提高企業身份和訪問管理(IAM)的等級不僅能夠幫助企業改善系統帳戶的整體安全性,這樣做還可以在部署技術或程序之前和之后確定應該花費在身份驗證工作上的開支。這種提升要從良好的IAM標準以及部署商業智能(BI)分析原則開始。
“我們的咨詢工作主要集中部署商業智能概念和技術上以驗證新的IAM解決方案或者從停滯或有問題的部署中獲取最大投資回報率,”Identropy公司市場營銷副總裁Ranjeet Vidwans表示。
很多企業往往忘記定期檢查是否遵循IAM標準,而這是非常重要的工作。
“很多公司認為它們部署了IAM系統后就算完事了,但是要讓這些系統有效發揮作用,你必須定期檢查控制和系統的效力,”nCircle公司的產品策略副總裁Jim Acquaviva表示,“IAM標準應該稱為每個全面安全風險管理計劃的一部分。”
安全專家認為以下七種IAM衡量標準將幫助企業了解身份和訪問管理系統的有效性:
1. 身份供應、授權或取消供應的時間
“側重于身份供應和取消供應(provisioning and deprovisioning),特別是側重于具有特權的關鍵系統和用戶的標準對于IAM的有效性是至關重要的,”Acquaviva表示,“雖然在整個企業收集和審查這些標準有一定作用,但是花點時間來對關鍵系統和特權用戶進行分類才能加強對高風險系統的管理。”
對身份取消供應的平均時間進行跟蹤可以讓企業了解到,當員工離開企業時,撤銷權限方面的政策的有效性。定期跟蹤這種趨勢可以顯示撤銷權限工作是在不斷改善還是在倒退。同時,身份供應和授權的時間可以顯示員工在獲取所需要資源前的業務中斷時間。
“十次中會有九次出現問題,員工未能及時獲取對應用程序的訪問從而造成業務中斷,”Vidwans表示,“這些標準標志著企業業務流程需要進行審查,并進行調整。如果有三個不同的人需要獲得授權,而其中一個人遇到瓶頸?(授權的平均時間)就可以指示如何有效地進行授權。”
2. “幽靈帳戶”的數量
很多企業并沒有跟蹤企業內存在的幽靈帳戶(沒有用戶的帳戶的數量)數量,但是他們清除他們應該這樣做,Enterprise Management Associates公司的分析師Scott Crawford表示。
“這是顯而易見的:誰會希望那些不屬于任何用戶的特權帳戶存在于企業系統?”Vidwans說道。
根據Acquaviva表示,鏟除那些沒有主人的活躍帳戶主要有兩個好處。
“可能存在取消供應錯誤,或者他們可能有‘后門’進入你的系統,”他表示,“無論哪種方式,快速發現和解決這些問題將大大降低風險。”Crawford也認為將這個標準作為一個功能定期運行的話會更有用。
“幽靈帳戶的數量的發展趨勢將會顯示消除幽靈帳戶工作方面的進展,”Crawford表示。同時,對30天、60天或者90天沒有活動的帳戶進行追蹤,這些帳戶可能需要被關閉。“這些都是取消供應的候選名單,”Crawford表示。
3. 密碼標準
強度弱的密碼、舊密碼和過期密碼的帳戶都會增加企業的風險。“這些問題大多是不言自明的,但是密碼標準還會對密碼政策提供一個反饋機制,”Acquaviva表示,“如果政策過于嚴格或者完全被忽視的話,在這些指標中將會很清楚的顯示。”
4. 失敗登陸
同時,Vidwans表示失敗登陸數量通常能夠反映問題。
“比方說,當出現大量用戶的帳戶被鎖定,在四次嘗試后帳戶將被鎖定。這是否意味著用戶在猜測其他人的密碼?”他表示,“或者密碼政策過于嚴格,用戶經常忘記他們的密碼,因為他們太久或者過于頻繁地更改密碼。”定期進行跟蹤,Acquaviva表示,“高于正常水平的活動峰值可能意味著惡意活動。”
5. 手動密碼重置
你的用戶多久會手動重置密碼或者在一定時間內需求服務臺幫助?如果這個數字很高的話,那么這意味著企業需要部署一個不同的程序來幫助用戶鎖定他們的帳戶。“這意味著將需要自動化密碼自助服務,”Crawford表示,“這里的趨勢將會顯示部署密碼自助服務的好處。”
6. 異常訪問事件
Crawford表示這個標準也不太可能經常被使用,但是這個標準能夠幫助發現惡意行為。跟蹤那些訪問他們平常工作不需要的信息的用戶能夠更迅速地阻止內部威脅,并且能夠發現企業沒有嚴格限制訪問的區域。
“這將需要欺詐或者異常活動檢測來檢測正常活動外的異常現象,”他表示,“為什么這個用戶會訪問財務或者源代碼文件系統,而他們平常不會在這些區域工作?為什么這個生產部門的用戶會瀏覽Active Directory命名空間?”
7. 服務和成本指標
你的安全團隊在管理帳戶方面的工作做得如何?是否是以具有成本效益的方式?Crawford建議企業在審查身份和訪問管理系統時,不僅要跟蹤授權訪問的時間,而且也要計算企業每個帳戶的平均成本。
原文鏈接:http://safe.it168.com/a2011/0907/1243/000001243710.shtml
