多項研究報告指出,配置錯誤已經(jīng)成為導(dǎo)致企業(yè)敏感數(shù)據(jù)泄露的最主要原因,有超過90%的數(shù)據(jù)安全事件是由企業(yè)自己的原因直接/間接引發(fā)。在這種情況下,安全運營人員如果能夠擁有一套完善的安全配置管理(SecCM)計劃,持續(xù)對企業(yè)整體環(huán)境中各種易受攻擊的錯誤配置進(jìn)行全面管理就顯得格外重要。
什么是SecCM?
美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)對SecCM進(jìn)行了以下定義:這是一種以實現(xiàn)安全和管理風(fēng)險為目標(biāo)的信息系統(tǒng)配置管理和控制,通過為系統(tǒng)設(shè)置一套標(biāo)準(zhǔn)配置,并持續(xù)監(jiān)控各個指標(biāo)。使用SecCM執(zhí)行安全加強標(biāo)準(zhǔn)(比如CIS、NIST、ISO 27001)或合規(guī)標(biāo)準(zhǔn)(比如PCI、SOX、NERC、HIPAA),組織就可以迅速識別違規(guī)行為,并減少攻擊面。
安全研究人員認(rèn)為,SecCM應(yīng)該成為現(xiàn)代企業(yè)開展網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)性要求和重要工作。SANS 研究所和互聯(lián)網(wǎng)安全中心建議,當(dāng)企業(yè)全面梳理IT資產(chǎn)后,最重要的安全控制就是進(jìn)行可靠的安全配置。CIS關(guān)鍵安全控制第4項(Critical Security Control 4)也明確要求,“企業(yè)應(yīng)建立和維護(hù)硬件(包括便攜式和移動設(shè)備的最終用戶設(shè)備、網(wǎng)絡(luò)設(shè)備、非計算/物聯(lián)網(wǎng)設(shè)備及服務(wù)器)和軟件(操作系統(tǒng)及應(yīng)用程序)的安全配置。”
在一個完善的SecCM方案中,會包含多個基于安全最佳實踐的基礎(chǔ)控制措施,例如:
使用漏洞評估策略緩解已知的安全缺陷
評估已授權(quán)硬件和軟件系統(tǒng)的配置安全性;
使用規(guī)范的安全流程和控制措施來自動修復(fù)異常配置。
SecCM應(yīng)用實踐
如果沒有一套完善的安全配置管理計劃,企業(yè)的安全人員即使只維護(hù)一臺服務(wù)器應(yīng)用的安全配置也并不容易,更不要說當(dāng)組織有成千上萬個端口、服務(wù)和配置需要跟蹤維護(hù)時。應(yīng)用實踐表明,一個成熟的SCM計劃通常需要包含有以下四個關(guān)鍵原則:
01全面發(fā)現(xiàn)設(shè)備資產(chǎn)
首先組織要找到需要管理的設(shè)備,組織可以利用整合資產(chǎn)發(fā)現(xiàn)與管理能力的SecCM平臺來完成這項工作。在充分發(fā)現(xiàn)資產(chǎn)的基礎(chǔ)上,組織還需要對所有資產(chǎn)進(jìn)行分類和標(biāo)記,以實現(xiàn)差異化管理,比如,技術(shù)部門的工作站需要與財務(wù)系統(tǒng)不一樣的配置,避免啟動不必要的服務(wù)。
02建立配置標(biāo)準(zhǔn)
組織需要為各種受管理設(shè)備確定明確的、可接受的安全配置標(biāo)準(zhǔn)。在此過程中,企業(yè)可以將CIS或NIST等權(quán)威機構(gòu)給出的安全標(biāo)準(zhǔn)作為參考,以獲得配置設(shè)備的詳細(xì)安全性指導(dǎo),并在此基礎(chǔ)上,結(jié)合企業(yè)的實際應(yīng)用需求,建立安全配置的管理標(biāo)準(zhǔn)。
03評估和報告變更
組織在找到需要管理的設(shè)備并進(jìn)行分類后,下一步就是定義評估設(shè)備的監(jiān)控頻次,也就是組織應(yīng)該多久審查一次安全策略。在條件具備的情況下,部分企業(yè)可以使用實時評估,但并非所有場景都需要實時評估,應(yīng)根據(jù)企業(yè)的具體情況進(jìn)行設(shè)置。
04及時補救
一旦發(fā)現(xiàn)了問題,就需要修復(fù)問題,否則攻擊者就會趁虛而入。組織需要確定待處理事項的優(yōu)先級,根據(jù)輕重緩急處理不同問題,同時,還需要驗證系統(tǒng)或配置確實發(fā)生了變更。
除了要遵循以上關(guān)鍵原則,企業(yè)在制定安全配置管理計劃時,還應(yīng)該重點關(guān)注以下事項:
要避免在IT系統(tǒng)環(huán)境中出現(xiàn)資產(chǎn)盲點,通常需要結(jié)合基于代理的掃描和無代理掃描,以確保始終正確配置了整個環(huán)境;
組織需要為各類型用戶提供可選擇的設(shè)置模式,并且需要能夠?qū)崿F(xiàn)僅向授權(quán)用戶或用戶組顯示某些要素、策略及/或警報,這些權(quán)限通常存儲在企業(yè)目錄中;
安全警報通常由系統(tǒng)中配置的策略驅(qū)動,因此,為確保SecCM方案滿足企業(yè)的運營需求,靈活的創(chuàng)建和管理策略至關(guān)重要;
安全配置管理的效率也非常重要,管理人員要能夠迅速識別違反管理策略的人員和行為,并能夠通過深入分析,快速為安全事件響應(yīng)流程提供有價值的信息。
SecCM工具選型
安全配置管理過程很復(fù)雜,因此組織需要使用合適的SecCM工具,以自動化的方式來完成大部分管理工作。數(shù)據(jù)顯示,SecCM市場應(yīng)用正在快速增長,預(yù)計到2028年將達(dá)到58.1億美元,復(fù)合年增長率為16.26%。目前,市場上已經(jīng)有非常多的SecCM解決方案,企業(yè)要根據(jù)自己的信息化特點和應(yīng)用需求,選擇真正適合的SecCM解決方案。
01系統(tǒng)環(huán)境支持與兼容
企業(yè)需要確保所選擇的SecCM解決方案能夠有效支持他們正在使用的各種操作系統(tǒng)和應(yīng)用程序,這樣才能最大限度地發(fā)揮SecCM工具的價值。如果SecCM工具與企業(yè)現(xiàn)有的應(yīng)用系統(tǒng)不能兼容,將會造成損害網(wǎng)絡(luò)可見性的管理盲點,影響企業(yè)阻止攻擊者利用錯誤配置效果。
02策略靈活性
優(yōu)秀的SecCM工具應(yīng)該能夠提供多樣化的應(yīng)用策略和配置選項。這些選項將幫助組織在開展數(shù)字化轉(zhuǎn)型時便捷地調(diào)整工具,以適應(yīng)其不斷變化的合規(guī)需求和應(yīng)用需求。SecCM工具還應(yīng)該為企業(yè)提供自定義預(yù)設(shè)策略、定義新策略以及按需求靈活添加新的基線配置的選項。
03可擴展性
組織應(yīng)該確保他們能夠隨時調(diào)整SecCM掃描協(xié)議的頻率、影響和范圍。這種擴展性應(yīng)該包括在網(wǎng)絡(luò)中廣泛分布的各種掃描設(shè)備上,而不會增加端點設(shè)備的負(fù)擔(dān)。它還應(yīng)該具有管理遠(yuǎn)程設(shè)備的能力,并在發(fā)現(xiàn)剛剛聯(lián)網(wǎng)的產(chǎn)品時重點進(jìn)行安全性評估并向管理人員發(fā)出提醒。
04提升自動化程度
盡管企業(yè)可以選擇通過向幫助臺報告配置問題來手動操作SecCM解決方案,但是自動化報告這些問題并與業(yè)務(wù)工作流無縫集成,將給企業(yè)帶來更多的便利和價值。否則,組織可能會由于安全人員的告警疲勞而忽略一些嚴(yán)重的配置錯誤問題,甚至可能將這些問題暴露給攻擊者。通過自動化手段,企業(yè)還可以找到減少誤報的方法,避免浪費時間去調(diào)查一個不構(gòu)成實際威脅的警報,而忽視真正嚴(yán)重的安全問題。
參考鏈接:
https://www.tripwire.com/state-of-security/security-configuration-management
https://cybersecurityforme.com/security-configuration-management/?expand_article=1
