信息來(lái)源：安全內(nèi)參

在電影《教父2》中，邁克爾·柯里昂說(shuō)：“我父親在這個(gè)房間里教給我的東西很多。他教導(dǎo)我：靠近你的朋友，更要拉近你的敵人?！崩辖谈附探o兒子的這一課同樣適用于安全配置管理(SCM)。

“拉近敵人”：安全配置管理是關(guān)鍵

當(dāng)今的網(wǎng)絡(luò)威脅形勢(shì)極具挑戰(zhàn)性，但是企業(yè)檢測(cè)數(shù)據(jù)泄露所需的時(shí)間絲毫不見縮短。據(jù)IBM的報(bào)告，從攻擊開始到企業(yè)檢測(cè)的平均時(shí)間仍停留在212天。212天大約是7個(gè)月，這對(duì)于攻擊者來(lái)說(shuō)有足夠的時(shí)間對(duì)網(wǎng)絡(luò)造成嚴(yán)重破壞，泄露海量數(shù)據(jù)。

那么，一個(gè)組織應(yīng)該從哪里開始“拉近他們的敵人”呢？SANS研究所和互聯(lián)網(wǎng)安全中心建議，一旦您清點(diǎn)完畢硬件和軟件資產(chǎn)，接下來(lái)最重要的安全控制就是安全配置。CIS4（關(guān)鍵安全控制）要求：“建立和維護(hù)企業(yè)資產(chǎn)（最終用戶設(shè)備，包括便攜式和移動(dòng)設(shè)備、網(wǎng)絡(luò)設(shè)備、非計(jì)算/物聯(lián)網(wǎng)設(shè)備、和服務(wù)器）和軟件（操作系統(tǒng)和應(yīng)用程序）的安全配置?！?

什么是安全配置管理？

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將安全配置管理(SCM)定義為“以實(shí)現(xiàn)安全和管理風(fēng)險(xiǎn)為目標(biāo)的，對(duì)信息系統(tǒng)配置的管理和控制”。

攻擊者最先尋找的總是哪些易受攻擊的采用默認(rèn)設(shè)置的系統(tǒng)。而一旦攻擊者利用了系統(tǒng)，他們就會(huì)開始（對(duì)文件、配置和注冊(cè)表等）進(jìn)行更改，這也是安全配置管理工具如此重要的原因。安全配置管理不僅可以識(shí)別使系統(tǒng)易受攻擊的錯(cuò)誤配置，還可以識(shí)別對(duì)關(guān)鍵文件或注冊(cè)表項(xiàng)的“異?！备摹?

由于幾乎每天都會(huì)發(fā)現(xiàn)新的零日漏洞和威脅，基于簽名的防御不足以檢測(cè)高級(jí)威脅。為了及早發(fā)現(xiàn)數(shù)據(jù)泄露事件，組織不僅需要了解關(guān)鍵設(shè)備上發(fā)生了什么變化，還需要能夠識(shí)別“不良”變化。安全配置管理工具使組織能夠準(zhǔn)確了解其關(guān)鍵資產(chǎn)的變化。

通過為系統(tǒng)設(shè)置“黃金標(biāo)準(zhǔn)配置”并持續(xù)監(jiān)控入侵指標(biāo)，從而快速識(shí)別違規(guī)行為。及早發(fā)現(xiàn)漏洞將有助于減輕攻擊造成的損害。安全配置管理需要執(zhí)行企業(yè)強(qiáng)化標(biāo)準(zhǔn)（如CIS、NIST和ISO 27001等）或合規(guī)性標(biāo)準(zhǔn)（如PCI、SOX、NERC或HIPAA），持續(xù)強(qiáng)化系統(tǒng)以減少攻擊面。強(qiáng)化系統(tǒng)還能大大降低被攻擊的機(jī)會(huì)。

安全配置管理計(jì)劃的四個(gè)關(guān)鍵階段

如果沒有安全配置管理計(jì)劃，即使在單個(gè)服務(wù)器上維護(hù)安全配置的任務(wù)也很艱巨，有超過一千個(gè)端口、服務(wù)和配置需要跟蹤。如果您在整個(gè)企業(yè)的服務(wù)器、管理程序、云資產(chǎn)、路由器、交換機(jī)和防火墻中增加相同的端口、服務(wù)和配置，那么跟蹤所有這些配置的唯一方法就是通過自動(dòng)化工具。

一個(gè)好的安全配置管理工具可以為安全團(tuán)隊(duì)自動(dòng)執(zhí)行這些任務(wù)，同時(shí)提供深入的系統(tǒng)可見性。當(dāng)系統(tǒng)配置錯(cuò)誤時(shí)，管理工具會(huì)發(fā)送通知并提供詳細(xì)的修復(fù)說(shuō)明，以使錯(cuò)誤配置重新對(duì)齊。靠譜的安全配置管理有四個(gè)關(guān)鍵階段：

1.設(shè)備發(fā)現(xiàn)

首先，您要找到需要管理的設(shè)備。理想情況下，您可以利用具有集成資產(chǎn)管理存儲(chǔ)庫(kù)的安全配置管理平臺(tái)。您還需要對(duì)資產(chǎn)進(jìn)行分類和“標(biāo)記”以避免啟動(dòng)不必要的服務(wù)。例如，工程工作站需要與財(cái)務(wù)系統(tǒng)不同的配置。

2.建立配置基線

您需要為每種需要管理的設(shè)備類型定義可接受的安全配置。許多組織從CIS或NIST等受信任機(jī)構(gòu)的基準(zhǔn)開始，以獲得有關(guān)如何配置設(shè)備的詳細(xì)指導(dǎo)。

3.評(píng)估、提醒和報(bào)告變化

一旦設(shè)備被發(fā)現(xiàn)并分類，下一步就是定義評(píng)估頻率。您多久進(jìn)行一次策略檢查？實(shí)時(shí)評(píng)估可能可用，但并非所有用例都需要。

4.補(bǔ)救

一旦發(fā)現(xiàn)問題，要么需要修復(fù)它，要么需要有人批準(zhǔn)例外。您可能有太多工作需要立即處理，因此優(yōu)先級(jí)是成功的關(guān)鍵標(biāo)準(zhǔn)。您還需要驗(yàn)證審計(jì)中是否確實(shí)發(fā)生了預(yù)期的更改。

在考慮安全配置管理計(jì)劃時(shí)，不能忽略的其他注意事項(xiàng)是：

• 基于代理與無(wú)代理掃描：避免IT環(huán)境中的盲點(diǎn)通常涉及基于代理和無(wú)代理掃描的復(fù)雜組合，以確保始終正確配置整個(gè)環(huán)境。

• 高可見性儀表板：您需要用戶可選擇的儀表板元素和功能，以及面向非技術(shù)用戶的默認(rèn)設(shè)置。您應(yīng)該能夠僅向授權(quán)用戶或組顯示某些元素、策略和/或警報(bào)，而權(quán)利通常存儲(chǔ)在企業(yè)目錄中。

• 策略創(chuàng)建和管理：警報(bào)由您在系統(tǒng)中實(shí)施的策略驅(qū)動(dòng)，因此策略創(chuàng)建和管理對(duì)于使解決方案適應(yīng)環(huán)境的獨(dú)特要求也至關(guān)重要。

• 警報(bào)管理：在任何響應(yīng)過程中，時(shí)間都是至關(guān)重要的，因此能否在短時(shí)間內(nèi)挖掘更深入的細(xì)節(jié)，為事件響應(yīng)流程提供信息至關(guān)重要。這使管理員監(jiān)控和管理能夠及時(shí)發(fā)現(xiàn)導(dǎo)致數(shù)據(jù)泄露的策略違規(guī)行為。

安全配置管理過程很復(fù)雜，但如果企業(yè)使用正確的安全配置管理工具，大部分工作將自動(dòng)化完成。實(shí)施企業(yè)強(qiáng)化標(biāo)準(zhǔn)并創(chuàng)建基線以識(shí)別異常更改是“讓敵人更靠近”的好方法。