Novell技术专栏:撼动IT安全的错觉

通过更好地利用身份、系统日志、和实时安全事件信息,可实现更高水平的IT安全和合规管理,同时降低相关成本。

在过去的10年中,各家公司企业都已在安全与合规管理方面投入数百万资金。但现实情况却非常不幸,他们花费很多却没有换得什么安全或合规保障。至今,许多公司企业仍不具备确保或确证他们的系统是安全且符合法律规定的能力。为什么会是这样的一种情形?这是因为许多公司企业常常是以战术性或特别对待的方式投入人力和技术对待这些问题,而不是作为系统性挑战处理安全与合规。

如今有那么多公司企业处于这样的困境当中也存在可以理解的一面,因为安全弱点和攻击途径总是在变,而管控规章也在变。实际上,我们的许多客户必须要遵循许多不同的管控规定,其中包括HIPAA、Sarbanes-Oxley,还有各种不同的地区数据外泄通知法规、欧盟指令、PCI DSS等等。而与合规相关的成本又很高并且处于上升态势 – 因为企业太多依赖相互间根本不同的管理框架,和费钱的重复性人工努力。AMR研究公司指出,治理、风险和合规预算的三分之二是被指定用于和人员有关的开支,如人工和服务。

成本如此高的原因有许多。公司内存在太多不良构想和重复性合规控制。安全数据在日志文件中睡大觉。在所部属的端点安全产品中,如果有的话,只存在很少的协同配合。结果就是人群绕着办公室跑,手动更新剪贴板和电子表单,常常造成这些东西在最终的审计报告要打印时早就过期了。

同样令人遗憾的是,有太多的公司企业将这种水平的合规仍然看作是"安全的"。Verizon Business RISK Team 所做2009数据外泄调查报告曾对90起共影响到2亿8千5百万条记录的数据外泄事件进行评估,发现在这些事件中竟有令人惊讶的82%的高比例是存在可表明即将有问题发生的数据的,但却没被识别出来或采取相应行动。

为了扭转这种不利形势,彻底减缓或避免数据外泄,并降低实现合规的成本,公司企业需要找到一种方法,将所有为此而备的人员、处理过程和技术进行改进整合。

这意味着要建立起对公司企业有意义的安全与合规策略,然后利用技术 – 例如身份管理、日志管理、和安全信息与事件管理 – 使安全和策略合规的执行和验证工作自动化。这不是说要一个接着一个地不停部署新的安全应用;而是要建立起一套程序,使用正确的人员和处理过程管理安全与合规,而技术在那里确保人员和处理过程按照设定好的策略进行操作。

另外,通过将内部策略与特定管控规章的要求进行影射,合规工作可得到简化效率提高,同时使风险降低。下面的一个例子可作为管理员系统账户之类的特权账户的管理方式。如何管理对这些账户的访问可能影响到许多不同的管控规章,一个最佳方法是创建一个单独的特权用户账户策略在整个公司内使用。该策略至少应满足每一个适用的管控规章的要求,如果没有超越要求的话。其它的例子还包括弱点、日志、身份、和防火墙变动管理策略。在所有这些案例中,当内部策略根据公司企业所需要的最佳安全状况进行调整时,所有的合规重担都会随后得到满足。这将使成本降低 – 以及减少手拿剪贴板和电子表单四处跑动的人群 – 同时提高安全与合规水平。

为确保安全与合规工作可前摄性地以这种方式得到管理,有三类技术是必不可少的:身份和访问管理、日志管理、和安全信息与事件管理。原因如下:
身份和访问管理,具有访问认证能力。不管是关于安全、合规还是仅仅是良好的管理,知晓并控制谁对什么具有访问权都是基础。我们常开玩笑说如果一个人在一家公司待的时间足够长,他最终将被赋予所有东西的访问权。一个员工得到的权力越多,在他变动岗位或离开时越难将这些权力移除。这会带来严重的安全弱点和合规缺陷。原因非常简单,过度的应用或系统访问权会导致过度的组织风险。这也是为什么每个组织需了解谁对什么具有访问权是至关重要的。实施自动化的控制,根据工作和角色调整员工的访问权限,以及一个持续保证适当水平的访问权限的认证过程,将确保员工始终对应用和资源具有正确的访问权限。

日志管理。所有企业都存储有大量关于发生在他们的网络上、平台上和应用中的活动的信息。这其中既包括应用和数据库日志中、身份和访问管理库中、网络设备日志中的安全和合规信息,也包括其它系统的信息。实际上,企业存储超出它们所能管理的信息量是非常普遍的事情。令人担心的是这些日志常常是在"竖井"中存储和处理的。这种安全数据隔离的状况意味着对这些日志进行分析的人通常得到的企业真实安全状况是不完整的。

如上述数据外泄调查报告所示,即使不能避免,但公司企业是握有可警示数据外泄问题的数据的,他们只是不能从这些数据店铺当中以一种有意义的方式挑选出正确的信息并进行关联。

可借以采取措施,实时的安全事件信息。通过在整个企业范围内实时鉴别和整合与安全有关的信息和事件,可疑活动和事件可被立即发现并得到缓解。这些活动和事件可包括从异常登录企图到恶意网络活动等的各个方面。这种能力对于安全和合规管理是必不可少的。使用3个月前的合规审计报告来检验安全策略不能达到目的。这和牛群走失90天后再报告牛棚大门未关闭时一样的问题。实时分析使我们在牛群离开之前就将牛棚大门紧闭起来。这是任何良好的IT安全计划都应在其目标中包括的内容。

以这种方式利用身份、系统日志、和实时安全信息使得系统出现策略合规问题时更容易发现,并在审计发现数据外泄或更严重的损害之前进行正确设置。它还使成功地执行全面风险治理计划成为可能。除了提高安全与合规水平,这些做法还将使成本降低。通过将所有这些信息进行关联,重复性处理过程得以消除,低效的处理过程得以改进。更好地记录对于安全和策略合规的坚持也成为可能,因此使审计过程简化更具效率,也消减了额外成本。这么做使公司企业可应对当今的管理问题和安全威胁,同时提供一种基础设施为明天的合规需要和风险做出准备。简而言之,公司企业将能够实现他们所期望的景象:较少的人拿着剪贴板四处跑动,经过改进的最具成本效益的可持续的安全与合规之路。