事件響應機制探討:合并SIM系統和IAM系統
如果將SIM系統(安全信息管理系統)的實時監控和報告功能和IAM系統(身份和訪問管理系統)的訪問控制連接起來,可以提供更有用的控制和更高的安全性。但是,這兩個系統都是封閉的環境,這意味著他們都有非常具體的切入點,而且他們最初是被設計成獨立工作的,因此,沒人清楚該如何將這兩個功能合并起來,而且如果在這樣的情況下,貿然地將他們集合在一起,將會造成兩個系統同時失去有效性的風險出現。
SIM系統的功能是監控并報告安全漏洞及策略違反的情況,這些系統包括一個策略執行引擎,它的功能是將信息保護策略轉換成一些可操作的行動,以便進行監控和評分,它和掃描及報告組件協同工作,掃描及報告組件會在某個違反組織保護策略的活動發生時,通知IT安全人員。同時,IAM管理用戶訪問和授權,以便用戶進行活動。為了管理這樣的訪問,IAM系統使用RBAC(基于角色的訪問控制)。RBAC允許IT管理員在一個高級別的用戶管理模型下來管理用戶訪問,而此模型是基于普通用戶的功能和責任的。它可以用來同時管理大量用戶,相對于單獨管理每個用戶的訪問要更加有效得多。
這兩個系統的封閉環境意味著兩者的整合是非常困難的,那么為什么一個組織會想要將他們合并起來呢?有一點是很重要的,必須要認識到SIM系統的工具是用來處理信息和系統的,而不是針對人。在很多情況下,當一個IT安全人員接到由SIM系統發出的事件報告而要去進行處理時,他或她并不知道是否某個人引發或造成了這個事件,但是他或她可以在IAM系統里查詢哪個人曾經訪問過這個信息,因此如果有IAM系統的信息可以查詢將會非常有利于正確地將事件分類和及時處理。
因此,應該如何合理地將一個獨立的SIM系統整合進一個獨立的IAM系統呢?首先,要進行分級處理。在現實情況中,SIM系統仍然是唯一的用來處理安全漏洞和風險評估的控制系統,同樣地,SIM系統保留它的***等級控制系統的角色,而IAM系統則必須扮演一個奉獻的角色,因為在將一個IAM系統整合進一個SIM系統的時候,很重要的一點是不應該給SIM系統加重負擔以免影響它執行自己的正常功能,這意味著IAM系統應該作為一個事件分類模塊的一部分被整合進來,而不是作為監控和報告功能模塊的一部分。
IAM系統存儲了用戶信息,帳戶訪問權限,角色和權利,因此就事件分類模塊而言,這些信息應該象下面這樣使用:
識別問題中的信息→查看當前的保護→確定受影響的組件→確定訪問此信息的用戶角色→確定用戶在此角色中的權利→確定用戶的物理和虛擬訪問→確定此信息是否處于風險中。
SIM分類組件使用通常存儲在目錄中的用戶信息,比如LDAP(輕量級目錄訪問協議)或活動目錄;由于IAM系統在存儲用戶訪問和權限時使用相同的位置,在整合兩個系統時,首先要做的是允許SIM系統可以訪問目錄樹中IAM的分支,這樣可以允許SIM系統來查詢用戶角色和訪問權限。
另外一個整合點是,SIM需要使用IAM系統的驗證服務,這個服務是用來驗證某個用戶是否具有根據他或她的工作職能而被賦有的正確角色。SIM系統如果可以做到這點,那它將可以尋找出一些沒有被驗證服務發現的職責分離情況以及其它違反策略的情況,因為它可以從一個系統級別的訪問問題來分析,而不只是在信息級別的訪問問題。
兩個系統都提供的一個特征是,他們具有在各自的領域進行監控的能力,很多組織都犯一個錯誤,即沒有在一個使用通用數據或操作中心的情況下分享由這些系統提供的觀點。就象美國政府遇到的情況一樣,美國政府具有各種情報中心,但卻沒有共享他們的發現,通過各自獨立地監控IT安全活動和其它IT活動,使美國政府只能對發生的實際活動一知半解。將IT和安全數據,以及操作中心布置在一起,那么兩個系統都可以進行監控,以便提供一個整合的IT安全前沿。
***,將由SIM系統來確定安全漏洞將被最小化,以及所有違反組織安全策略的行為都將被捕獲。當IAM技術提供有價值的服務來管理用戶訪問和授權時,他們仍在敏感信息保護中扮演了一個次要的角色。通過幫助SIM系統獲知誰曾經訪問過出問題的信息,IAM能夠提供有價值的信息來增強SIM工具的有效性,而且SIM系統也會反過來向IAM系統提供有價值的反饋,以便IAM系統更好地管理用戶。通過將此兩個服務合并成一個功能,而不只是簡單地分別使用此兩個服務,組織會獲得一個更好的解決方案。
【編輯推薦】
