联合SIM和IAM降低风险

　　那么这两种迥然不同的技术是如何协同工作来降低组织的风险的呢？SIM技术是安全管理者识别违反策略活动时所使用的集中化工具。但是，为了修复一个识别的漏洞，分流过程之后，还要有核实和补救该问题的过程。这通常要求一个IT安全人士更深入地钻研所提供的信息，然后确定该活动的影响。

　　这个流程通常情况下是有效的，SIM工具是用来处理信息和系统的，而不是人。在很多情况下，IT安全人员需要补救一个问题，但是他却对以下内容一无所知：某些人是否与此问题有关？他们何时被卷入此问题的？谁引起以及造成这个问题的发生？如果某些人与此问题有关，那么他们需要问一系列问题：这是一个由不满的内部人员实施的欺诈活动吗？是否是一个未被授权的人从公司外部获得了内部系统的访问权限？这是否是一件由授权用户实施的，大部分普通用户没有权限完成的事？举个例子，一个人事部的同事向外部的有利益的合作伙伴发送税务识别号码。这是否是因为开发员在编程过程中出现的错误，将敏感信息作为输入数据从一个系统发送到另一个系统？由于这样的信息并不存在于SIM系统的本地解决方案中，IT安全人员必须花时间去追踪这些信息，这样就会在决定这事件是否会给组织带来严重的风险问题上，造成不必要的延误。

　　举个例子，当一个数据丢失防护（DLP）工具识别出一个安全事件，并向SIM系统报告：信用卡信息在一个信息包中被发现，此信息包正打算被传送到组织范围外部，已经被拦截。在SIM系统识别该事件发生的日期、时间、目标IP地址、源IP地址、用户名和此事件的严重度时，它并没有办法获知此次传输是由谁发起的，以及这个人是否被授权来发送这一类型的信息。通过访问组织的IAM信息，SIM系统可以获知的信息，不仅包括这个事件中被映射到这个IP地址/用户名的用户，而且它可以通过查看他们的角色来判断这是否是一个授权事件。

　　这就意味着IAM技术扮演了一个向SIM系统提供信息的角色，它们加强并提供SIM系统需要的更完整的信息，有了这样高可信度的信息后，可以使事件更快地被补救。SIM技术同样也对IAM技术有益，因为它可以识别一些看起来不是很明显的事件，比如职责分离（SOD）——举个例子，用户可以访问他们自己管理的信息，或系统管理员可以在他们自己管理的系统里手动绕过授权控制。

　　而且通过他们的信息渠道监控功能，SIM技术可以帮助组织监控雇员们正在做什么，甚至在应用程序被移入云技术后也可以。对于位于组织内部的一些特定的外部人员实施的信息和活动，他们也可以通过这些人在IAM系统里获得的角色予以特殊的关注。

　　一家银行，3种SIM系统，超过10万个节点，每天4千万个事件

　　如果要找一个更好的试验场来测试安全信息和事件管理系统的新功能，比如身份管理系统，你很难找出比纽约梅隆银行更合适的地方。

　　这家全球性的金融服务公司使用三种不同的SIM产品，包括ArcSight的产品，它用来监控超过10万个节点，包括终端、服务器基础架构、网络访问控制系统、数据丢失保护、反恶意软件等等。Daniel Conroy是这家公司的全球安全架构副总，他说将SIM系统与IAM和其它技术整合，比如欺诈监控是SIM系统必须要走的道路，但是这些技术，特别是身份管理，必须与这些技术整合才能实现。

　　IAM系统面临的挑战并不限于整合和实施问题，因为在任何大的组织中角色存在多样性，以及用户权限和访问控制具有可变性。

　　“融合身份管理是它必须要走的道路，”Conroy说，“我很乐意看到SIM系统最终变得和这些工具更加互动，更具有自我意识。想象一下，你是愿意全部手工完成这些工作还是只是过去打开资产管理系统然后直接把数据拉出来呢。”

　　考虑到梅隆银行的大量全球基础架构，它无疑是SIM系统的大客户，Conroy提到他们公司的SIM系统每天会处理超过4千万个事件，而且他预计这个数字在他们开始监控外部连接后会再翻三倍。就现在而言，Conroy希望看到他的SIM系统在增加了新功能后，规模和质量相关性、分析和报告均能正常运转。

　　“你希望它在每秒可处理的事件数量上可以升级到一定级别，某些产品如果遇到超过它可以处理的每秒可处理事件时，就会崩溃并产生一个新的问题，”Conroy说，“每秒可处理事件是SIM系统追求的目标”。

　　如何合并SIM和IAM系统以降低企业风险（上）

　　如何合并SIM和IAM系统以降低企业风险（下）