身份和訪問管理(IAM)是很棘手的領域，是因為IAM技術和標準的復雜性。最大的挑戰是弄清楚如何通過IAM戰略處理企業內非結構化內容。

考慮到數據位置的多樣性以及數據移動的n多種方式，解決縮寫挑戰以及了解不同產品提供的功能是極為重要的事情。目前很多供應商提供服務來應對這一挑戰，隨著新供應商以及老牌供應商擴大其IAM產品范疇，這個相對較新的領域正處在快速發展中。

企業需要全面審核其可能合作的供應商，以確保其非結構化內容能得到處理。另外更復雜的是，安全專業人員都面臨著這樣的問題：不確定數據在哪里，不確定數據的價值以及敏感程度，也不確定數據訪問權限以及數據的共享情況。與面向應用的數據不同，非結構化內容不受控制，且并沒有進行很好的歸檔。

非結構化數據本質是隱藏的和擴展的，這讓其特別容易受到攻擊，因為它不在數據分類和管理范圍內，無法被傳統安全解決方案歸為敏感數據。很多研究表明，近80%的企業內容為非結構化，并包含在最關鍵性業務流程中。令潛在數據威脅進一步加劇的是，內部威脅是數據泄露事故的頭號原因，無論惡意的還是無意的。

“所有被監控的數據都可能包含一個身份，”Ernst&Young全球信息安全領導者Ken Allan在2016年RSA大會表示，“即使是最有害的數據(例如惡意軟件)都包含一個‘簽名’可連接到其創造者。”

攻擊者更加頻繁地利用受感染的憑證來訪問企業數據，大多數惡意軟件會執行與受害者相同的權限，全球管理員權限可讓惡意代碼訪問幾乎所有的數據。

Allan補充說：“托管安全服務可幫助分析企業信息，檢查不必要的有害數據及惡意軟件，并包含來源信息，防止數據滲透和數據泄露事故。”

回歸基本方法

通過簡單的報告和分析，企業可了解數據在何處并控制其訪問權限，這將有助于緩解攻擊，并可在數據泄露事故中加速取證調查。這還可以幫助實現合規性。通常情況下，尋找適當的工具來實現這種網絡安全時，可通過供應商生態系統使用的術語更直接地進行，而不是難以理解的縮寫。

隱私法律迫使企業查看所有不同類型數據的位置。企業還需要對自己的敏感數據進行定義，首先應該尋找和分類非結構化內容中的敏感數據。隨著企業開始增加更多應用、更多服務器、更多設備和更多供應商，這些可能存在的問題會進一步擴大。

企業不能只是急于部署控制，而應該知道數據位于何處或者需要分類哪些數據以及哪些數據需要提供合理的安全性。同時，還需要找到這些數據，確定誰可訪問數據并發現數據移動的情況。這需要構建包含自動化工具的風險框架。

現在是時候從基礎層面管理非結構化數據了，例如企業應該查看敏感數據的位置、哪些系統和設備連接到這些數據以及部署的保護審計控制。

利用身份和訪問管理

隨著越來越多的云服務涌現，以及員工使用個人設備或遠程訪問企業數據，基本用戶名和密碼無法提供足夠的安全性。

常見的還有IAM系統部署不一致的問題，通常情況下，外圍系統包含企業最重要的數據，但它們只有較少的安全控制。

在去年IBM X-Force威脅情報季度報告中，17.2%的安全專業人員回答說拒絕服務是他們發現的最常見的攻擊類型。然而，超過40%的安全專家表示最常見的攻擊類型是未公開的攻擊。而當大多數針對企業的攻擊基本上不為人所知時，對于企業來說，部署強大的IAM系統以及非結構化數據管理戰略則更為重要。

大多數關鍵業務流程依靠某種形式的非結構化內容，并通常包含敏感信息、知識產權、財務信息以及其他重要數據。

“很多大型金融行業的企業已經意識到身份的作用，他們任命內部領導提供對身份的政策、流程和監管，并負責維持身份和數據之間關系，”Allan稱，“要記住，身份可連接到很多東西，例如，無人駕駛汽車可能會生成某些信息，從而連接到某個身份。”

非結構化數據管理方法

企業領導人開始意識到非結構化內容不受控制的狀況，企業面臨的挑戰包括如下：

◆映射現有的非結構化數據存儲

◆尋找數據(例如文件夾、文件、網站)所有者以及映射關鍵用戶群

◆分類敏感數據

◆對數據存儲定義和執行授權政策

企業應該采取以下行動

◆執行實際數據訪問

◆映射數據所有者、用戶群和使用模式

◆分析用戶和群組對數據的訪問權限

◆建議更改權限以滿足企業和監管政策

◆支持用戶權限審查和權限授予進程

◆控制員工訪問和特權

在2012年，微軟稱其過去五年的研究表明，幾乎80%的企業內容為非結構化數據。對于這種類型的數據，企業并沒有通過正式流程來授予訪問權限。據微軟表示，當時很多企業估計他們文件系統每年數據的增長率為30%到40%;考慮到這一點，現在映射非結構化內容不僅是持續的問題，而且可能是需要不斷深化的問題。

在企業發現、映射和分類非結構化內容后，他們必須審查其IAM政策和系統。對于保護這類數據免受惡意軟件和其他威脅，最后一條建議是控制員工特權。FireEye公司系統工程師Jens Monrad表示，大多數惡意代碼能夠使用與受感染個體相同的權限來訪問數據。

在2016年RSA大會接受采訪時，STELTHbits Technologies公司產品營銷高級副總裁Adam Laub表示，“如果我有域管理憑證，并使用它登錄到面向公眾的系統中，那么，成功的網絡釣魚攻擊可利用該憑證來進入域控制器，這幾乎可危及整個域。”

企業還需要查看行為以及授權，以更好地支持整個環境。

“如今的攻擊者獲得越來越多的憑證，他們在橫向移動，”Laub補充說，“如果企業能夠捕捉認證信息，就可以看到模式和異常情況，從而更快速地發現這種類型的活動。”

雖然對于提升和改善安全和風險管理來說會涉及到很多方面，但企業應該先了解他們有多少非結構化數據，以及構建適當的身份及訪問控制保護這些內容。