通常情況下，IT組織在公司內(nèi)部通過(guò)它們管理的身份管理進(jìn)程和技術(shù)來(lái)管理用戶訪問(wèn)和授權(quán)，與此同時(shí)，IT安全組織已經(jīng)通過(guò)自己的一系列策略、流程以及技術(shù)來(lái)降低風(fēng)險(xiǎn)。組織通過(guò)將這兩個(gè)功能合并在一起來(lái)增加它們的有效性，以達(dá)到1+1>2的效果。

IT安全部門已經(jīng)開(kāi)始在組織內(nèi)部部署安全信息和事件管理系統(tǒng)（SIM），用它來(lái)監(jiān)控和報(bào)告信息資產(chǎn)漏洞。通過(guò)分布在組織各處的掃描器，搜集違反信息策略的情況數(shù)據(jù)，然后使用一個(gè)可管理的計(jì)分軟件來(lái)對(duì)整體的漏洞情況做一個(gè)風(fēng)險(xiǎn)定義和報(bào)告，然后由SIM補(bǔ)救這些風(fēng)險(xiǎn)。雖然它變得越來(lái)越有效，但這些技術(shù)只是作為一個(gè)早期預(yù)警雷達(dá)系統(tǒng)，它會(huì)在一個(gè)嚴(yán)重的策略違反活動(dòng)發(fā)生時(shí)識(shí)別此類事件，然后由一個(gè)分類流程來(lái)驗(yàn)證并對(duì)該問(wèn)題進(jìn)行補(bǔ)救。

目前的大多數(shù)SIM系統(tǒng)僅被設(shè)置成關(guān)注識(shí)別事件，即敏感信息試圖從授權(quán)渠道流出公司域的事件。這樣的報(bào)告對(duì)任何組織都很重要，但經(jīng)理們還是期待SIM系統(tǒng)可以提供更主動(dòng)的信息資產(chǎn)漏洞管理和控制功能，而不僅僅是報(bào)告事件，來(lái)減少欺詐活動(dòng)。但是這項(xiàng)功能只能在人這個(gè)安全因素與現(xiàn)在的SIM工具提供的信息相結(jié)合之后才能實(shí)現(xiàn)。

當(dāng)安全經(jīng)理們?cè)诮M織內(nèi)部尋找有用的用戶授權(quán)和角色信息來(lái)和他們的SIM系統(tǒng)數(shù)據(jù)相結(jié)合時(shí)，他們發(fā)現(xiàn)最完整的信息并不是來(lái)自傳統(tǒng)的人力資源（HR）系統(tǒng)，而是來(lái)自IT部門的IAM系統(tǒng)。與HR工具不同，這些系統(tǒng)是用來(lái)識(shí)別用戶在組織內(nèi)部扮演的角色或責(zé)任的，這樣可以使用戶有正確的系統(tǒng)和信息訪問(wèn)權(quán)限，方便他們履行職責(zé)。

在過(guò)去，這樣的訪問(wèn)是通過(guò)管理一系列權(quán)限，比較粗放的訪問(wèn)權(quán)利來(lái)實(shí)現(xiàn)的，但現(xiàn)在的趨勢(shì)是將多種權(quán)限集中于一個(gè)基于單一角色的訪問(wèn)控制（RBAC）定義，這樣有利于一致性和方便管理。舉個(gè)例子，如果所有的WEB開(kāi)發(fā)工程師都需要在相同的10個(gè)系統(tǒng)里擁有相同的20項(xiàng)權(quán)限才能完成他們的工作，相對(duì)于要管理200個(gè)權(quán)限（10個(gè)系統(tǒng)各有20項(xiàng)權(quán)限）來(lái)說(shuō)，如果將所有這些權(quán)限放在一個(gè)RBAC對(duì)象上來(lái)進(jìn)行控制的話，就會(huì)很方便，比如一個(gè)叫“WEB工程師”的對(duì)象，只要在帳戶配置過(guò)程中使用這個(gè)單一的值來(lái)賦予或去除他們的帳號(hào)即可。通過(guò)在一個(gè)RBAC模型上使用用戶身份識(shí)別和訪問(wèn)控制，IT人員處理用戶帳號(hào)的入職、變更、離職就會(huì)更加快速，流程也極大地簡(jiǎn)化，而且會(huì)更加有效。

聯(lián)合SIM和IAM降低風(fēng)險(xiǎn)

那么這兩種迥然不同的技術(shù)是如何協(xié)同工作來(lái)降低組織的風(fēng)險(xiǎn)的呢？SIM技術(shù)是安全管理者識(shí)別違反策略活動(dòng)時(shí)所使用的集中化工具。但是，為了修復(fù)一個(gè)識(shí)別的漏洞，分流過(guò)程之后，還要有核實(shí)和補(bǔ)救該問(wèn)題的過(guò)程。這通常要求一個(gè)IT安全人士更深入地鉆研所提供的信息，然后確定該活動(dòng)的影響。

這個(gè)流程通常情況下是有效的，SIM工具是用來(lái)處理信息和系統(tǒng)的，而不是人。在很多情況下，IT安全人員需要補(bǔ)救一個(gè)問(wèn)題，但是他卻對(duì)以下內(nèi)容一無(wú)所知：某些人是否與此問(wèn)題有關(guān)？他們何時(shí)被卷入此問(wèn)題的？誰(shuí)引起以及造成這個(gè)問(wèn)題的發(fā)生？如果某些人與此問(wèn)題有關(guān)，那么他們需要問(wèn)一系列問(wèn)題：這是一個(gè)由不滿的內(nèi)部人員實(shí)施的欺詐活動(dòng)嗎？是否是一個(gè)未被授權(quán)的人從公司外部獲得了內(nèi)部系統(tǒng)的訪問(wèn)權(quán)限？這是否是一件由授權(quán)用戶實(shí)施的，大部分普通用戶沒(méi)有權(quán)限完成的事？舉個(gè)例子，一個(gè)人事部的同事向外部的有利益的合作伙伴發(fā)送稅務(wù)識(shí)別號(hào)碼。這是否是因?yàn)殚_(kāi)發(fā)員在編程過(guò)程中出現(xiàn)的錯(cuò)誤，將敏感信息作為輸入數(shù)據(jù)從一個(gè)系統(tǒng)發(fā)送到另一個(gè)系統(tǒng)？由于這樣的信息并不存在于SIM系統(tǒng)的本地解決方案中，IT安全人員必須花時(shí)間去追蹤這些信息，這樣就會(huì)在決定這事件是否會(huì)給組織帶來(lái)嚴(yán)重的風(fēng)險(xiǎn)問(wèn)題上，造成不必要的延誤。

舉個(gè)例子，當(dāng)一個(gè)數(shù)據(jù)丟失防護(hù)（DLP）工具識(shí)別出一個(gè)安全事件，并向SIM系統(tǒng)報(bào)告：信用卡信息在一個(gè)信息包中被發(fā)現(xiàn)，此信息包正打算被傳送到組織范圍外部，已經(jīng)被攔截。在SIM系統(tǒng)識(shí)別該事件發(fā)生的日期、時(shí)間、目標(biāo)IP地址、源IP地址、用戶名和此事件的嚴(yán)重度時(shí)，它并沒(méi)有辦法獲知此次傳輸是由誰(shuí)發(fā)起的，以及這個(gè)人是否被授權(quán)來(lái)發(fā)送這一類型的信息。通過(guò)訪問(wèn)組織的IAM信息，SIM系統(tǒng)可以獲知的信息，不僅包括這個(gè)事件中被映射到這個(gè)IP地址/用戶名的用戶，而且它可以通過(guò)查看他們的角色來(lái)判斷這是否是一個(gè)授權(quán)事件。

這就意味著IAM技術(shù)扮演了一個(gè)向SIM系統(tǒng)提供信息的角色，它們加強(qiáng)并提供SIM系統(tǒng)需要的更完整的信息，有了這樣高可信度的信息后，可以使事件更快地被補(bǔ)救。SIM技術(shù)同樣也對(duì)IAM技術(shù)有益，因?yàn)樗梢宰R(shí)別一些看起來(lái)不是很明顯的事件，比如職責(zé)分離（SOD）——舉個(gè)例子，用戶可以訪問(wèn)他們自己管理的信息，或系統(tǒng)管理員可以在他們自己管理的系統(tǒng)里手動(dòng)繞過(guò)授權(quán)控制。

而且通過(guò)他們的信息渠道監(jiān)控功能，SIM技術(shù)可以幫助組織監(jiān)控雇員們正在做什么，甚至在應(yīng)用程序被移入云技術(shù)后也可以。對(duì)于位于組織內(nèi)部的一些特定的外部人員實(shí)施的信息和活動(dòng)，他們也可以通過(guò)這些人在IAM系統(tǒng)里獲得的角色予以特殊的關(guān)注。

一家銀行，3種SIM系統(tǒng)，超過(guò)10萬(wàn)個(gè)節(jié)點(diǎn)，每天4千萬(wàn)個(gè)事件

如果要找一個(gè)更好的試驗(yàn)場(chǎng)來(lái)測(cè)試安全信息和事件管理系統(tǒng)的新功能，比如身份管理系統(tǒng)，你很難找出比紐約梅隆銀行更合適的地方。

這家全球性的金融服務(wù)公司使用三種不同的SIM產(chǎn)品，包括ArcSight的產(chǎn)品，它用來(lái)監(jiān)控超過(guò)10萬(wàn)個(gè)節(jié)點(diǎn)，包括終端、服務(wù)器基礎(chǔ)架構(gòu)、網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)、數(shù)據(jù)丟失保護(hù)、反惡意軟件等等。Daniel Conroy是這家公司的全球安全架構(gòu)副總，他說(shuō)將SIM系統(tǒng)與IAM和其它技術(shù)整合，比如欺詐監(jiān)控是SIM系統(tǒng)必須要走的道路，但是這些技術(shù)，特別是身份管理，必須與這些技術(shù)整合才能實(shí)現(xiàn)。

IAM系統(tǒng)面臨的挑戰(zhàn)并不限于整合和實(shí)施問(wèn)題，因?yàn)樵谌魏未蟮慕M織中角色存在多樣性，以及用戶權(quán)限和訪問(wèn)控制具有可變性。

“融合身份管理是它必須要走的道路，”Conroy說(shuō)，“我很樂(lè)意看到SIM系統(tǒng)最終變得和這些工具更加互動(dòng)，更具有自我意識(shí)。想象一下，你是愿意全部手工完成這些工作還是只是過(guò)去打開(kāi)資產(chǎn)管理系統(tǒng)然后直接把數(shù)據(jù)拉出來(lái)呢?！?/P>

考慮到梅隆銀行的大量全球基礎(chǔ)架構(gòu)，它無(wú)疑是SIM系統(tǒng)的大客戶，Conroy提到他們公司的SIM系統(tǒng)每天會(huì)處理超過(guò)4千萬(wàn)個(gè)事件，而且他預(yù)計(jì)這個(gè)數(shù)字在他們開(kāi)始監(jiān)控外部連接后會(huì)再翻三倍。就現(xiàn)在而言，Conroy希望看到他的SIM系統(tǒng)在增加了新功能后，規(guī)模和質(zhì)量相關(guān)性、分析和報(bào)告均能正常運(yùn)轉(zhuǎn)。

“你希望它在每秒可處理的事件數(shù)量上可以升級(jí)到一定級(jí)別，某些產(chǎn)品如果遇到超過(guò)它可以處理的每秒可處理事件時(shí)，就會(huì)崩潰并產(chǎn)生一個(gè)新的問(wèn)題，”Conroy說(shuō)，“每秒可處理事件是SIM系統(tǒng)追求的目標(biāo)”。#p#

重新配置IAM來(lái)與SIM系統(tǒng)協(xié)同工作

但是為了獲得上面所說(shuō)的益處，必須要部署一些最基本的功能。當(dāng)IT安全人員試圖使用RBAC和IAM技術(shù)來(lái)幫助提供更好的信息授權(quán)訪問(wèn)控制時(shí)，他們發(fā)現(xiàn)他們當(dāng)前的IAM部署并沒(méi)有合理地配置，因而無(wú)法幫助定位SIM技術(shù)正在尋找的威脅和未授權(quán)的信息泄露情況。這意味著必須要先解決一些基本的限制因素，然后才能進(jìn)行兩個(gè)系統(tǒng)的整合工作。

唯一性：事實(shí)是沒(méi)有哪兩家公司是完全一樣的，這意味著即使在類似的行業(yè)里，定義的需要查看的用戶活動(dòng)，要保護(hù)、監(jiān)控、報(bào)告和控制的信息資產(chǎn)也會(huì)很不同。因?yàn)橛泻芏嗉?xì)節(jié)不同，包括組織的規(guī)模、企業(yè)文化、管理風(fēng)格、設(shè)施的位置分布、應(yīng)用程序和服務(wù)的數(shù)量和類型、客戶和顧客的類型、法規(guī)遵從及報(bào)告的要求、第三方合作關(guān)系等等，這些細(xì)節(jié)將會(huì)對(duì)IT安全人員如何管理信息資產(chǎn)漏洞報(bào)告產(chǎn)生很大的影響。

授權(quán)訪問(wèn)：當(dāng)IAM系統(tǒng)阻止了非授權(quán)用戶訪問(wèn)非授權(quán)系統(tǒng)，他們通常會(huì)在管理以非授權(quán)方式使用數(shù)據(jù)的授權(quán)用戶方面遇到困難。打個(gè)比方，一個(gè)客戶經(jīng)理需要具有進(jìn)入公司客戶關(guān)系管理（CRM）應(yīng)用程序的完全權(quán)限，但是如果他決定在離開(kāi)公司前復(fù)制出所有的客戶清單并帶走，對(duì)于這樣的情況IAM工具是不可能檢測(cè)出來(lái)的。

RBAC是一門藝術(shù)：RBAC項(xiàng)目是個(gè)重大活動(dòng)，很多公司仍在學(xué)習(xí)如何將用戶責(zé)任和角色進(jìn)行分類。在很多情況下，RBAC項(xiàng)目正在企業(yè)內(nèi)部努力擴(kuò)展這項(xiàng)控制機(jī)制。這意味著可能企業(yè)內(nèi)部仍有很大數(shù)量的用戶并沒(méi)有通過(guò)角色被管理。而且，知識(shí)型工作者、項(xiàng)目經(jīng)理和管理人員特別難歸類，因?yàn)樗麄兊墓ぷ髀氊?zé)經(jīng)常變化。如果一個(gè)SIM工具希望在理解用戶功能和職責(zé)基礎(chǔ)上使用RBAC對(duì)象，那么必須要先理解一個(gè)人的角色變化來(lái)防止誤報(bào)。

整合時(shí)功能減少：IAM和SIM工具在部署和設(shè)置的時(shí)候花了幾年的時(shí)間才能讓它們實(shí)現(xiàn)他們現(xiàn)在具有的那么多復(fù)雜的功能。這意味著為了將這兩種技術(shù)整合，必須花費(fèi)巨大的精力才能確保在嘗試加強(qiáng) 組織內(nèi)部的安全性時(shí)，任何整合這兩項(xiàng)技術(shù)的活動(dòng)不會(huì)導(dǎo)致他們喪失現(xiàn)有的功能。

覆蓋的規(guī)模：當(dāng)IAM和SIM技術(shù)成了組織中安全和IT架構(gòu)的一部分時(shí)，他們通常并沒(méi)有在整個(gè)企業(yè)內(nèi)部部署。某些業(yè)務(wù)部門、地理位置、代理機(jī)構(gòu)、第三家合作伙伴以及其它可能只實(shí)施了一種技術(shù)或一種也沒(méi)有，或者他們沒(méi)有被同等地實(shí)施，因此在這些區(qū)域里這兩種技術(shù)的使用可能會(huì)受到限制。

角色vs.活動(dòng)：由于SIM技術(shù)檢測(cè)一個(gè)活動(dòng)，然后使用RBAC角色來(lái)確定牽涉到此事的用戶是否是被授權(quán)來(lái)做的，如果是未授權(quán)的活動(dòng)，SIM系統(tǒng)將在評(píng)估這個(gè)漏洞的程度和組織面臨的風(fēng)險(xiǎn)時(shí)，缺乏對(duì)這個(gè)用戶的訪問(wèn)范圍的了解，這樣進(jìn)行補(bǔ)救工作的IT人員可能會(huì)詢問(wèn)下列問(wèn)題：這項(xiàng)補(bǔ)救任務(wù)是否有必要通過(guò)關(guān)閉用戶的訪問(wèn)來(lái)防止此用戶實(shí)施進(jìn)一步的活動(dòng)，或者這個(gè)活動(dòng)是否只是因?yàn)闆](méi)有教育用戶正確使用流程而造成的？

以上清單列出了一些在整合SIM技術(shù)和IAM技術(shù)時(shí)的主要限制因素，現(xiàn)實(shí)是當(dāng)安全人員和IT人員坐下來(lái)討論他們各自領(lǐng)域的合并時(shí)，很多組織相關(guān)的問(wèn)題也會(huì)浮出水面。在這兩個(gè)團(tuán)隊(duì)之間進(jìn)行有效的溝通是非常必要的，這樣才可以在整合兩個(gè)技術(shù)的過(guò)程中持續(xù)前進(jìn)。了解和記錄好這些限制因素也是組織在整合他們的SIM和IAM技術(shù)時(shí)非常關(guān)鍵的途徑。#p#

為SIM和AIM的整合建立控制和框架

通過(guò)整合SIM和IAM，提供了將用戶訪問(wèn)和數(shù)據(jù)使用及數(shù)據(jù)泄露連接起來(lái)的紐帶。充分理解所有的限制因素是成功部署的關(guān)鍵，這不僅只是對(duì)兩個(gè)技術(shù)進(jìn)行整合，還需要充分理解每種技術(shù)在保護(hù)整個(gè)組織的安全性中所扮演的角色，以及他們開(kāi)始協(xié)同工作后各自負(fù)責(zé)提供的功能。這個(gè)流程需要在理解IT安全管理愿意承擔(dān)的風(fēng)險(xiǎn)水平，以及所有潛在的信息資產(chǎn)漏洞之后才可以進(jìn)行。沒(méi)有哪項(xiàng)技術(shù)可以完全消除漏洞和攻擊，這意味著管理人員（通常是指策略管理授權(quán)PMA）必須在如何使用這些技術(shù)工具上建立一系列的控制和框架。兩個(gè)被廣泛遵循的標(biāo)準(zhǔn)是COSO和COBIT（信息及相關(guān)技術(shù)控制目標(biāo)），這兩個(gè)標(biāo)準(zhǔn)可以用來(lái)幫助解決控制和框架問(wèn)題，在任何附加工作開(kāi)始前定義這些控制是必須的。

一旦完成這些控制，IT安全管理人員和操作人員必須在任何可識(shí)別的風(fēng)險(xiǎn)或資產(chǎn)漏洞（也被稱為策略決定點(diǎn)，PDP）上建立控制區(qū)域。這個(gè)活動(dòng)可以指導(dǎo)在這些組織中最容易受攻擊的區(qū)域或是那些由于經(jīng)常使用和其它商業(yè)需求而必須被監(jiān)控的位置上使用的任何工具軟件。當(dāng)一個(gè)組織的監(jiān)控能力成熟以后，監(jiān)控的范圍可以系統(tǒng)地?cái)U(kuò)展到組織的其它區(qū)域，包括子公司、合作方、供應(yīng)商及軟件即服務(wù)（SaaS）的云環(huán)境。

當(dāng)控制機(jī)制的定義完成后，組織就可以通過(guò)策略和工具（也被稱為策略執(zhí)行點(diǎn)，PEP）來(lái)強(qiáng)制執(zhí)行。SIM和IAM技術(shù)屬于這一領(lǐng)域，通過(guò)提供一個(gè)集成的強(qiáng)制前沿，組織現(xiàn)在可以有效地對(duì)發(fā)生的事件進(jìn)行監(jiān)控、偵測(cè)以及補(bǔ)救工作，同時(shí)對(duì)所有的漏洞和攻擊有一個(gè)更全面的了解。除了將IAM信息集成到SIM系統(tǒng)把人與受監(jiān)控的信息進(jìn)行互動(dòng)之外，還可以建立計(jì)分卡和儀表盤來(lái)識(shí)別事件，從而讓IT安全管理人員清楚組織在保護(hù)它最需要保護(hù)的信息方面做得怎么樣。此外，除了將這兩項(xiàng)技術(shù)整合在一起之外，安全經(jīng)理們還可以站在一個(gè)更積極的立場(chǎng)來(lái)看待IT安全，因?yàn)樗麄儸F(xiàn)在不僅可以確定那些通過(guò)正確的通訊鏈路安全傳送的信息流，而且還可以確定用戶獲得了正確的授權(quán)而且只能訪問(wèn)他們被授權(quán)訪問(wèn)的信息。

當(dāng)SIM和IAM系統(tǒng)的整合可以向組織提供有關(guān)IT安全有效性的更完整的描述時(shí)，還有很多其它安全機(jī)制可以幫助完成這樣的描述。其中包括：完善的策略和流程、物理安全服務(wù)、HR部門進(jìn)行的員工背景調(diào)查、應(yīng)用程序權(quán)限管理，還有IT安全人員的勤奮工作。但是就象美國(guó)政府正在努力將來(lái)自不同情報(bào)組織的信息匯集在一起，來(lái)識(shí)別針對(duì)美國(guó)的風(fēng)險(xiǎn)一樣，整合一個(gè)組織的不同的控制技術(shù)，如SIM和IAM，將會(huì)增加組織的安全有效性，從而來(lái)對(duì)抗內(nèi)部/外部的攻擊，以及那些以前未能知曉的漏洞。  

【編輯推薦】

1. 事件響應(yīng)機(jī)制探討：合并SIM系統(tǒng)和IAM系統(tǒng)
2. 系統(tǒng)攻防