研究发现,很少有公司对用户的身份实行集中化管理,这就给了内部攻击者可乘之机。
大多数公司都采用某种形式的身份和访问管理控制来保护其应用软件和信息。但不久前的一项研究表明,很少有公司对这些系统进行集中化管理,并且及时更新用户权限。这种情形非常危险,假设公司对于谁有权访问其it环境中的哪些部分心中无底的话,那必将是最大的安全隐患。
波耐蒙研究所(ponemon institute,下称波耐蒙)对627名商业科技专业人士进行了调查,其中超过64%的人表示,其所在公司在使用身份和访问权限管理技术,13%的被访者对身份和访问实行集中化管理。
对于那些投资在身份和访问管理技术方面的公司来说,主要是希望通过这种手段,来提升系统访问效率,改善系统安全性,同时能够达到合规要求。但是很多公司,即使是采用身份管理技术的公司,很大程度上还是依靠手工来实现上述目标的,波耐蒙主席拉里·波耐蒙(larry ponemon)更是指出:“他们的工作更多的是忙于对付内部滥用身份和权限的行为。”不久前,杜邦公司(dupont)一位从事研究的药剂师窃取公司知识产权一案即是一个典型例子。当公司发现这位名为加利·敏(gary min)的药剂师访问了大量与其工作无关的信息时,才将其擒获。“但是,在发现价值4亿美元的贸易机密失窃之前,没人察觉他的异常举动,更别提将其行为视为高风险行为了。”波耐蒙进一步指出。
密切关注用户行为才是关键,因为最大的安全威胁往往来自那些起了贰心的员工,crc健康集团(crc health group ,下称crc)首席技术官(cto)杰伊·莱蒙迪(jay raimondi)指出。
crc为那些有药物依赖和相关行为健康问题的人提供治疗。去年年末,该公司开始致力于提升其系统控制用户账户的能力,并计划用apere公司的rapidconnector framework,将其人力资源、薪金、总账、临床管理和其他应用软件整合到集中的身份和访问管理系统中。这样做有助于crc在严密防范入侵者的同时,也更加容易遵从《健康保险流通和责任法案》(hipaa)以及《萨班斯-奥克斯利法案》(《sarbanes-oxley act》)的相关要求。
第一步要做的是,以apere的身份管理访问网关,取代crc过去用以增加和删除访问特权的故障单系统,这个工具可对与各种不同的应用软件相连的身份信息进行集中管理。该网关设备可自动利用专用身份数据定位所有数据库和目录,并进而创建用户身份和访问权限的更新列表。
应用rapidconnector既可以削减成本,又能在将网络的所有应用和目录集成到身份管理系统中时减少各种冲突。而且,它能在大约30分钟的时间内将一个目录或应用软件连入身份管理系统,无论该软件是商用的还是公司自行开发的,都一样。
此外,rapidconnector还可在应用软件的用户界面上模拟本地管理权限,以收集并提供用户信息,而非利用应用编程接口(api)构建连接器。这样,它就变成了一个虚拟管理员,并掌握了应用软件的界面所用的所有管理命令和域,apere业务拓展和销售副总裁贾尔德·胡菲尔德(jared hufferd)介绍道。同时,它也决定着应用软件如何管理对特权信息的访问,以及如何利用存储身份数据的数据库或目录。
当一名用户离开了雇主,公司可以利用rapidconnector及其身份管理系统,与网络上的所有应用软件进行通信,以删除该用户的访问权限,其所用的身份管理系统可以是ca公司、网威公司(novell)、甲骨文公司(oracle)或其他任何公司的产品。这样,就避免了当员工离职后很久,其账户仍长久滞留于公司it环境中的现象。
当务之急
在波耐蒙的调查中,被访企业部署身份和访问管理系统的首要原因,是要对有权访问公司敏感或机密数据的临时或合同雇员进行追踪。被访者还表示,他们还希望能够对系统和数据库管理员等特权用户的活动进行追踪,以侦察并阻止泄密行为(包括机密或私有数据)。此外,对身份和访问实行集中管理的另外一个原因,是要减少用户访问不同的应用软件时所需要的用户名数量和口令数量。
专用聚合物和其他化合物生产商罗门哈斯公司(rohm & haas,下称罗门哈斯)发现,其雇员为访问工作所需的系统,平均拥有15个不同的用户名和口令。也正因为这个原因,去年,该公司接到了1.4万多条与口令相关的求助电话。“实际上,这种情形确实降低了企业的安全性,因为用户往往会将用户名和口令等信息记录下来。”企业架构师兼程序开发经理斯科特·麦吉尔(scott megill)指出。
