如何以低成本提公升IT安全性和合規性？

文章講的是如何以低成本提公升it安全性和合規性，

通過更好地利用身份、系統日誌、和實時安全事件資訊，可實現更高水平的it安全和合規管理，同時降低相關成本。

在過去的10年中，各家公司企業都已在安全與合規管理方面投入數百萬資金。但現實情況卻非常不幸，他們花費很多卻沒有換得什麼安全或合規保障。至今，許多公司企業仍不具備確保或確證他們的系統是安全且符合法律規定的能力。為什麼會是這樣的一種情形?這是因為許多公司企業常常是以戰術性或特別對待的方式投入人力和技術對待這些問題，而不是作為系統性挑戰處理安全與合規。

如今有那麼多公司企業處於這樣的困境當中也存在可以理解的一面，因為安全弱點和攻擊途徑總是在變，而管控規章也在變。實際上，我們的許多客戶必須要遵循許多不同的管控規定，其中包括hipaa、sarbanes-oxley，還有各種不同的地區資料外洩通知法規、歐盟指令、pci dss等等。而與合規相關的成本又很高並且處於上公升態勢 – 因為企業太多依賴相互間根本不同的管理框架，和費錢的重複性人工努力。amr研究公司指出，治理、風險和合規預算的三分之二是被指定用於和人員有關的開支，如人工和服務。

成本如此高的原因有許多。公司內存在太多不良構想和重複性合規控制。安全資料在日誌檔案中睡大覺。在所部屬的端點安全產品中，如果有的話，只存在很少的協同配合。結果就是人群繞著辦公室跑，手動更新剪貼簿和電子表單，常常造成這些東西在最終的審計報告要列印時早就過期了。

同樣令人遺憾的是，有太多的公司企業將這種水平的合規仍然看作是「安全的」。verizon business risk team 所做2009資料外洩調查報告曾對90起共影響到2億8千5百萬條記錄的資料外洩事件進行評估，發現在這些事件中竟有令人驚訝的82%的高比例是存在可表明即將有問題發生的資料的，但卻沒被識別出來或採取相應行動。

為了扭轉這種不利形勢，徹底減緩或避免資料外洩，並降低實現合規的成本，公司企業需要找到一種方法，將所有為此而備的人員、處理過程和技術進行改進整合。

這意味著要建立起對公司企業有意義的安全與合規策略，然後利用技術 – 例如身份管理、日誌管理、和安全資訊與事件管理 – 使安全和策略合規的執行和驗證工作自動化。這不是說要乙個接著乙個地不停部署新的安全應用;而是要建立起一套程式，使用正確的人員和處理過程管理安全與合規，而技術在那裡確保人員和處理過程按照設定好的策略進行操作。

另外，通過將內部策略與特定管控規章的要求進行影射，合規工作可得到簡化效率提高，同時使風險降低。下面的乙個例子可作為管理員系統賬戶之類的特權賬戶的管理方式。如何管理對這些賬戶的訪問可能影響到許多不同的管控規章，乙個最佳方法是建立乙個單獨的特權使用者賬戶策略在整個公司內使用。該策略至少應滿足每乙個適用的管控規章的要求，如果沒有超越要求的話。其它的例子還包括弱點、日誌、身份、和防火牆變動管理策略。在所有這些案例中，當內部策略根據公司企業所需要的最佳安全狀況進行調整時，所有的合規重擔都會隨後得到滿足。這將使成本降低 - 以及減少手拿剪貼簿和電子表單四處跑動的人群 – 同時提高安全與合規水平。

為確保安全與合規工作可前攝性地以這種方式得到管理，有三類技術是必不可少的：身份和訪問管理、日誌管理、和安全資訊與事件管理。原因如下：

身份和訪問管理，具有訪問認證能力。不管是關於安全、合規還是僅僅是良好的管理，知曉並控制誰對什麼具有訪問權都是基礎。我們常開玩笑說如果乙個人在一家公司待的時間足夠長，他最終將被賦予所有東西的訪問權。乙個員工得到的權力越多，在他變動崗位或離開時越難將這些權力移除。這會帶來嚴重的安全弱點和合規缺陷。原因非常簡單，過度的應用或系統訪問權會導致過度的組織風險。這也是為什麼每個組織需了解誰對什麼具有訪問權是至關重要的。實施自動化的控制，根據工作和角色調整員工的訪問許可權，以及乙個持續保證適當水平的訪問許可權的認證過程，將確保員工始終對應用和資源具有正確的訪問許可權。

日誌管理。所有企業都儲存有大量關於發生在他們的網路上、平台上和應用中的活動的資訊。這其中既包括應用和資料庫日誌中、身份和訪問管理庫中、網路裝置日誌中的安全和合規資訊，也包括其它系統的資訊。實際上，企業儲存超出它們所能管理的資訊量是非常普遍的事情。令人擔心的是這些日誌常常是在「豎井」中儲存和處理的。這種安全資料隔離的狀況意味著對這些日誌進行分析的人通常得到的企業真實安全狀況是不完整的。

如上述資料外洩調查報告所示，即使不能避免，但公司企業是握有可警示資料外洩問題的資料的，他們只是不能從這些資料店鋪當中以一種有意義的方式挑選出正確的資訊並進行關聯。

可藉以採取措施，實時的安全事件資訊。通過在整個企業範圍內實時鑑別和整合與安全有關的資訊和事件，可疑活動和事件可被立即發現並得到緩解。這些活動和事件可包括從異常登入企圖到惡意網路活動等的各個方面。這種能力對於安全和合規管理是必不可少的。使用3個月前的合規審計報告來檢驗安全策略不能達到目的。這和牛群走失90天後再報告牛棚大門未關閉時一樣的問題。實時分析使我們在牛群離開之前就將牛棚大門緊閉起來。這是任何良好的it安全計畫都應在其目標中包括的內容。

以這種方式利用身份、系統日誌、和實時安全資訊使得系統出現策略合規問題時更容易發現，並在審計發現資料外洩或更嚴重的損害之前進行正確設定。它還使成功地執行全面風險治理計畫成為可能。除了提高安全與合規水平，這些做法還將使成本降低。通過將所有這些資訊進行關聯，重複性處理過程得以消除，低效的處理過程得以改進。更好地記錄對於安全和策略合規的堅持也成為可能，因此使審計過程簡化更具效率，也消減了額外成本。這麼做使公司企業可應對當今的管理問題和安全威脅，同時提供一種基礎設施為明天的合規需要和風險做出準備。簡而言之，公司企業將能夠實現他們所期望的景象：較少的人拿著剪貼簿四處跑動，經過改進的最具成本效益的可持續的安全與合規之路。

原文發布時間為：2011-10-12

如何以低成本提公升IT安全性和合規性？

PCI ISA如何幫助企業提高安全性和合規性？

paip 提公升使用者體驗與提公升安全性記住密碼

利用Httponly提公升應用程式安全性

如何以低成本提公升IT安全性和合規性？

PCI ISA如何幫助企業提高安全性和合規性？

paip 提公升使用者體驗與提公升安全性 記住密碼

利用Httponly提公升應用程式安全性

相關推薦

paip 提公升使用者體驗與提公升安全性記住密碼