利用身份和访问管理

随着越来越多的云服务涌现，以及员工使用个人设备或远程访问企业数据，基本用户名和密码无法提供足够的安全性。

常见的还有IAM系统部署不一致的问题，通常情况下，外围系统包含企业最重要的数据，但它们只有较少的安全控制。

在去年IBM X-Force威胁情报季度报告中，17.2%的安全专业人员回答说拒绝服务是他们发现的最常见的攻击类型。然而，超过40%的安全专家表示最常见的攻击类型是未公开的攻击。而当大多数针对企业的攻击基本上不为人所知时，对于企业来说，部署强大的IAM系统以及非结构化数据管理战略则更为重要。

大多数关键业务流程依靠某种形式的非结构化内容，并通常包含敏感信息、知识产权、财务信息以及其他重要数据。

“很多大型金融行业的企业已经意识到身份的作用，他们任命内部领导提供对身份的政策、流程和监管，并负责维持身份和数据之间关系，”Allan称，“要记住，身份可连接到很多东西，例如，无人驾驶汽车可能会生成某些信息，从而连接到某个身份。”

　　非结构化数据管理方法

企业领导人开始意识到非结构化内容不受控制的状况，企业面临的挑战包括如下：

◆映射现有的非结构化数据存储

◆寻找数据(例如文件夹、文件、网站)所有者以及映射关键用户群

◆分类敏感数据

◆对数据存储定义和执行授权政策

　　企业应该采取以下行动

◆执行实际数据访问

◆映射数据所有者、用户群和使用模式

◆分析用户和群组对数据的访问权限

◆建议更改权限以满足企业和监管政策

◆支持用户权限审查和权限授予进程

◆控制员工访问和特权

在2012年，微软称其过去五年的研究表明，几乎80%的企业内容为非结构化数据。对于这种类型的数据，企业并没有通过正式流程来授予访问权限。据微软表示，当时很多企业估计他们文件系统每年数据的增长率为30%到40%;考虑到这一点，现在映射非结构化内容不仅是持续的问题，而且可能是需要不断深化的问题。

在企业发现、映射和分类非结构化内容后，他们必须审查其IAM政策和系统。对于保护这类数据免受恶意软件和其他威胁，最后一条建议是控制员工特权。FireEye公司系统工程师Jens Monrad表示，大多数恶意代码能够使用与受感染个体相同的权限来访问数据。

在2016年RSA大会接受采访时，STELTHbits Technologies公司产品营销高级副总裁Adam Laub表示，“如果我有域管理凭证，并使用它登录到面向公众的系统中，那么，成功的网络钓鱼攻击可利用该凭证来进入域控制器，这几乎可危及整个域。”

企业还需要查看行为以及授权，以更好地支持整个环境。

“如今的攻击者获得越来越多的凭证，他们在横向移动，”Laub补充说，“如果企业能够捕捉认证信息，就可以看到模式和异常情况，从而更快速地发现这种类型的活动。”

虽然对于提升和改善安全和风险管理来说会涉及到很多方面，但企业应该先了解他们有多少非结构化数据，以及构建适当的身份及访问控制保护这些内容。

(责任编辑：安博涛)