信息來源:安全內(nèi)參
在電影《教父2》中,邁克爾·柯里昂說:“我父親在這個(gè)房間里教給我的東西很多。他教導(dǎo)我:靠近你的朋友,更要拉近你的敵人?!崩辖谈附探o兒子的這一課同樣適用于安全配置管理(SCM)。
“拉近敵人”:安全配置管理是關(guān)鍵
當(dāng)今的網(wǎng)絡(luò)威脅形勢(shì)極具挑戰(zhàn)性,但是企業(yè)檢測(cè)數(shù)據(jù)泄露所需的時(shí)間絲毫不見縮短。據(jù)IBM的報(bào)告,從攻擊開始到企業(yè)檢測(cè)的平均時(shí)間仍停留在212天。212天大約是7個(gè)月,這對(duì)于攻擊者來說有足夠的時(shí)間對(duì)網(wǎng)絡(luò)造成嚴(yán)重破壞,泄露海量數(shù)據(jù)。
那么,一個(gè)組織應(yīng)該從哪里開始“拉近他們的敵人”呢?SANS研究所和互聯(lián)網(wǎng)安全中心建議,一旦您清點(diǎn)完畢硬件和軟件資產(chǎn),接下來最重要的安全控制就是安全配置。CIS4(關(guān)鍵安全控制)要求:“建立和維護(hù)企業(yè)資產(chǎn)(最終用戶設(shè)備,包括便攜式和移動(dòng)設(shè)備、網(wǎng)絡(luò)設(shè)備、非計(jì)算/物聯(lián)網(wǎng)設(shè)備、和服務(wù)器)和軟件(操作系統(tǒng)和應(yīng)用程序)的安全配置。”
什么是安全配置管理?
美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將安全配置管理(SCM)定義為“以實(shí)現(xiàn)安全和管理風(fēng)險(xiǎn)為目標(biāo)的,對(duì)信息系統(tǒng)配置的管理和控制”。
攻擊者最先尋找的總是哪些易受攻擊的采用默認(rèn)設(shè)置的系統(tǒng)。而一旦攻擊者利用了系統(tǒng),他們就會(huì)開始(對(duì)文件、配置和注冊(cè)表等)進(jìn)行更改,這也是安全配置管理工具如此重要的原因。安全配置管理不僅可以識(shí)別使系統(tǒng)易受攻擊的錯(cuò)誤配置,還可以識(shí)別對(duì)關(guān)鍵文件或注冊(cè)表項(xiàng)的“異?!备?。
由于幾乎每天都會(huì)發(fā)現(xiàn)新的零日漏洞和威脅,基于簽名的防御不足以檢測(cè)高級(jí)威脅。為了及早發(fā)現(xiàn)數(shù)據(jù)泄露事件,組織不僅需要了解關(guān)鍵設(shè)備上發(fā)生了什么變化,還需要能夠識(shí)別“不良”變化。安全配置管理工具使組織能夠準(zhǔn)確了解其關(guān)鍵資產(chǎn)的變化。
通過為系統(tǒng)設(shè)置“黃金標(biāo)準(zhǔn)配置”并持續(xù)監(jiān)控入侵指標(biāo),從而快速識(shí)別違規(guī)行為。及早發(fā)現(xiàn)漏洞將有助于減輕攻擊造成的損害。安全配置管理需要執(zhí)行企業(yè)強(qiáng)化標(biāo)準(zhǔn)(如CIS、NIST和ISO 27001等)或合規(guī)性標(biāo)準(zhǔn)(如PCI、SOX、NERC或HIPAA),持續(xù)強(qiáng)化系統(tǒng)以減少攻擊面。強(qiáng)化系統(tǒng)還能大大降低被攻擊的機(jī)會(huì)。
安全配置管理計(jì)劃的四個(gè)關(guān)鍵階段
如果沒有安全配置管理計(jì)劃,即使在單個(gè)服務(wù)器上維護(hù)安全配置的任務(wù)也很艱巨,有超過一千個(gè)端口、服務(wù)和配置需要跟蹤。如果您在整個(gè)企業(yè)的服務(wù)器、管理程序、云資產(chǎn)、路由器、交換機(jī)和防火墻中增加相同的端口、服務(wù)和配置,那么跟蹤所有這些配置的唯一方法就是通過自動(dòng)化工具。
一個(gè)好的安全配置管理工具可以為安全團(tuán)隊(duì)自動(dòng)執(zhí)行這些任務(wù),同時(shí)提供深入的系統(tǒng)可見性。當(dāng)系統(tǒng)配置錯(cuò)誤時(shí),管理工具會(huì)發(fā)送通知并提供詳細(xì)的修復(fù)說明,以使錯(cuò)誤配置重新對(duì)齊??孔V的安全配置管理有四個(gè)關(guān)鍵階段:
1.設(shè)備發(fā)現(xiàn)
首先,您要找到需要管理的設(shè)備。理想情況下,您可以利用具有集成資產(chǎn)管理存儲(chǔ)庫的安全配置管理平臺(tái)。您還需要對(duì)資產(chǎn)進(jìn)行分類和“標(biāo)記”以避免啟動(dòng)不必要的服務(wù)。例如,工程工作站需要與財(cái)務(wù)系統(tǒng)不同的配置。
2.建立配置基線
您需要為每種需要管理的設(shè)備類型定義可接受的安全配置。許多組織從CIS或NIST等受信任機(jī)構(gòu)的基準(zhǔn)開始,以獲得有關(guān)如何配置設(shè)備的詳細(xì)指導(dǎo)。
3.評(píng)估、提醒和報(bào)告變化
一旦設(shè)備被發(fā)現(xiàn)并分類,下一步就是定義評(píng)估頻率。您多久進(jìn)行一次策略檢查?實(shí)時(shí)評(píng)估可能可用,但并非所有用例都需要。
4.補(bǔ)救
一旦發(fā)現(xiàn)問題,要么需要修復(fù)它,要么需要有人批準(zhǔn)例外。您可能有太多工作需要立即處理,因此優(yōu)先級(jí)是成功的關(guān)鍵標(biāo)準(zhǔn)。您還需要驗(yàn)證審計(jì)中是否確實(shí)發(fā)生了預(yù)期的更改。
在考慮安全配置管理計(jì)劃時(shí),不能忽略的其他注意事項(xiàng)是:
-
基于代理與無代理掃描:避免IT環(huán)境中的盲點(diǎn)通常涉及基于代理和無代理掃描的復(fù)雜組合,以確保始終正確配置整個(gè)環(huán)境。
-
高可見性儀表板:您需要用戶可選擇的儀表板元素和功能,以及面向非技術(shù)用戶的默認(rèn)設(shè)置。您應(yīng)該能夠僅向授權(quán)用戶或組顯示某些元素、策略和/或警報(bào),而權(quán)利通常存儲(chǔ)在企業(yè)目錄中。
-
策略創(chuàng)建和管理:警報(bào)由您在系統(tǒng)中實(shí)施的策略驅(qū)動(dòng),因此策略創(chuàng)建和管理對(duì)于使解決方案適應(yīng)環(huán)境的獨(dú)特要求也至關(guān)重要。
-
警報(bào)管理:在任何響應(yīng)過程中,時(shí)間都是至關(guān)重要的,因此能否在短時(shí)間內(nèi)挖掘更深入的細(xì)節(jié),為事件響應(yīng)流程提供信息至關(guān)重要。這使管理員監(jiān)控和管理能夠及時(shí)發(fā)現(xiàn)導(dǎo)致數(shù)據(jù)泄露的策略違規(guī)行為。
安全配置管理過程很復(fù)雜,但如果企業(yè)使用正確的安全配置管理工具,大部分工作將自動(dòng)化完成。實(shí)施企業(yè)強(qiáng)化標(biāo)準(zhǔn)并創(chuàng)建基線以識(shí)別異常更改是“讓敵人更靠近”的好方法。