通常情況下，IT組織在公司內(nèi)部通過它們管理的身份管理進程和技術(shù)來管理用戶訪問和授權(quán)，與此同時，IT安全組織已經(jīng)通過自己的一系列策略、流程以及技術(shù)來降低風險。組織通過將這兩個功能合并在一起來增加它們的有效性，以達到1+1>2的效果。

IT安全部門已經(jīng)開始在組織內(nèi)部部署安全信息和事件管理系統(tǒng)（SIM），用它來監(jiān)控和報告信息資產(chǎn)漏洞。通過分布在組織各處的掃描器，搜集違反信息策略的情況數(shù)據(jù)，然后使用一個可管理的計分軟件來對整體的漏洞情況做一個風險定義和報告，然后由SIM補救這些風險。雖然它變得越來越有效，但這些技術(shù)只是作為一個早期預警雷達系統(tǒng)，它會在一個嚴重的策略違反活動發(fā)生時識別此類事件，然后由一個分類流程來驗證并對該問題進行補救。

目前的大多數(shù)SIM系統(tǒng)僅被設(shè)置成關(guān)注識別事件，即敏感信息試圖從授權(quán)渠道流出公司域的事件。這樣的報告對任何組織都很重要，但經(jīng)理們還是期待SIM系統(tǒng)可以提供更主動的信息資產(chǎn)漏洞管理和控制功能，而不僅僅是報告事件，來減少欺詐活動。但是這項功能只能在人這個安全因素與現(xiàn)在的SIM工具提供的信息相結(jié)合之后才能實現(xiàn)。

當安全經(jīng)理們在組織內(nèi)部尋找有用的用戶授權(quán)和角色信息來和他們的SIM系統(tǒng)數(shù)據(jù)相結(jié)合時，他們發(fā)現(xiàn)最完整的信息并不是來自傳統(tǒng)的人力資源（HR）系統(tǒng)，而是來自IT部門的IAM系統(tǒng)。與HR工具不同，這些系統(tǒng)是用來識別用戶在組織內(nèi)部扮演的角色或責任的，這樣可以使用戶有正確的系統(tǒng)和信息訪問權(quán)限，方便他們履行職責。

在過去，這樣的訪問是通過管理一系列權(quán)限，比較粗放的訪問權(quán)利來實現(xiàn)的，但現(xiàn)在的趨勢是將多種權(quán)限集中于一個基于單一角色的訪問控制（RBAC）定義，這樣有利于一致性和方便管理。舉個例子，如果所有的WEB開發(fā)工程師都需要在相同的10個系統(tǒng)里擁有相同的20項權(quán)限才能完成他們的工作，相對于要管理200個權(quán)限（10個系統(tǒng)各有20項權(quán)限）來說，如果將所有這些權(quán)限放在一個RBAC對象上來進行控制的話，就會很方便，比如一個叫“WEB工程師”的對象，只要在帳戶配置過程中使用這個單一的值來賦予或去除他們的帳號即可。通過在一個RBAC模型上使用用戶身份識別和訪問控制，IT人員處理用戶帳號的入職、變更、離職就會更加快速，流程也極大地簡化，而且會更加有效。

聯(lián)合SIM和IAM降低風險

那么這兩種迥然不同的技術(shù)是如何協(xié)同工作來降低組織的風險的呢？SIM技術(shù)是安全管理者識別違反策略活動時所使用的集中化工具。但是，為了修復一個識別的漏洞，分流過程之后，還要有核實和補救該問題的過程。這通常要求一個IT安全人士更深入地鉆研所提供的信息，然后確定該活動的影響。

這個流程通常情況下是有效的，SIM工具是用來處理信息和系統(tǒng)的，而不是人。在很多情況下，IT安全人員需要補救一個問題，但是他卻對以下內(nèi)容一無所知：某些人是否與此問題有關(guān)？他們何時被卷入此問題的？誰引起以及造成這個問題的發(fā)生？如果某些人與此問題有關(guān)，那么他們需要問一系列問題：這是一個由不滿的內(nèi)部人員實施的欺詐活動嗎？是否是一個未被授權(quán)的人從公司外部獲得了內(nèi)部系統(tǒng)的訪問權(quán)限？這是否是一件由授權(quán)用戶實施的，大部分普通用戶沒有權(quán)限完成的事？舉個例子，一個人事部的同事向外部的有利益的合作伙伴發(fā)送稅務識別號碼。這是否是因為開發(fā)員在編程過程中出現(xiàn)的錯誤，將敏感信息作為輸入數(shù)據(jù)從一個系統(tǒng)發(fā)送到另一個系統(tǒng)？由于這樣的信息并不存在于SIM系統(tǒng)的本地解決方案中，IT安全人員必須花時間去追蹤這些信息，這樣就會在決定這事件是否會給組織帶來嚴重的風險問題上，造成不必要的延誤。

舉個例子，當一個數(shù)據(jù)丟失防護（DLP）工具識別出一個安全事件，并向SIM系統(tǒng)報告：信用卡信息在一個信息包中被發(fā)現(xiàn)，此信息包正打算被傳送到組織范圍外部，已經(jīng)被攔截。在SIM系統(tǒng)識別該事件發(fā)生的日期、時間、目標IP地址、源IP地址、用戶名和此事件的嚴重度時，它并沒有辦法獲知此次傳輸是由誰發(fā)起的，以及這個人是否被授權(quán)來發(fā)送這一類型的信息。通過訪問組織的IAM信息，SIM系統(tǒng)可以獲知的信息，不僅包括這個事件中被映射到這個IP地址/用戶名的用戶，而且它可以通過查看他們的角色來判斷這是否是一個授權(quán)事件。

這就意味著IAM技術(shù)扮演了一個向SIM系統(tǒng)提供信息的角色，它們加強并提供SIM系統(tǒng)需要的更完整的信息，有了這樣高可信度的信息后，可以使事件更快地被補救。SIM技術(shù)同樣也對IAM技術(shù)有益，因為它可以識別一些看起來不是很明顯的事件，比如職責分離（SOD）——舉個例子，用戶可以訪問他們自己管理的信息，或系統(tǒng)管理員可以在他們自己管理的系統(tǒng)里手動繞過授權(quán)控制。

而且通過他們的信息渠道監(jiān)控功能，SIM技術(shù)可以幫助組織監(jiān)控雇員們正在做什么，甚至在應用程序被移入云技術(shù)后也可以。對于位于組織內(nèi)部的一些特定的外部人員實施的信息和活動，他們也可以通過這些人在IAM系統(tǒng)里獲得的角色予以特殊的關(guān)注。

一家銀行，3種SIM系統(tǒng)，超過10萬個節(jié)點，每天4千萬個事件

如果要找一個更好的試驗場來測試安全信息和事件管理系統(tǒng)的新功能，比如身份管理系統(tǒng)，你很難找出比紐約梅隆銀行更合適的地方。

這家全球性的金融服務公司使用三種不同的SIM產(chǎn)品，包括ArcSight的產(chǎn)品，它用來監(jiān)控超過10萬個節(jié)點，包括終端、服務器基礎(chǔ)架構(gòu)、網(wǎng)絡(luò)訪問控制系統(tǒng)、數(shù)據(jù)丟失保護、反惡意軟件等等。Daniel Conroy是這家公司的全球安全架構(gòu)副總，他說將SIM系統(tǒng)與IAM和其它技術(shù)整合，比如欺詐監(jiān)控是SIM系統(tǒng)必須要走的道路，但是這些技術(shù)，特別是身份管理，必須與這些技術(shù)整合才能實現(xiàn)。

IAM系統(tǒng)面臨的挑戰(zhàn)并不限于整合和實施問題，因為在任何大的組織中角色存在多樣性，以及用戶權(quán)限和訪問控制具有可變性。

“融合身份管理是它必須要走的道路，”Conroy說，“我很樂意看到SIM系統(tǒng)最終變得和這些工具更加互動，更具有自我意識。想象一下，你是愿意全部手工完成這些工作還是只是過去打開資產(chǎn)管理系統(tǒng)然后直接把數(shù)據(jù)拉出來呢?！?/P>

考慮到梅隆銀行的大量全球基礎(chǔ)架構(gòu)，它無疑是SIM系統(tǒng)的大客戶，Conroy提到他們公司的SIM系統(tǒng)每天會處理超過4千萬個事件，而且他預計這個數(shù)字在他們開始監(jiān)控外部連接后會再翻三倍。就現(xiàn)在而言，Conroy希望看到他的SIM系統(tǒng)在增加了新功能后，規(guī)模和質(zhì)量相關(guān)性、分析和報告均能正常運轉(zhuǎn)。

“你希望它在每秒可處理的事件數(shù)量上可以升級到一定級別，某些產(chǎn)品如果遇到超過它可以處理的每秒可處理事件時，就會崩潰并產(chǎn)生一個新的問題，”Conroy說，“每秒可處理事件是SIM系統(tǒng)追求的目標”。#p#

重新配置IAM來與SIM系統(tǒng)協(xié)同工作

但是為了獲得上面所說的益處，必須要部署一些最基本的功能。當IT安全人員試圖使用RBAC和IAM技術(shù)來幫助提供更好的信息授權(quán)訪問控制時，他們發(fā)現(xiàn)他們當前的IAM部署并沒有合理地配置，因而無法幫助定位SIM技術(shù)正在尋找的威脅和未授權(quán)的信息泄露情況。這意味著必須要先解決一些基本的限制因素，然后才能進行兩個系統(tǒng)的整合工作。

唯一性：事實是沒有哪兩家公司是完全一樣的，這意味著即使在類似的行業(yè)里，定義的需要查看的用戶活動，要保護、監(jiān)控、報告和控制的信息資產(chǎn)也會很不同。因為有很多細節(jié)不同，包括組織的規(guī)模、企業(yè)文化、管理風格、設(shè)施的位置分布、應用程序和服務的數(shù)量和類型、客戶和顧客的類型、法規(guī)遵從及報告的要求、第三方合作關(guān)系等等，這些細節(jié)將會對IT安全人員如何管理信息資產(chǎn)漏洞報告產(chǎn)生很大的影響。

授權(quán)訪問：當IAM系統(tǒng)阻止了非授權(quán)用戶訪問非授權(quán)系統(tǒng)，他們通常會在管理以非授權(quán)方式使用數(shù)據(jù)的授權(quán)用戶方面遇到困難。打個比方，一個客戶經(jīng)理需要具有進入公司客戶關(guān)系管理（CRM）應用程序的完全權(quán)限，但是如果他決定在離開公司前復制出所有的客戶清單并帶走，對于這樣的情況IAM工具是不可能檢測出來的。

RBAC是一門藝術(shù)：RBAC項目是個重大活動，很多公司仍在學習如何將用戶責任和角色進行分類。在很多情況下，RBAC項目正在企業(yè)內(nèi)部努力擴展這項控制機制。這意味著可能企業(yè)內(nèi)部仍有很大數(shù)量的用戶并沒有通過角色被管理。而且，知識型工作者、項目經(jīng)理和管理人員特別難歸類，因為他們的工作職責經(jīng)常變化。如果一個SIM工具希望在理解用戶功能和職責基礎(chǔ)上使用RBAC對象，那么必須要先理解一個人的角色變化來防止誤報。

整合時功能減少：IAM和SIM工具在部署和設(shè)置的時候花了幾年的時間才能讓它們實現(xiàn)他們現(xiàn)在具有的那么多復雜的功能。這意味著為了將這兩種技術(shù)整合，必須花費巨大的精力才能確保在嘗試加強 組織內(nèi)部的安全性時，任何整合這兩項技術(shù)的活動不會導致他們喪失現(xiàn)有的功能。

覆蓋的規(guī)模：當IAM和SIM技術(shù)成了組織中安全和IT架構(gòu)的一部分時，他們通常并沒有在整個企業(yè)內(nèi)部部署。某些業(yè)務部門、地理位置、代理機構(gòu)、第三家合作伙伴以及其它可能只實施了一種技術(shù)或一種也沒有，或者他們沒有被同等地實施，因此在這些區(qū)域里這兩種技術(shù)的使用可能會受到限制。

角色vs.活動：由于SIM技術(shù)檢測一個活動，然后使用RBAC角色來確定牽涉到此事的用戶是否是被授權(quán)來做的，如果是未授權(quán)的活動，SIM系統(tǒng)將在評估這個漏洞的程度和組織面臨的風險時，缺乏對這個用戶的訪問范圍的了解，這樣進行補救工作的IT人員可能會詢問下列問題：這項補救任務是否有必要通過關(guān)閉用戶的訪問來防止此用戶實施進一步的活動，或者這個活動是否只是因為沒有教育用戶正確使用流程而造成的？

以上清單列出了一些在整合SIM技術(shù)和IAM技術(shù)時的主要限制因素，現(xiàn)實是當安全人員和IT人員坐下來討論他們各自領(lǐng)域的合并時，很多組織相關(guān)的問題也會浮出水面。在這兩個團隊之間進行有效的溝通是非常必要的，這樣才可以在整合兩個技術(shù)的過程中持續(xù)前進。了解和記錄好這些限制因素也是組織在整合他們的SIM和IAM技術(shù)時非常關(guān)鍵的途徑。#p#

為SIM和AIM的整合建立控制和框架

通過整合SIM和IAM，提供了將用戶訪問和數(shù)據(jù)使用及數(shù)據(jù)泄露連接起來的紐帶。充分理解所有的限制因素是成功部署的關(guān)鍵，這不僅只是對兩個技術(shù)進行整合，還需要充分理解每種技術(shù)在保護整個組織的安全性中所扮演的角色，以及他們開始協(xié)同工作后各自負責提供的功能。這個流程需要在理解IT安全管理愿意承擔的風險水平，以及所有潛在的信息資產(chǎn)漏洞之后才可以進行。沒有哪項技術(shù)可以完全消除漏洞和攻擊，這意味著管理人員（通常是指策略管理授權(quán)PMA）必須在如何使用這些技術(shù)工具上建立一系列的控制和框架。兩個被廣泛遵循的標準是COSO和COBIT（信息及相關(guān)技術(shù)控制目標），這兩個標準可以用來幫助解決控制和框架問題，在任何附加工作開始前定義這些控制是必須的。

一旦完成這些控制，IT安全管理人員和操作人員必須在任何可識別的風險或資產(chǎn)漏洞（也被稱為策略決定點，PDP）上建立控制區(qū)域。這個活動可以指導在這些組織中最容易受攻擊的區(qū)域或是那些由于經(jīng)常使用和其它商業(yè)需求而必須被監(jiān)控的位置上使用的任何工具軟件。當一個組織的監(jiān)控能力成熟以后，監(jiān)控的范圍可以系統(tǒng)地擴展到組織的其它區(qū)域，包括子公司、合作方、供應商及軟件即服務（SaaS）的云環(huán)境。

當控制機制的定義完成后，組織就可以通過策略和工具（也被稱為策略執(zhí)行點，PEP）來強制執(zhí)行。SIM和IAM技術(shù)屬于這一領(lǐng)域，通過提供一個集成的強制前沿，組織現(xiàn)在可以有效地對發(fā)生的事件進行監(jiān)控、偵測以及補救工作，同時對所有的漏洞和攻擊有一個更全面的了解。除了將IAM信息集成到SIM系統(tǒng)把人與受監(jiān)控的信息進行互動之外，還可以建立計分卡和儀表盤來識別事件，從而讓IT安全管理人員清楚組織在保護它最需要保護的信息方面做得怎么樣。此外，除了將這兩項技術(shù)整合在一起之外，安全經(jīng)理們還可以站在一個更積極的立場來看待IT安全，因為他們現(xiàn)在不僅可以確定那些通過正確的通訊鏈路安全傳送的信息流，而且還可以確定用戶獲得了正確的授權(quán)而且只能訪問他們被授權(quán)訪問的信息。

當SIM和IAM系統(tǒng)的整合可以向組織提供有關(guān)IT安全有效性的更完整的描述時，還有很多其它安全機制可以幫助完成這樣的描述。其中包括：完善的策略和流程、物理安全服務、HR部門進行的員工背景調(diào)查、應用程序權(quán)限管理，還有IT安全人員的勤奮工作。但是就象美國政府正在努力將來自不同情報組織的信息匯集在一起，來識別針對美國的風險一樣，整合一個組織的不同的控制技術(shù)，如SIM和IAM，將會增加組織的安全有效性，從而來對抗內(nèi)部/外部的攻擊，以及那些以前未能知曉的漏洞。  

【編輯推薦】

1. 事件響應機制探討：合并SIM系統(tǒng)和IAM系統(tǒng)
2. 系統(tǒng)攻防