IT安全與合規

通過集成安全與身份管理，公司可簡化合規工作並變得更安全。

根據 IDC 的報告，在 2011 年，公司企業預計在身份和訪問管理軟件上面將花費 40 億美元。 在安全和漏洞管理軟件方面預計會花費 25 億美元。 雖然在這些方面進行投資有許多很好的理由，但對公司企業來說過度花費肯定是毫無理由的。 不幸的是，有太多的公司的確如此。

為什麼會是這樣？ 首先，當今大多數企業都必須遵守眾多的法律法規： Sarbanes-Oxley, the Health Information Portability and Accountability Act, the Payment Card Industry Data Security Standard, the Federal Information Security Management Act … 並且這個清單還在不斷加長。 當今的安全威脅清單也不是這麼短。 在了解到攻擊也發生升級變化後，如極光行動和殭屍網絡對公司數據進行攻擊，複雜的蠕蟲如 Stuxnet 針對行業控制系統進行攻擊，為了遠離這些類型的風險就需要採取精心煉製的堅固防禦措施。

試圖預測未來總是一個危險的遊戲，但完全無疑可以肯定的是，法律法規會不斷加強、安全威脅會不斷增加這 2 個趨勢不僅會繼續，而且還會加劇。 現在，在某種程度上難以測算的是為什麼一些公司企業在強有力的安全和合規姿態方面不僅比其它單位準備得更多，而且這麼做的時候還更具成本效益？ 為什麼會是這樣？

我們認為這在很大程度上是方法問題。 許多公司企業相信，如果合規他們就會安全；或是認為反面是對的：如果是安全的，一定就合規。 不幸的是這是​​十種近視的想法；至今尚只有很少的公司企業具有寬廣的視野，以一種盡可能統一的方式對安全和合規這二者進行統一管理。 結果是，那些公司企業準備了許多構想拙劣的冗餘的合規和安全控制措施。 例如，在日誌文件中有多少安全數據只是在那裡睡大覺？ 有多少發生在網絡上的安全事件可用來減緩攻擊，但卻視如無物？ 如果根據那些信息採取相應行動公司企業會變得有多安全？

來看看 Verizon Business 2010 數據外洩調查報告吧， 86% 的數據外洩受害者在他們的審計日誌都存有外洩證據， 61% 的受害者自己並沒有發現外洩事件 – 他們是被第三方告知後才知曉的。 多令人尷尬啊！ 而遺憾的是，那些攻擊和那份尷尬是完全可以避免的。 在談到合規時，許多公司企業進展的也不是很好。 根據 2009 Deloitte 年度全球安全調查，過度的訪問權限是最常見的外部和內部審計問題。

公司企業可以 - 也需要 – 做的更好。

這可以通過在合情合理且可能的地方將安全技術與合規工作進行合併而實現。 大體上看，兩類技術在合規與安全方面有著至關重要的作用。 然而這兩類技術常常是分開管理的。 第一個是身份和訪問管理。 不管是安全問題還是合規問題，或者僅僅是好的 IT 管理，知道誰訪問了什麼都是最基本的。 如果某個員工在一家公司工作的時間足夠長，最終都會獲得對許多許多應用和服務的訪問權。 而一個員工獲得的權力越大，越難在他離開公司或職位變化時從他手裡撤銷那些權力。 這就帶來嚴重的安全弱點和合規缺陷。 這也是為什麼每家公司企業理解誰可訪問什麼並具有一個認證處理過程對訪問進行驗證、確保員工在任何時候具有的都是正確的應用和資源訪問權限是至關重要的。 而與身份和訪問管理同樣重要的是，對於一家運轉良好的企業，通過自身保持單位的安全或合規肯定是不夠的。

這就引出了安全事件和信息管理（ SEIM ）系統。SEIM 工具，通過鑑別和集成與安全相關的信息和事件，可實時識別可疑活動和事件。 這些事件包括從不尋常的登錄企圖到惡意網絡活動的方方面面。 這種能力對於安全和合規法規來說是必不可少的。 在當今威脅快速變化的年代， 3 個月前的合規審計報告已不能適應要求。 這也是為什麼首先要考慮安全的原因。

我們所需要的是一個系統，能提供實時的、與安全和身份相關的事件的視窗。 這又意味著什麼呢？ 它意味著隨著事件在整個 IT 基礎設施上的發生，該系統是實時、持續地在根據策略對身份、訪問、和安全信息進行關聯。 如果觀察到任何反常行為，那麼就會立即通告相關人員。 通過根據實時安全事件採取相應行動，促進安全缺陷的修正，公司企業可更快地緩解風險。 這要比一次季度性身份審計快捷多了。

這樣的集成可具有強大威力。 來看看 2010 年 1 月金融服務公司 Lincoln National 的案例吧，該案例發現了一起具有嚴重後果的安全和合規策略違法事件。 這是在 2009 年 8 月發現的，不是由 Lincoln National 公司發現的而是由一條發給金融行業監管局（ FINRA ）的匿名提示發現的，之後通知給了 Lincoln National 公司。 通知發出不久之後，一家法庭安全公司受僱進行一次調查，揭示出 Lincoln National 公司的一些僱員和其一家子公司， Lincoln Financial Advisers ，在使用共享的用戶名和口令訪問產品包信息管理系統。 共查出早在 2002 年就已創建的 6 個共享的用戶名和口令。

要想發現這類情形的唯一方法就是因勢部署安全能力，監控並將用戶身份與他們的行為進行關聯。 通過將身份與 SIEM 能力進行集成，這將是可能的。 這種集成是最直截了當的發現類似用戶名和口令共享的方式。 在 Lincoln national 公司的案例中，這項工作早該在 8 年前就去做。

以這種方式利用身份、系統日誌、和實時安全信息會更容易發現系統中的合規策略違規問題，因此在洩密發生之前，或發現審計問題之前，就該設置起來。 它也使得成功執行整體風險治理計劃成為可能。 除了提升安全與合規水平，這些努力還會降低成本。 通過將所有信息關聯起來，可以消除複製處理，無效處理得以改進。

這也使更好地記錄安全與策略合規行為成為可能，將簡化審計的處理過程並消減額外成本。 最終，公司企業將能實現他們所需要的目標：挾著剪貼板奔忙的人更少了，公司行走在一條改良的、具有成本效益的安全與合規之路上。