身份和访问管理(IAM)是很棘手的领域,是因为IAM技术和标准的复杂性。最大的挑战是弄清楚如何通过IAM战略处理企业内非结构化内容。
考虑到数据位置的多样性以及数据移动的n多种方式,解决缩写挑战以及了解不同产品提供的功能是极为重要的事情。目前很多供应商提供服务来应对这一挑战,随着新供应商以及老牌供应商扩大其IAM产品范畴,这个相对较新的领域正处在快速发展中。
企业需要全面审核其可能合作的供应商,以确保其非结构化内容能得到处理。另外更复杂的是,安全专业人员都面临着这样的问题:不确定数据在哪里,不确定数据的价值以及敏感程度,也不确定数据访问权限以及数据的共享情况。与面向应用的数据不同,非结构化内容不受控制,且并没有进行很好的归档。
非结构化数据本质是隐藏的和扩展的,这让其特别容易受到攻击,因为它不在数据分类和管理范围内,无法被传统安全解决方案归为敏感数据。很多研究表明,近80%的企业内容为非结构化,并包含在最关键性业务流程中。令潜在数据威胁进一步加剧的是,内部威胁是数据泄露事故的头号原因,无论恶意的还是无意的。
“所有被监控的数据都可能包含一个身份,”Ernst&Young全球信息安全领导者Ken Allan在2016年RSA大会表示,“即使是最有害的数据(例如恶意软件)都包含一个‘签名’可连接到其创造者。”
攻击者更加频繁地利用受感染的凭证来访问企业数据,大多数恶意软件会执行与受害者相同的权限,全球管理员权限可让恶意代码访问几乎所有的数据。
Allan补充说:“托管安全服务可帮助分析企业信息,检查不必要的有害数据及恶意软件,并包含来源信息,防止数据渗透和数据泄露事故。”
回归基本方法
通过简单的报告和分析,企业可了解数据在何处并控制其访问权限,这将有助于缓解攻击,并可在数据泄露事故中加速取证调查。这还可以帮助实现合规性。通常情况下,寻找适当的工具来实现这种网络安全时,可通过供应商生态系统使用的术语更直接地进行,而不是难以理解的缩写。
隐私法律迫使企业查看所有不同类型数据的位置。企业还需要对自己的敏感数据进行定义,首先应该寻找和分类非结构化内容中的敏感数据。随着企业开始增加更多应用、更多服务器、更多设备和更多供应商,这些可能存在的问题会进一步扩大。
企业不能只是急于部署控制,而应该知道数据位于何处或者需要分类哪些数据以及哪些数据需要提供合理的安全性。同时,还需要找到这些数据,确定谁可访问数据并发现数据移动的情况。这需要构建包含自动化工具的风险框架。
现在是时候从基础层面管理非结构化数据了,例如企业应该查看敏感数据的位置、哪些系统和设备连接到这些数据以及部署的保护审计控制。
利用身份和访问管理
随着越来越多的云服务涌现,以及员工使用个人设备或远程访问企业数据,基本用户名和密码无法提供足够的安全性。
常见的还有IAM系统部署不一致的问题,通常情况下,外围系统包含企业最重要的数据,但它们只有较少的安全控制。
在去年IBM
X-Force威胁情报季度报告中,17.2%的安全专业人员回答说拒绝服务是他们发现的最常见的攻击类型。然而,超过40%的安全专家表示最常见的攻击类型是未公开的攻击。而当大多数针对企业的攻击基本上不为人所知时,对于企业来说,部署强大的IAM系统以及非结构化数据管理战略则更为重要。
大多数关键业务流程依靠某种形式的非结构化内容,并通常包含敏感信息、知识产权、财务信息以及其他重要数据。
“很多大型金融行业的企业已经意识到身份的作用,他们任命内部领导提供对身份的政策、流程和监管,并负责维持身份和数据之间关系,”Allan称,“要记住,身份可连接到很多东西,例如,无人驾驶汽车可能会生成某些信息,从而连接到某个身份。”
非结构化数据管理方法
企业领导人开始意识到非结构化内容不受控制的状况,企业面临的挑战包括如下:
◆映射现有的非结构化数据存储
◆寻找数据(例如文件夹、文件、网站)所有者以及映射关键用户群
◆分类敏感数据
◆对数据存储定义和执行授权政策
企业应该采取以下行动
◆执行实际数据访问
◆映射数据所有者、用户群和使用模式
◆分析用户和群组对数据的访问权限
◆建议更改权限以满足企业和监管政策
◆支持用户权限审查和权限授予进程
◆控制员工访问和特权
在2012年,微软称其过去五年的研究表明,几乎80%的企业内容为非结构化数据。对于这种类型的数据,企业并没有通过正式流程来授予访问权限。据微软表示,当时很多企业估计他们文件系统每年数据的增长率为30%到40%;考虑到这一点,现在映射非结构化内容不仅是持续的问题,而且可能是需要不断深化的问题。
在企业发现、映射和分类非结构化内容后,他们必须审查其IAM政策和系统。对于保护这类数据免受恶意软件和其他威胁,最后一条建议是控制员工特权。FireEye公司系统工程师Jens Monrad表示,大多数恶意代码能够使用与受感染个体相同的权限来访问数据。
在2016年RSA大会接受采访时,STELTHbits Technologies公司产品营销高级副总裁Adam Laub表示,“如果我有域管理凭证,并使用它登录到面向公众的系统中,那么,成功的网络钓鱼攻击可利用该凭证来进入域控制器,这几乎可危及整个域。”
企业还需要查看行为以及授权,以更好地支持整个环境。
“如今的攻击者获得越来越多的凭证,他们在横向移动,”Laub补充说,“如果企业能够捕捉认证信息,就可以看到模式和异常情况,从而更快速地发现这种类型的活动。”
虽然对于提升和改善安全和风险管理来说会涉及到很多方面,但企业应该先了解他们有多少非结构化数据,以及构建适当的身份及访问控制保护这些内容。
作者:Sean Martin
来源:51CTO