀行,3種SIM系統,超過10萬個節點,每天4千萬個事件
如果要找一個更好的試驗場來測試安全信息和事件管理系統的新功能,比如身份管理系統,你很難找出比紐約梅隆銀行更合適的地方。
這家全球性的金融服務公司使用三種不同的SIM產品,包括ArcSight的產品,它用來監控超過10萬個節點,包括終端、服務器基礎架構、網絡訪問控制系統、數據丟失保護、反惡意軟件等等。Daniel Conroy是這家公司的全球安全架構副總,他說將SIM系統與IAM和其它技術整合,比如欺詐監控是SIM系統必須要走的道路,但是這些技術,特別是身份管理,必須與這些技術整合才能實現。
IAM系統面臨的挑戰并不限于整合和實施問題,因為在任何大的組織中角色存在多樣性,以及用戶權限和訪問控制具有可變性。
“融合身份管理是它必須要走的道路,”Conroy說,“我很樂意看到SIM系統最終變得和這些工具更加互動,更具有自我意識。想象一下,你是愿意全部手工完成這些工作還是只是過去打開資產管理系統然后直接把數據拉出來呢。”
考慮到梅隆銀行的大量全球基礎架構,它無疑是SIM系統的大客戶,Conroy提到他們公司的SIM系統每天會處理超過4千萬個事件,而且他預計這個數字在他們開始監控外部連接后會再翻三倍。就現在而言,Conroy希望看到他的SIM系統在增加了新功能后,規模和質量相關性、分析和報告均能正常運轉。
“你希望它在每秒可處理的事件數量上可以升級到一定級別,某些產品如果遇到超過它可以處理的每秒可處理事件時,就會崩潰并產生一個新的問題,”Conroy說,“每秒可處理事件是SIM系統追求的目標”。#p#
重新配置IAM來與SIM系統協同工作
但是為了獲得上面所說的益處,必須要部署一些最基本的功能。當IT安全人員試圖使用RBAC和IAM技術來幫助提供更好的信息授權訪問控制時,他們發現他們當前的IAM部署并沒有合理地配置,因而無法幫助定位SIM技術正在尋找的威脅和未授權的信息泄露情況。這意味著必須要先解決一些基本的限制因素,然后才能進行兩個系統的整合工作。
唯一性:事實是沒有哪兩家公司是完全一樣的,這意味著即使在類似的行業里,定義的需要查看的用戶活動,要保護、監控、報告和控制的信息資產也會很不同。因為有很多細節不同,包括組織的規模、企業文化、管理風格、設施的位置分布、應用程序和服務的數量和類型、客戶和顧客的類型、法規遵從及報告的要求、第三方合作關系等等,這些細節將會對IT安全人員如何管理信息資產漏洞報告產生很大的影響。
授權訪問:當IAM系統阻止了非授權用戶訪問非授權系統,他們通常會在管理以非授權方式使用數據的授權用戶方面遇到困難。打個比方,一個客戶經理需要具有進入公司客戶關系管理(CRM)應用程序的完全權限,但是如果他決定在離開公司前復制出所有的客戶清單并帶走,對于這樣的情況IAM工具是不可能檢測出來的。
RBAC是一門藝術:RBAC項目是個重大活動,很多公司仍在學習如何將用戶責任和角色進行分類。在很多情況下,RBAC項目正在企業內部努力擴展這項控制機制。這意味著可能企業內部仍有很大數量的用戶并沒有通過角色被管理。而且,知識型工作者、項目經理和管理人員特別難歸類,因為他們的工作職責經常變化。如果一個SIM工具希望在理解用戶功能和職責基礎上使用RBAC對象,那么必須要先理解一個人的角色變化來防止誤報。
整合時功能減少:IAM和SIM工具在部署和設置的時候花了幾年的時間才能讓它們實現他們現在具有的那么多復雜的功能。這意味著為了將這兩種技術整合,必須花費巨大的精力才能確保在嘗試加強 組織內部的安全性時,任何整合這兩項技術的活動不會導致他們喪失現有的功能。
覆蓋的規模:當IAM和SIM技術成了組織中安全和IT架構的一部分時,他們通常并沒有在整個企業內部部署。某些業務部門、地理位置、代理機構、第三家合作伙伴以及其它可能只實施了一種技術或一種也沒有,或者他們沒有被同等地實施,因此在這些區域里這兩種技術的使用可能會受到限制。
角色vs.活動:由于SIM技術檢測一個活動,然后使用RBAC角色來確定牽涉到此事的用戶是否是被授權來做的,如果是未授權的活動,SIM系統將在評估這個漏洞的程度和組織面臨的風險時,缺乏對這個用戶的訪問范圍的了解,這樣進行補救工作的IT人員可能會詢問下列問題:這項補救任務是否有必要通過關閉用戶的訪問來防止此用戶實施進一步的活動,或者這個活動是否只是因為沒有教育用戶正確使用流程而造成的?
以上清單列出了一些在整合SIM技術和IAM技術時的主要限制因素,現實是當安全人員和IT人員坐下來討論他們各自領域的合并時,很多組織相關的問題也會浮出水面。在這兩個團隊之間進行有效的溝通是非常必要的,這樣才可以在整合兩個技術的過程中持續前進。了解和記錄好這些限制因素也是組織在整合他們的SIM和IAM技術時非常關鍵的途徑。#p#
為SIM和AIM的整合建立控制和框架
通過整合SIM和IAM,提供了將用戶訪問和數據使用及數據泄露連接起來的紐帶。充分理解所有的限制因素是成功部署的關鍵,這不僅只是對兩個技術進行整合,還需要充分理解每種技術在保護整個組織的安全性中所扮演的角色,以及他們開始協同工作后各自負責提供的功能。這個流程需要在理解IT安全管理愿意承擔的風險水平,以及所有潛在的信息資產漏洞之后才可以進行。沒有哪項技術可以完全消除漏洞和攻擊,這意味著管理人員(通常是指策略管理授權PMA)必須在如何使用這些技術工具上建立一系列的控制和框架。兩個被廣泛遵循的標準是COSO和COBIT(信息及相關技術控制目標),這兩個標準可以用來幫助解決控制和框架問題,在任何附加工作開始前定義這些控制是必須的。
一旦完成這些控制,IT安全管理人員和操作人員必須在任何可識別的風險或資產漏洞(也被稱為策略決定點,PDP)上建立控制區域。這個活動可以指導在這些組織中最容易受攻擊的區域或是那些由于經常使用和其它商業需求而必須被監控的位置上使用的任何工具軟件。當一個組織的監控能力成熟以后,監控的范圍可以系統地擴展到組織的其它區域,包括子公司、合作方、供應商及軟件即服務(SaaS)的云環境。
當控制機制的定義完成后,組織就可以通過策略和工具(也被稱為策略執行點,PEP)來強制執行。SIM和IAM技術屬于這一領域,通過提供一個集成的強制前沿,組織現在可以有效地對發生的事件進行監控、偵測以及補救工作,同時對所有的漏洞和攻擊有一個更全面的了解。除了將IAM信息集成到SIM系統把人與受監控的信息進行互動之外,還可以建立計分卡和儀表盤來識別事件,從而讓IT安全管理人員清楚組織在保護它最需要保護的信息方面做得怎么樣。此外,除了將這兩項技術整合在一起之外,安全經理們還可以站在一個更積極的立場來看待IT安全,因為他們現在不僅可以確定那些通過正確的通訊鏈路安全傳送的信息流,而且還可以確定用戶獲得了正確的授權而且只能訪問他們被授權訪問的信息。
當SIM和IAM系統的整合可以向組織提供有關IT安全有效性的更完整的描述時,還有很多其它安全機制可以幫助完成這樣的描述。其中包括:完善的策略和流程、物理安全服務、HR部門進行的員工背景調查、應用程序權限管理,還有IT安全人員的勤奮工作。但是就象美國政府正在努力將來自不同情報組織的信息匯集在一起,來識別針對美國的風險一樣,整合一個組織的不同的控制技術,如SIM和IAM,將會增加組織的安全有效性,從而來對抗內部/外部的攻擊,以及那些以前未能知曉的漏洞。
【編輯推薦】
