提高企业身份和访问管理(IAM)的等级不仅能够帮助企业改善系统帐户的整体安全性,这样做还可以在部署技术或程序之前和之后确定应该花费在身份验证工作上的开支。这种提升要从良好的IAM标准以及部署商业智能(BI)分析原则开始。
"我们的咨询工作主要集中部署商业智能概念和技术上以验证新的IAM解决方案或者从停滞或有问题的部署中获取最大投资回报率,"Identropy公司市场营销副总裁Ranjeet Vidwans表示。
很多企业往往忘记定期检查是否遵循IAM标准,而这是非常重要的工作。
"很多公司认为它们部署了IAM系统后就算完事了,但是要让这些系统有效发挥作用,你必须定期检查控制和系统的效力,"nCircle公司的产品策略副总裁Jim Acquaviva表示,"IAM标准应该称为每个全面安全风险管理计划的一部分。"
安全专家认为以下七种IAM衡量标准将帮助企业了解身份和访问管理系统的有效性:
1. 身份供应、授权或取消供应的时间
"侧重于身份供应和取消供应(provisioning and deprovisioning),特别是侧重于具有特权的关键系统和用户的标准对于IAM的有效性是至关重要的,"Acquaviva表示,"虽然在整个企业收集和审查这些标准有一定作用,但是花点时间来对关键系统和特权用户进行分类才能加强对高风险系统的管理。"
对身份取消供应的平均时间进行跟踪可以让企业了解到,当员工离开企业时,撤销权限方面的政策的有效性。定期跟踪这种趋势可以显示撤销权限工作是在不断改善还是在倒退。同时,身份供应和授权的时间可以显示员工在获取所需要资源前的业务中断时间。
"十次中会有九次出现问题,员工未能及时获取对应用程序的访问从而造成业务中断,"Vidwans表示,"这些标准标志着企业业务流程需要进行审查,并进行调整。如果有三个不同的人需要获得授权,而其中一个人遇到瓶颈?(授权的平均时间)就可以指示如何有效地进行授权。"
2. "幽灵帐户"的数量
很多企业并没有跟踪企业内存在的幽灵帐户(没有用户的帐户的数量)数量,但是他们清除他们应该这样做,Enterprise Management Associates公司的分析师Scott Crawford表示。
"这是显而易见的:谁会希望那些不属于任何用户的特权帐户存在于企业系统?"Vidwans说道。
根据Acquaviva表示,铲除那些没有主人的活跃帐户主要有两个好处。
"可能存在取消供应错误,或者他们可能有'后门'进入你的系统,"他表示,"无论哪种方式,快速发现和解决这些问题将大大降低风险。"Crawford也认为将这个标准作为一个功能定期运行的话会更有用。
"幽灵帐户的数量的发展趋势将会显示消除幽灵帐户工作方面的进展,"Crawford表示。同时,对30天、60天或者90天没有活动的帐户进行追踪,这些帐户可能需要被关闭。"这些都是取消供应的候选名单,"Crawford表示。
3. 密码标准
强度弱的密码、旧密码和过期密码的帐户都会增加企业的风险。"这些问题大多是不言自明的,但是密码标准还会对密码政策提供一个反馈机制,"Acquaviva表示,"如果政策过于严格或者完全被忽视的话,在这些指标中将会很清楚的显示。"
4. 失败登陆
同时,Vidwans表示失败登陆数量通常能够反映问题。
"比方说,当出现大量用户的帐户被锁定,在四次尝试后帐户将被锁定。这是否意味着用户在猜测其他人的密码?"他表示,"或者密码政策过于严格,用户经常忘记他们的密码,因为他们太久或者过于频繁地更改密码。"定期进行跟踪,Acquaviva表示,"高于正常水平的活动峰值可能意味着恶意活动。"
5. 手动密码重置
你的用户多久会手动重置密码或者在一定时间内需求服务台帮助?如果这个数字很高的话,那么这意味着企业需要部署一个不同的程序来帮助用户锁定他们的帐户。"这意味着将需要自动化密码自助服务,"Crawford表示,"这里的趋势将会显示部署密码自助服务的好处。"
6. 异常访问事件
Crawford表示这个标准也不太可能经常被使用,但是这个标准能够帮助发现恶意行为。跟踪那些访问他们平常工作不需要的信息的用户能够更迅速地阻止内部威胁,并且能够发现企业没有严格限制访问的区域。
"这将需要欺诈或者异常活动检测来检测正常活动外的异常现象,"他表示,"为什么这个用户会访问财务或者源代码文件系统,而他们平常不会在这些区域工作?为什么这个生产部门的用户会浏览Active Directory命名空间?"
7. 服务和成本指标
你的安全团队在管理帐户方面的工作做得如何?是否是以具有成本效益的方式?Crawford建议企业在审查身份和访问管理系统时,不仅要跟踪授权访问的时间,而且也要计算企业每个帐户的平均成本。
