安全配置管理(SCM)已经成为现代企业组织开展网络安全建设的重要基础工作,是各种安全能力有效运营的基础,缺少它一切只是空中楼阁。SANS 研究所和互联网安全中心建议,当企业全面梳理IT资产后,最重要的安全控制就是进行可靠的安全配置。CIS关键安全控制第4项(Critical Security Control 4)也表明,“企业应建立和维护硬件(包括便携式和移动设备的最终用户设备、网络设备、非计算/物联网设备及服务器)和软件(操作系统及应用程序)的安全配置。”
什么是安全配置管理?
美国国家标准与技术研究所(NIST)给安全配置管理SCM进行了以下定义:以实现安全和管理风险为目标的信息系统配置管理和控制。通过为系统设置一套标准配置,并持续监控各个指标,组织就可以迅速识别违规行为,并减少攻击面。
如果组织使用SCM执行安全加强标准(比如CIS、NIST和ISO 27001)或合规标准(比如PCI、SOX、NERC或HIPAA),就能够持续加强系统安全,减小网络犯罪分子发动攻击的机会。
攻击者总是伺机寻找那些默认设置很容易中招的系统,一旦发现漏洞,攻击者就会更改系统设置,实施破坏活动。在这种情况下,安全人员能够拥有一套合适的管理工具,对安全配置进行有效管理显得格外重要。SCM工具不仅可以识别使组织系统易受攻击的错误配置,还可以让组织准确了解关键资产上发生的变化,比如,可以识别对关键文件或注册表项所做的“异常”变更等。
安全配置管理计划与实施
组织如果没有安全配置管理计划,即使在一台服务器上维护安全配置也困难重重,更何况组织通常有成千上万个端口、服务和配置需要跟踪。为有效跟踪企业众多服务器、虚拟机管理程序、云资产、路由器、交换机和防火墙的配置情况,最好的方法是借助自动化。一款好的SCM工具可以为组织自动处理这些任务,同时清晰显示系统情况。一旦组织的系统配置有误,安全人员就会立即接到通知,并获得详细的处置说明,以纠正错误配置。
成熟的SCM计划有四个关键阶段:
1.发现设备
首先组织要找到需要管理的设备,组织可以利用整合资产管理存储库的SCM平台完成这项工作。组织还需要对资产进行分类和标记,比如,技术部门的工作站需要与财务系统不一样的配置,避免启动不必要的服务。
2.建立配置基准
组织需要为每种类型的受管理设备确定可接受的安全配置。许多组织从CIS或NIST等权威机构的基准入手,以获得配置设备的详细指导。
3.评估和报告变更
组织在找到需要管理的设备并进行分门别类后,下一步就是定义评估设备的频次,也就是组织应该多久审查一次安全策略。也许有些企业可以使用实时评估,但并非所有场景都需要实时评估,应根据企业的具体情况进行设置。
4.及时补救
一旦发现了问题,就需要修复问题,否则攻击者就会趁虚而入。组织需要确定待处理事项的优先级,根据轻重缓急处理不同问题,同时,还需要验证系统或配置确实发生了变更。
企业在设计有效的安全配置管理计划时,还要重点关注以下事项:
•要避免在IT系统环境中出现资产盲点,通常需要结合基于代理的扫描和无代理扫描,以确保始终正确配置了整个环境;
•组织需要为技术用户和非技术用户设置可选择的设置模式,并且需要能够实现仅向授权用户或用户组显示某些要素、策略及/或警报,这些权限通常存储在企业目录中;
•安全警报通常由系统中配置的策略驱动,因此,为确保SCM方案满足企业的独特需求,创建和管理策略至关重要;
•争分夺秒在任何事件响应中都非常重要,因此,能够通过深入分析,为事件响应流程提供有价值的信息就显得很有必要。管理员可以监控和管理表明有违规行为的策略违反行为。
虽然安全配置管理过程很复杂,但如果组织使用合适的SCM工具,大部分工作都可以借助自动化来完成。组织使用安全加强标准,并设立基准基线,以识别该标准出现的变化,是“密切关注敌人”的好方法。
参考链接