网络安全 频道

调查:企业在IT访问管理方面处落后局面

  Ponemon Institute LLC公司进行的一项新调查表明,随着企业开始采用各种网络应用程序——其中包括工资表、费用报告以及其他员工服务——他们发现控制访问管理变得越来越困难。外包服务以及依赖承包商来做这些工作也使访问管理问题很难解决。

  通过对728名IT职业人员的调查发现,许多企业现在难以同人员的访问权限变化保持一致,这导致很多员工的系统访问权限过大。87%的受访者表示,公司员工能访问许多与他们本职工作无关的资源。这一数字与2008年的访问管理调查相比上升了9%。

  Ponemon Institute 公司的创始人兼董事长Larry Ponemon表示,“我们发现越来越多的企业依赖于最终用户的道德品质。但是访问管理也变得更加重要,因为人为因素越来越难于处理。”

  《2010年访问管理趋势调查》报告是委托访问控制供应商Aveksa公司进行的,该公司位于马萨诸塞州的Waltham市。

  在引人注目的数据泄漏事件中,很多时候都是因为某些员工犯了低级错误,导致成千上万美元的数据泄漏相关费用损失。Ponemon指出,对那些包含关键数据的系统进行强有力的访问管理有助于降低数据泄漏的风险。除了遗失的或者被盗的、含有敏感数据的笔记本电脑以及可移动存储设备以外,公司还面临外部攻击者的威胁:他们试图窃取密码,而且公司内部还可能有一些流氓员工,虽然不是那么普遍,但是有时也能导致很大的危害损失。

  采用基于云计算的各种服务,不管是员工费用报告应用程序、基于网络的客户关系管理套件,还是其他基于网络的合作平台,这些都使访问管理更加混乱、带来更多的麻烦。超过70%的受访者表示,采用基于云计算的应用程序可能会对,或者已经对业务和最终用户产生了重大影响,使用户可以绕过现有的访问管理政策。

  Ponemon指出,攻击者希望利用“更加复杂但保护措施不到位的基础设施,因为他们可以获得宝贵的信息,包括知识产权、内幕秘密等。”

  调查数据显示,问题产生的原因可能更多的是“人”的因素,而不是技术。通常情况下,公司的业务管理人员往往负责改变公司员工的访问管理,很多工作IT安全职业人员并没有插手。大约85%的受访者表示用户访问管理的责任制度是整个企业执行访问管理能否成功的一个关键因素。

  但责任制度比控制公司每个员工的访问还要麻烦。Ponemon指出,随着公司越来越依赖于业务合作伙伴以及外包承包商,访问管理问题也变得更加复杂。许多公司还缺少访问管理政策,近60%的受访者表示他们缺少政策或者缺少执行机构。他还表示,即使拥有强有力的政策,问题也并不一定能得到解决。

  “总的来说,光依靠政策是无法完成这项工作的,”他说,“我们发现那些出台政策的人,其能力与实际要求相差太远,所以不能创建有用的政策。”

  Aveksa公司总裁兼首席技术执行官Deepak Taneja指出,通常企业发现内部有访问管理问题时就已经太晚了,此时网络已被渗透、或数据已被盗窃。他表示,企业可以以确定哪些应用程序是最敏感的、哪些人能够访问这些应用程序来作为开展这项工作的切入点。

  “一旦你开始清理整顿谁应该访问哪些内容,那么你就可以进行业务控制,确保不会让员工持续访问不适当的内容。”Taneja指出。

  根据Burton Group集团的信息,Aveksa和SailPoint Technologies这两家公司之间在访问管理技术方面正在展开竞争。UpperVision公司也提供了身份管理以及访问管理功能,其侧重于规则遵从方面。其他供应商,其中包括CA公司、Courion公司、IBM、Novell以及Sun Microsystems公司(现在是 Oracle公司的一部分),也提供带有访问管理能力的身份管理套件。

  Ponemon表示,那些最关注访问管理问题的企业通常都具有最严格的监督管理措施。他还指出,这个问题对于金融服务行业以及医疗行业的企业来说一直都非常重要。

  Ponemon说,“不幸的是,通常是在某种攻击或者数据泄漏之后,管理层的官员才会说他们需要解决这个问题。实际上,了解威胁可能出现的地方以及业务的关键应用程序才是首先要做的事情。”

0
相关文章