身份和訪問管理(iam)是很棘手的領域,是因為iam技術和標準的複雜性。最大的挑戰是弄清楚如何通過iam戰略處理企業內非結構化內容。
考慮到資料位置的多樣性以及資料移動的n多種方式,解決縮寫挑戰以及了解不同產品提供的功能是極為重要的事情。目前很多**商提供服務來應對這一挑戰,隨著新**商以及老牌**商擴大其iam產品範疇,這個相對較新的領域正處在快速發展中。
企業需要全面審核其可能合作的**商,以確保其非結構化內容能得到處理。另外更複雜的是,安全專業人員都面臨著這樣的問題:不確定資料在**,不確定資料的價值以及敏感程度,也不確定資料訪問許可權以及資料的共享情況。與面向應用的資料不同,非結構化內容不受控制,且並沒有進行很好的歸檔。
非結構化資料本質是隱藏的和擴充套件的,這讓其特別容易受到攻擊,因為它不在資料分類和管理範圍內,無法被傳統安全解決方案歸為敏感資料。很多研究表明,近80%的企業內容為非結構化,幷包含在最關鍵性業務流程中。令潛在資料威脅進一步加劇的是,內部威脅是資料洩露事故的頭號原因,無論惡意的還是無意的。
「所有被監控的資料都可能包含乙個身份,」ernst&young全球資訊保安領導者ken allan在2023年rsa大會表示,「即使是最有害的資料(例如惡意軟體)都包含乙個『簽名』可連線到其創造者。」
攻擊者更加頻繁地利用受感染的憑證來訪問企業資料,大多數惡意軟體會執行與受害者相同的許可權,全球管理員許可權可讓惡意**訪問幾乎所有的資料。
回歸基本方法
通過簡單的報告和分析,企業可了解資料在何處並控制其訪問許可權,這將有助於緩解攻擊,並可在資料洩露事故中加***調查。這還可以幫助實現合規性。通常情況下,尋找適當的工具來實現這種網路安全時,可通過**商生態系統使用的術語更直接地進行,而不是難以理解的縮寫。
隱私法律迫使企業檢視所有不同型別資料的位置。企業還需要對自己的敏感資料進行定義,首先應該尋找和分類非結構化內容中的敏感資料。隨著企業開始增加更多應用、更多伺服器、更多裝置和更多**商,這些可能存在的問題會進一步擴大。
企業不能只是急於部署控制,而應該知道資料位於何處或者需要分類哪些資料以及哪些資料需要提供合理的安全性。同時,還需要找到這些資料,確定誰可訪問資料並發現資料移動的情況。這需要構建包含自動化工具的風險框架。
現在是時候從基礎層面管理非結構化資料了,例如企業應該檢視敏感資料的位置、哪些系統和裝置連線到這些資料以及部署的保護審計控制。
利用身份和訪問管理
隨著越來越多的雲服務湧現,以及員工使用個人裝置或遠端訪問企業資料,基本使用者名稱和密碼無法提供足夠的安全性。
常見的還有iam系統部署不一致的問題,通常情況下,外圍系統包含企業最重要的資料,但它們只有較少的安全控制。
在去年ibm x-force威脅情報季度報告中,17.2%的安全專業人員回答說拒絕服務是他們發現的最常見的攻擊型別。然而,超過40%的安全專家表示最常見的攻擊型別是未公開的攻擊。而當大多數針對企業的攻擊基本上不為人所知時,對於企業來說,部署強大的iam系統以及非結構化資料管理戰略則更為重要。
大多數關鍵業務流程依靠某種形式的非結構化內容,並通常包含敏感資訊、智財權、財務資訊以及其他重要資料。
「很多大型金融行業的企業已經意識到身份的作用,他們任命內部領導提供對身份的政策、流程和監管,並負責維持身份和資料之間關係,」allan稱,「要記住,身份可連線到很多東西,例如,無人駕駛汽車可能會生成某些資訊,從而連線到某個身份。」
非結構化資料管理方法
企業領導人開始意識到非結構化內容不受控制的狀況,企業面臨的挑戰包括如下:
◆對映現有的非結構化資料儲存
◆尋找資料(例如資料夾、檔案、**)所有者以及對映關鍵使用者群
◆分類敏感資料
◆對資料儲存定義和執行授權政策
企業應該採取以下行動
◆執行實際資料訪問
◆對映資料所有者、使用者群和使用模式
◆分析使用者和群組對資料的訪問許可權
◆建議更改許可權以滿足企業和監管政策
◆支援使用者許可權審查和許可權授予程序
◆控制員工訪問和特權
在2023年,微軟稱其過去五年的研究表明,幾乎80%的企業內容為非結構化資料。對於這種型別的資料,企業並沒有通過正式流程來授予訪問許可權。據微軟表示,當時很多企業估計他們檔案系統每年資料的增長率為30%到40%;考慮到這一點,現在對映非結構化內容不僅是持續的問題,而且可能是需要不斷深化的問題。
在企業發現、對映和分類非結構化內容後,他們必須審查其iam政策和系統。對於保護這類資料免受惡意軟體和其他威脅,最後一條建議是控制員工特權。fireeye公司系統工程師jens monrad表示,大多數惡意**能夠使用與受感染個體相同的許可權來訪問資料。
在2023年rsa大會接受採訪時,stelthbits technologies公司產品營銷高階副總裁adam laub表示,「如果我有域管理憑證,並使用它登入到面向公眾的系統中,那麼,成功的網路釣魚攻擊可利用該憑證來進入域控制器,這幾乎可危及整個域。」
企業還需要檢視行為以及授權,以更好地支援整個環境。
「如今的攻擊者獲得越來越多的憑證,他們在橫向移動,」laub補充說,「如果企業能夠捕捉認證資訊,就可以看到模式和異常情況,從而更快速地發現這種型別的活動。」
雖然對於提公升和改善安全和風險管理來說會涉及到很多方面,但企業應該先了解他們有多少非結構化資料,以及構建適當的身份及訪問控制保護這些內容。
結構化資料 半結構化資料 非結構化資料
結構化資料 即行資料,儲存在資料庫裡,可以用二維表結構來邏輯表達實現的資料 所謂半結構化資料,就是介於完全結構化資料 如關係型資料庫 物件導向資料庫中的資料 和完全無結構的資料 如聲音 影象檔案等 之間的資料,html文件就屬於半結構化資料。它一般是自描述的,資料的結構和內容混在一起,沒有明顯的區分...
結構化資料 半結構化資料和非結構化資料
本文 在實際應用中,我們會遇到各式各樣的資料庫如nosql非關聯式資料庫 memcached,redis,mangodb rdbms關聯式資料庫 oracle,mysql等 還有一些其它的資料庫如hbase,在這些資料庫中,又會出現結構化資料,非結構化資料,半結構化資料,下面列出各種資料型別 結構化...
結構化資料 半結構化資料和非結構化資料
結構化資料 半結構化資料和非結構化資料 結構化的資料是指可以使用關係型資料庫表示和儲存,表現為二維形式的資料。一般特點是 資料以行為單位,一行資料表示乙個實體的資訊,每一行資料的屬性是相同的。舉乙個例子 id name age gender 1 lyh 12 male 2 liangyh 13 fe...