代理CyberArk特權帳號解決方案的力悅資訊,旗下也代理了Sailpoint。這個廠商,主要提供企業身分存取管理(Identity and Access Management,IAM)產品,最近,Sailpoint則是跨足資料存取控管(Data Governance)的領域,推出了SecurityIQ。

這款產品能夠管理公司的檔案伺服器、SharePoint文件庫、Exchange郵件伺服器,以及Box、Google Drive等雲端儲存服務的資料權限管理,並且透過使用者存取行為的分析,協助企業管理機敏資料的取用權限,而對於檔案資料夾可存取的權限,這套軟體也提供用戶覆核的機制,能夠由相關使用者認可或否決某個帳號的權限。

Sailpoint SecurityIQ可基於使用者存取資料的習慣,歸類檔案與資料夾各自的負責單位,以及能夠讀取這個資料夾的使用者。對於系統辨識為不適合取用這些資料的帳號,可經由使用頻率最高的前10名使用者,再度確認其資格,進而保留或是封鎖這個帳號的使用權限。

藉由探索資料夾的屬性,找出檔案的所有者

SecurityIQ主要的功能在於,協助企業找到內部敏感資料的所在,然後確定能夠存取的使用者身分,以及掌握已經存取這些內容的帳號,進而達到保護重要企業數位資產的目的。

企業在建立SecurityIQ時,首先要將企業內部的各種帳號進行盤點,加以分析後,歸納出特權帳號及孤兒帳號等,並統一儲存在系統的身分倉儲之中。接著,對於這些帳號與權限資料,以及依據人資系統、外部廠商清單等現有的身分資料來源,SecurityIQ可建立對應的管理模式。

這裡所謂的孤兒帳號,指的是在系統的升級或移轉等變更之後,因安全性識別碼(SID)的改變,導致無法登入的使用者身分。由於實際上帳號仍然存在,假如企業不做任何處置,很有可能變成有心人士拿來利用的漏洞。

以帳號分析而言,SecurityIQ會分析使用者存取的頻繁程度等資料,得知每個檔案及資料夾的用戶存取權限,並歸納出應歸屬的部門或是群組,以及其擁有者。

一般而言,對於存放財務報表的資料夾而言,理應歸財務部門所有,隸屬於這個部門的員工才能存取。但是實際上,像是具有高權限的網管人員帳號,往往也能夠取用這些資料,而SecurityIQ便會將這類帳號突顯出來,具有存取權限的用戶,便能在自己的儀表板看到系統以關連樹的型式,顯示可使用這個資料夾的群組與相關人員。

使用者可在SecurityIQ的階層式資源區(My Resources Tree)中,檢視自己能夠存取的內容,點選其中的某個資料夾,右側上方就會顯示系統評分,依據來源包含資料存取量、權限等級、警示程度,以及合理性等指標,加以評估。

在列示指標的下方工具列,使用者可以切換檢視這個資料夾的摘要、資料夾內容、存取行為記錄、資料夾擁有者、警示資訊,以及權限細節。其中,與權限有關的詳細內容,就針對具有存取授權,以樹狀結構加以分析,例如,這個群組的使用者如果能夠修改其中的內容,系統便會顯示相關的階層關連,並指出所有經由群組套用而得到權限的使用者。

透過高階使用者的參與投票,協助系統判斷與回收使用者權限

雖然SecurityIQ已經初步統整出資料夾的所有人,以及相關的權限,對於可能不需使用這個資料夾,或是不應該具有存取權的帳號,仍可能有所遺漏,然而,這個系統有個相當特別的作法,那就是請求10個使用者代表,協助判斷這些帳號的權限應該回收與否。

這10位使用者的名單,主要就是依據前述的系統評分選出,換言之,會由較常存取這個資料夾,且具有代表性的人員,參與評選。

這些使用者可在最上方系統的通知中,收到待檢視的訊息,對於可能需要回收權限的帳號,就會顯示在Bottom Line清單之中。這些擁有者代表便能加以確認,這個人員是否因為轉換部門或是其他因素,而被SecurityIQ列為不應具有存取權限的用戶。

此外,對於已經分享一段時間、可能不再使用的檔案與資料夾,管理者也能透過內建的分析功能列出清單,以便回收權限。

管理介面提供多種條件查詢的功能,對於企業內部可能有不少具備像是信用卡卡號、身分證資料這類的敏感性資料,SecurityIQ也能為管理人員找出相關文件,並列出存取過這些內容的使用者身分。

 

 Sailpoint SecurityIQ特色總覽 

藉由使用者行為分析與其他身分佐證資料,SecurityIQ可自動判斷資料夾與檔案的擁有者,並且歸納透過群組的授權,具備存取資格的使用者名單。

透過樹狀圖找出不應存取的高權限使用者

SecurityIQ採用樹狀結構歸納具備對應權限的使用者群組,以及可能不應該具有相關權限的帳號。在圖中,以名為Finance的檔案資料夾為例,系統找到具有完整控制權的擁有者,包含了與財務資料無職務關連的網域系統管理員,企業可藉此調整相關權限。

可追查長時間無人使用的資料夾,並回收權限

在企業內部重要檔案的管理中,SecurityIQ可以針對已經很少使用的檔案資料夾,進行權限的盤點與回收。

能夠以多個條件找尋特定的使用記錄

假如想要追查具有敏感性資料(例如信用卡卡號、身分證字號等)的存取狀態,或是過濾特定的使用者動態,都能透過下達指定條件進行追蹤。管理者可下達多組條件,甚至使用SecurityIQ提供的語法,而這些可在Query Bank中找尋,並且加以運用。

 

 產品資訊 

●      代理商:力悅資訊

●      電話:(02)2507-1601

●      建議售價:250萬元起(未稅)

●      版本:4.2

●      建置方式:實體伺服器或VM

●      架構:索引主機與資料庫主機

●      硬體需求:4個核心處理器、8GB記憶體、40GB硬碟空間

●      作業系統需求:Windows Server 2008 R2

●      資料庫軟體:SQL Server 2012

●      設備監控:無需安裝代理程式

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

【相關報導請參考「內部存取行為監控系統」採購大特輯】


Advertisement

更多 iThome相關內容