通常情况下,IT组织在公司内部通过它们管理的身份管理进程和技术来管理用户访问和授权,与此同时,IT安全组织已经通过自己的一系列策略、流程以及技术来降低风险。组织通过将这两个功能合并在一起来增加它们的有效性,以达到1+1>2的效果。
IT安全部门已经开始在组织内部部署安全信息和事件管理系统(SIM),用它来监控和报告信息资产漏洞。通过分布在组织各处的扫描器,搜集违反信息策略的情况数据,然后使用一个可管理的计分软件来对整体的漏洞情况做一个风险定义和报告,然后由SIM补救这些风险。虽然它变得越来越有效,但这些技术只是作为一个早期预警雷达系统,它会在一个严重的策略违反活动发生时识别此类事件,然后由一个分类流程来验证并对该问题进行补救。
目前的大多数SIM系统仅被设置成关注识别事件,即敏感信息试图从授权渠道流出公司域的事件。这样的报告对任何组织都很重要,但经理们还是期待SIM系统可以提供更主动的信息资产漏洞管理和控制功能,而不仅仅是报告事件,来减少欺诈活动。但是这项功能只能在人这个安全因素与现在的SIM工具提供的信息相结合之后才能实现。
当安全经理们在组织内部寻找有用的用户授权和角色信息来和他们的SIM系统数据相结合时,他们发现最完整的信息并不是来自传统的人力资源(HR)系统,而是来自IT部门的IAM系统。与HR工具不同,这些系统是用来识别用户在组织内部扮演的角色或责任的,这样可以使用户有正确的系统和信息访问权限,方便他们履行职责。
在过去,这样的访问是通过管理一系列权限,比较粗放的访问权利来实现的,但现在的趋势是将多种权限集中于一个基于单一角色的访问控制(RBAC)定义,这样有利于一致性和方便管理。举个例子,如果所有的WEB开发工程师都需要在相同的10个系统里拥有相同的20项权限才能完成他们的工作,相对于要管理200个权限(10个系统各有20项权限)来说,如果将所有这些权限放在一个RBAC对象上来进行控制的话,就会很方便,比如一个叫“WEB工程师”的对象,只要在帐户配置过程中使用这个单一的值来赋予或去除他们的帐号即可。通过在一个RBAC模型上使用用户身份识别和访问控制,IT人员处理用户帐号的入职、变更、离职就会更加快速,流程也极大地简化,而且会更加有效。
联合SIM和IAM降低风险
那么这两种迥然不同的技术是如何协同工作来降低组织的风险的呢?SIM技术是安全管理者识别违反策略活动时所使用的集中化工具。但是,为了修复一个识别的漏洞,分流过程之后,还要有核实和补救该问题的过程。这通常要求一个IT安全人士更深入地钻研所提供的信息,然后确定该活动的影响。
这个流程通常情况下是有效的,SIM工具是用来处理信息和系统的,而不是人。在很多情况下,IT安全人员需要补救一个问题,但是他却对以下内容一无所知:某些人是否与此问题有关?他们何时被卷入此问题的?谁引起以及造成这个问题的发生?如果某些人与此问题有关,那么他们需要问一系列问题:这是一个由不满的内部人员实施的欺诈活动吗?是否是一个未被授权的人从公司外部获得了内部系统的访问权限?这是否是一件由授权用户实施的,大部分普通用户没有权限完成的事?举个例子,一个人事部的同事向外部的有利益的合作伙伴发送税务识别号码。这是否是因为开发员在编程过程中出现的错误,将敏感信息作为输入数据从一个系统发送到另一个系统?由于这样的信息并不存在于SIM系统的本地解决方案中,IT安全人员必须花时间去追踪这些信息,这样就会在决定这事件是否会给组织带来严重的风险问题上,造成不必要的延误。
举个例子,当一个数据丢失防护(DLP)工具识别出一个安全事件,并向SIM系统报告:信用卡信息在一个信息包中被发现,此信息包正打算被传送到组织范围外部,已经被拦截。在SIM系统识别该事件发生的日期、时间、目标IP地址、源IP地址、用户名和此事件的严重度时,它并没有办法获知此次传输是由谁发起的,以及这个人是否被授权来发送这一类型的信息。通过访问组织的IAM信息,SIM系统可以获知的信息,不仅包括这个事件中被映射到这个IP地址/用户名的用户,而且它可以通过查看他们的角色来判断这是否是一个授权事件。
这就意味着IAM技术扮演了一个向SIM系统提供信息的角色,它们加强并提供SIM系统需要的更完整的信息,有了这样高可信度的信息后,可以使事件更快地被补救。SIM技术同样也对IAM技术有益,因为它可以识别一些看起来不是很明显的事件,比如职责分离(SOD)——举个例子,用户可以访问他们自己管理的信息,或系统管理员可以在他们自己管理的系统里手动绕过授权控制。
而且通过他们的信息渠道监控功能,SIM技术可以帮助组织监控雇员们正在做什么,甚至在应用程序被移入云技术后也可以。对于位于组织内部的一些特定的外部人员实施的信息和活动,他们也可以通过这些人在IAM系统里获得的角色予以特殊的关注。
一家银行,3种SIM系统,超过10万个节点,每天4千万个事件
如果要找一个更好的试验场来测试安全信息和事件管理系统的新功能,比如身份管理系统,你很难找出比纽约梅隆银行更合适的地方。
这家全球性的金融服务公司使用三种不同的SIM产品,包括ArcSight的产品,它用来监控超过10万个节点,包括终端、服务器基础架构、网络访问控制系统、数据丢失保护、反恶意软件等等。Daniel Conroy是这家公司的全球安全架构副总,他说将SIM系统与IAM和其它技术整合,比如欺诈监控是SIM系统必须要走的道路,但是这些技术,特别是身份管理,必须与这些技术整合才能实现。
IAM系统面临的挑战并不限于整合和实施问题,因为在任何大的组织中角色存在多样性,以及用户权限和访问控制具有可变性。
“融合身份管理是它必须要走的道路,”Conroy说,“我很乐意看到SIM系统最终变得和这些工具更加互动,更具有自我意识。想象一下,你是愿意全部手工完成这些工作还是只是过去打开资产管理系统然后直接把数据拉出来呢。”
考虑到梅隆银行的大量全球基础架构,它无疑是SIM系统的大客户,Conroy提到他们公司的SIM系统每天会处理超过4千万个事件,而且他预计这个数字在他们开始监控外部连接后会再翻三倍。就现在而言,Conroy希望看到他的SIM系统在增加了新功能后,规模和质量相关性、分析和报告均能正常运转。
“你希望它在每秒可处理的事件数量上可以升级到一定级别,某些产品如果遇到超过它可以处理的每秒可处理事件时,就会崩溃并产生一个新的问题,”Conroy说,“每秒可处理事件是SIM系统追求的目标”。#p#
重新配置IAM来与SIM系统协同工作
但是为了获得上面所说的益处,必须要部署一些最基本的功能。当IT安全人员试图使用RBAC和IAM技术来帮助提供更好的信息授权访问控制时,他们发现他们当前的IAM部署并没有合理地配置,因而无法帮助定位SIM技术正在寻找的威胁和未授权的信息泄露情况。这意味着必须要先解决一些基本的限制因素,然后才能进行两个系统的整合工作。
唯一性:事实是没有哪两家公司是完全一样的,这意味着即使在类似的行业里,定义的需要查看的用户活动,要保护、监控、报告和控制的信息资产也会很不同。因为有很多细节不同,包括组织的规模、企业文化、管理风格、设施的位置分布、应用程序和服务的数量和类型、客户和顾客的类型、法规遵从及报告的要求、第三方合作关系等等,这些细节将会对IT安全人员如何管理信息资产漏洞报告产生很大的影响。
授权访问:当IAM系统阻止了非授权用户访问非授权系统,他们通常会在管理以非授权方式使用数据的授权用户方面遇到困难。打个比方,一个客户经理需要具有进入公司客户关系管理(CRM)应用程序的完全权限,但是如果他决定在离开公司前复制出所有的客户清单并带走,对于这样的情况IAM工具是不可能检测出来的。
RBAC是一门艺术:RBAC项目是个重大活动,很多公司仍在学习如何将用户责任和角色进行分类。在很多情况下,RBAC项目正在企业内部努力扩展这项控制机制。这意味着可能企业内部仍有很大数量的用户并没有通过角色被管理。而且,知识型工作者、项目经理和管理人员特别难归类,因为他们的工作职责经常变化。如果一个SIM工具希望在理解用户功能和职责基础上使用RBAC对象,那么必须要先理解一个人的角色变化来防止误报。
整合时功能减少:IAM和SIM工具在部署和设置的时候花了几年的时间才能让它们实现他们现在具有的那么多复杂的功能。这意味着为了将这两种技术整合,必须花费巨大的精力才能确保在尝试加强 组织内部的安全性时,任何整合这两项技术的活动不会导致他们丧失现有的功能。
覆盖的规模:当IAM和SIM技术成了组织中安全和IT架构的一部分时,他们通常并没有在整个企业内部部署。某些业务部门、地理位置、代理机构、第三家合作伙伴以及其它可能只实施了一种技术或一种也没有,或者他们没有被同等地实施,因此在这些区域里这两种技术的使用可能会受到限制。
角色vs.活动:由于SIM技术检测一个活动,然后使用RBAC角色来确定牵涉到此事的用户是否是被授权来做的,如果是未授权的活动,SIM系统将在评估这个漏洞的程度和组织面临的风险时,缺乏对这个用户的访问范围的了解,这样进行补救工作的IT人员可能会询问下列问题:这项补救任务是否有必要通过关闭用户的访问来防止此用户实施进一步的活动,或者这个活动是否只是因为没有教育用户正确使用流程而造成的?
以上清单列出了一些在整合SIM技术和IAM技术时的主要限制因素,现实是当安全人员和IT人员坐下来讨论他们各自领域的合并时,很多组织相关的问题也会浮出水面。在这两个团队之间进行有效的沟通是非常必要的,这样才可以在整合两个技术的过程中持续前进。了解和记录好这些限制因素也是组织在整合他们的SIM和IAM技术时非常关键的途径。#p#
为SIM和AIM的整合建立控制和框架
通过整合SIM和IAM,提供了将用户访问和数据使用及数据泄露连接起来的纽带。充分理解所有的限制因素是成功部署的关键,这不仅只是对两个技术进行整合,还需要充分理解每种技术在保护整个组织的安全性中所扮演的角色,以及他们开始协同工作后各自负责提供的功能。这个流程需要在理解IT安全管理愿意承担的风险水平,以及所有潜在的信息资产漏洞之后才可以进行。没有哪项技术可以完全消除漏洞和攻击,这意味着管理人员(通常是指策略管理授权PMA)必须在如何使用这些技术工具上建立一系列的控制和框架。两个被广泛遵循的标准是COSO和COBIT(信息及相关技术控制目标),这两个标准可以用来帮助解决控制和框架问题,在任何附加工作开始前定义这些控制是必须的。
一旦完成这些控制,IT安全管理人员和操作人员必须在任何可识别的风险或资产漏洞(也被称为策略决定点,PDP)上建立控制区域。这个活动可以指导在这些组织中最容易受攻击的区域或是那些由于经常使用和其它商业需求而必须被监控的位置上使用的任何工具软件。当一个组织的监控能力成熟以后,监控的范围可以系统地扩展到组织的其它区域,包括子公司、合作方、供应商及软件即服务(SaaS)的云环境。
当控制机制的定义完成后,组织就可以通过策略和工具(也被称为策略执行点,PEP)来强制执行。SIM和IAM技术属于这一领域,通过提供一个集成的强制前沿,组织现在可以有效地对发生的事件进行监控、侦测以及补救工作,同时对所有的漏洞和攻击有一个更全面的了解。除了将IAM信息集成到SIM系统把人与受监控的信息进行互动之外,还可以建立计分卡和仪表盘来识别事件,从而让IT安全管理人员清楚组织在保护它最需要保护的信息方面做得怎么样。此外,除了将这两项技术整合在一起之外,安全经理们还可以站在一个更积极的立场来看待IT安全,因为他们现在不仅可以确定那些通过正确的通讯链路安全传送的信息流,而且还可以确定用户获得了正确的授权而且只能访问他们被授权访问的信息。
当SIM和IAM系统的整合可以向组织提供有关IT安全有效性的更完整的描述时,还有很多其它安全机制可以帮助完成这样的描述。其中包括:完善的策略和流程、物理安全服务、HR部门进行的员工背景调查、应用程序权限管理,还有IT安全人员的勤奋工作。但是就象美国政府正在努力将来自不同情报组织的信息汇集在一起,来识别针对美国的风险一样,整合一个组织的不同的控制技术,如SIM和IAM,将会增加组织的安全有效性,从而来对抗内部/外部的攻击,以及那些以前未能知晓的漏洞。
【编辑推荐】