该规则的例外似乎是组织中堆积的访问权限数量。随着人们继续转向越来越数字化的工作方式,应用程序、权利和权限的数量只会增加。
随着SaaS、IaaS和其他XaaS环境的采用率提高,我们在加速迁移到云中清楚地看到了这一趋势。这意味着组织比以往任何时候都更加依赖身份作为访问其工具和资源的关键。
在业务方面,我们必须授权我们的组织以比以往任何时候都更快的速度做更多事情,以便在全球舞台上保持竞争力。大多数组织的现实情况是,用户比以往任何时候都更有能力连接到高风险应用程序和数据。
但权力越大,责任越大。
以更多的访问权限管理更多的身份意味着更多的妥协风险和更广泛的威胁面,必须加以保护。到2021年,组织知道他们必须管理这些身份,但情况的复杂性早已超出了使用遗留工具和手动流程可以管理的程度。
增加我们的挑战的是,我们还与组织外部的用户共享对系统和数据的更多访问权限,从而暴露我们的资产以进行有价值的协作,同时增加来自不断扩大的威胁面的风险。
有时我想知道是否有人甚至在跟踪组织外部的用户是否在他们有任何合法理由之后很长时间仍保留对这些资产的访问权限?
考虑到这里要管理的规模和复杂性,我们留下了一些组织必须考虑的要点,如果他们要保持安全和合规向前发展。
自动化一切
据报道,在2020年之前以及在家工作变得无处不在之前,中型公司已经平均使用137个SaaS应用程序,例如Salesforce和O365。对于企业来说,这个数字翻了一番多,而且还不包括基础设施和其他已成为工作完成方式的XaaS云服务的范围。
在最好的情况下,跟踪与这些应用程序相关的所有身份和权限是一项Sysaphean任务。而且手动完成是完全不可能的。
与此同时,任务规模不断扩大,保持列车正常运行所需的熟练安全人才资源一直不足。即使在有专门处理IAM安全性的人员的企业中,规模也超过了任何团队保持组织安全和合规的能力。
好消息是每个组织都知道他们必须实现自动化。问题不是如果,而是我们能走多远?
我们通过访问评论一次又一次地看到这一挑战。帮助准备和管理活动的解决方案已经上市一段时间了。但是,这些工具虽然有所改进,但仍需要大量的人工交互,以让各个经理审查和批准其列表中的每一项权利。
我们的目标应该是实现几乎所有可能的自动化,并且只为真正艰难的呼叫引入人工决策者,因为我们无法定义业务策略来准确确定谁应该有权访问什么。自动化基本权利决策应该是我们的默认设置——尤其是当我们拥有驱动这些选择所需的数据时。
保持连续
我们需要摆脱“时间点”即“足够好”的心态。如果您没有持续运行您的身份管理程序,那么您将面临可预防的安全性和合规性漏洞。
例如,如果员工离开组织但没有立即完全离职,那么您就为他们打开了一个窗口,让他们窃取或破坏有价值的数据。同样,如果无法实时识别过度特权的身份或管理员帐户的更改,可能会导致类似的问题。
需要的是持续监控违反政策的护栏,并且可以及时自动启动工作流程以使措施生效。护栏可以像现代汽车上的车道偏离警告一样。它们可以提醒您的组织可能会发生不好的事情,并让您决定如何以及何时采取行动。
并非所有访问都相同
在不断扩展的云环境中,您无法以相同的方式管理对所有应用程序和数据的访问。管理的权限太多了。
关键是专注和优先排序的能力。
了解您的最大风险资产在哪里,并首先对其进行管理。过去,没有人将公共信息锁在文件柜中,数字数据也是如此。通过了解组织的关键风险应用程序和数据,您可以对这些领域进行优先级控制和重点控制。
改变的时候了
现在是时候开始讨论如何管理组织内不断增加的数字访问量了。并且不要忘记将审计师和监管机构作为重组组织控制和合规报告方法的一部分。
现状已经不够了。当访问审查成为合规检查表的一部分时,组织只管理相对有限的资源。现在有审查一切的压力,无论它是否是“高价值”资产。
管理这些活动的不止几个人告诉我,按时完成它们的唯一方法就是让审阅者“橡皮图章”全面批准。当顺从的唯一方法是违背练习的目的时,我们就知道有些事情必须改变。
通过投资能够自行处理绝大多数工作量的解决方案,审阅者可以将精力集中在最值得他们关注的任务和决策上。
从长远来看,审计师的期望必须适应实际情况。这意味着从定期的手动流程、屏幕截图和电子表格转向审计人员可以信任的更智能、自动化的系统。