安全分析：如何才能实现简单的安全合规?

安全不等于合规

根据IDC的报告，在2011年，企业用户预计在身份和访问管理软件上面将花费40亿美元。在安全和漏洞管理软件方面预计会花费25亿美元。虽然在这些方面进行投资有许多很好的理由，但对企业用户来说过度花费肯定是毫无理由的。不幸的是，有太多的公司的确如此。

为什么会是这样？首先，当今大多数企业都必须遵守众多的法律法规：萨班斯-奥克斯利法案, HIPAA, PCI DSS, FISMA…并且这个清单还在不断加长。在了解到攻击也发生升级变化后，为了远离这些类型的风险就需要采取精心炼制的坚固防御措施。

试图预测未来总是一个危险的游戏，但完全可以肯定的是，法律法规会不断加强、安全威胁会不断增加。这2个趋势不仅会继续，而且还会加剧。现在，在某种程度上难以预测的是为什么一些企业在强有力的安全和合规姿态方面不仅比其它单位准备得更多，而且这么做的时候还更具成本效益？为什么会是这样？

我们认为这在很大程度上是方法问题。许多企业相信，如果合规他们就会安全;或是认为反面是对的：如果是安全的，一定就合规。不幸的是这是种近视的想法;至今尚只有很少的企业具有宽广的视野，以一种尽可能统一的方式对安全和合规这二者进行统一管理。结果是，那些企业准备了许多构想拙劣的、冗余的合规和安全控制措施。例如，在日志文件中有多少安全数据只是在那里睡大觉？有多少发生在网络上的安全事件可用来减缓攻击，但却被视如无物？如果根据那些信息采取相应行动，企业会变得有多安全？

来看看Verizon Business 2010数据外泄调查报告吧，86%的数据外泄受害者在他们的审计日志都存有外泄证据，61%的受害者自己并没有发现外泄事件，他们是被第三方告知后才知晓的。多令人尴尬啊!而遗憾的是，那些攻击和那份尴尬是完全可以避免的。

企业用户可以也需要做的更好

这可以通过在合情合理且可能的地方将安全技术与合规工作进行合并而实现。大体上看，两类技术在合规与安全方面有着至关重要的作用。然而这两类技术常常是分开管理的。第一个是身份和访问管理。不管是安全问题还是合规问题，或者仅仅是好的IT管理，知道谁访问了什么都是最基本的。而与身份和访问管理同样重要的是，对于一家运转良好的企业，通过自身保持单位的安全或合规肯定是不够的。

这就引出了安全事件和信息管理（SEIM）系统。SEIM工具，通过鉴别和集成与安全相关的信息和事件，可实时识别可疑活动和事件。这些事件包括从不寻常的登录企图到恶意网络活动的方方面面。这种能力对于安全和合规法规来说是必不可少的。在当今威胁快速变化的年代，3个月前的合规审计报告已不能适应要求。

我们所需要的是一个系统，能提供实时的、与安全和身份相关事件的视窗。这意味着随着事件在整个IT基础设施上的发生，该系统是实时、持续地在根据策略对身份、访问、和安全信息进行关联。如果观察到任何反常行为，那么就会立即通告相关人员。通过根据实时安全事件采取相应行动，促进安全缺陷的修正，企业可更快地缓解风险。这要比一次季度性身份审计快捷多了。

要想发现这类情形的唯一方法就是因势部署安全能力，监控并将用户身份与他们的行为进行关联。通过将身份与SIEM能力进行集成，这将是可能的。这种集成是最直截了当的发现类似用户名和口令共享的方式。

以这种方式利用身份、系统日志、和实时安全信息会更容易发现系统中的合规策略违规问题，因此在泄密发生之前，或发现审计问题之前，就该设置起来。它也使得成功执行整体风险治理计划成为可能。除了提升安全与合规水平，这些努力还会降低成本。

这也使更好地记录安全与策略合规行为成为可能，将简化审计的处理过程并消减额外成本。最终，企业将能实现他们所需要的目标：公司将行走在一条改良的、具有成本效益的安全与合规之路上。（本文由Novell供稿）

安全事件和信息管理（SEIM）系统

SEIM工具，通过鉴别和集成与安全相关的信息和事件，可实时识别可疑活动和事件。这些事件包括从不寻常的登录企图到恶意网络活动的方方面面。这种能力对于安全和合规法规来说是必不可少的。

未经允许不得转载：DOIT » 安全分析：如何才能实现简单的安全合规?