信息來源：安全內(nèi)參

在電影《教父2》中，邁克爾·柯里昂說：“我父親在這個房間里教給我的東西很多。他教導(dǎo)我：靠近你的朋友，更要拉近你的敵人?！崩辖谈附探o兒子的這一課同樣適用于安全配置管理(SCM)。

“拉近敵人”：安全配置管理是關(guān)鍵

當今的網(wǎng)絡(luò)威脅形勢極具挑戰(zhàn)性，但是企業(yè)檢測數(shù)據(jù)泄露所需的時間絲毫不見縮短。據(jù)IBM的報告，從攻擊開始到企業(yè)檢測的平均時間仍停留在212天。212天大約是7個月，這對于攻擊者來說有足夠的時間對網(wǎng)絡(luò)造成嚴重破壞，泄露海量數(shù)據(jù)。

那么，一個組織應(yīng)該從哪里開始“拉近他們的敵人”呢？SANS研究所和互聯(lián)網(wǎng)安全中心建議，一旦您清點完畢硬件和軟件資產(chǎn)，接下來最重要的安全控制就是安全配置。CIS4（關(guān)鍵安全控制）要求：“建立和維護企業(yè)資產(chǎn)（最終用戶設(shè)備，包括便攜式和移動設(shè)備、網(wǎng)絡(luò)設(shè)備、非計算/物聯(lián)網(wǎng)設(shè)備、和服務(wù)器）和軟件（操作系統(tǒng)和應(yīng)用程序）的安全配置?！?

什么是安全配置管理？

美國國家標準與技術(shù)研究院(NIST)將安全配置管理(SCM)定義為“以實現(xiàn)安全和管理風險為目標的，對信息系統(tǒng)配置的管理和控制”。

攻擊者最先尋找的總是哪些易受攻擊的采用默認設(shè)置的系統(tǒng)。而一旦攻擊者利用了系統(tǒng)，他們就會開始（對文件、配置和注冊表等）進行更改，這也是安全配置管理工具如此重要的原因。安全配置管理不僅可以識別使系統(tǒng)易受攻擊的錯誤配置，還可以識別對關(guān)鍵文件或注冊表項的“異?！备?。

由于幾乎每天都會發(fā)現(xiàn)新的零日漏洞和威脅，基于簽名的防御不足以檢測高級威脅。為了及早發(fā)現(xiàn)數(shù)據(jù)泄露事件，組織不僅需要了解關(guān)鍵設(shè)備上發(fā)生了什么變化，還需要能夠識別“不良”變化。安全配置管理工具使組織能夠準確了解其關(guān)鍵資產(chǎn)的變化。

通過為系統(tǒng)設(shè)置“黃金標準配置”并持續(xù)監(jiān)控入侵指標，從而快速識別違規(guī)行為。及早發(fā)現(xiàn)漏洞將有助于減輕攻擊造成的損害。安全配置管理需要執(zhí)行企業(yè)強化標準（如CIS、NIST和ISO 27001等）或合規(guī)性標準（如PCI、SOX、NERC或HIPAA），持續(xù)強化系統(tǒng)以減少攻擊面。強化系統(tǒng)還能大大降低被攻擊的機會。

安全配置管理計劃的四個關(guān)鍵階段

如果沒有安全配置管理計劃，即使在單個服務(wù)器上維護安全配置的任務(wù)也很艱巨，有超過一千個端口、服務(wù)和配置需要跟蹤。如果您在整個企業(yè)的服務(wù)器、管理程序、云資產(chǎn)、路由器、交換機和防火墻中增加相同的端口、服務(wù)和配置，那么跟蹤所有這些配置的唯一方法就是通過自動化工具。

一個好的安全配置管理工具可以為安全團隊自動執(zhí)行這些任務(wù)，同時提供深入的系統(tǒng)可見性。當系統(tǒng)配置錯誤時，管理工具會發(fā)送通知并提供詳細的修復(fù)說明，以使錯誤配置重新對齊。靠譜的安全配置管理有四個關(guān)鍵階段：

1.設(shè)備發(fā)現(xiàn)

首先，您要找到需要管理的設(shè)備。理想情況下，您可以利用具有集成資產(chǎn)管理存儲庫的安全配置管理平臺。您還需要對資產(chǎn)進行分類和“標記”以避免啟動不必要的服務(wù)。例如，工程工作站需要與財務(wù)系統(tǒng)不同的配置。

2.建立配置基線

您需要為每種需要管理的設(shè)備類型定義可接受的安全配置。許多組織從CIS或NIST等受信任機構(gòu)的基準開始，以獲得有關(guān)如何配置設(shè)備的詳細指導(dǎo)。

3.評估、提醒和報告變化

一旦設(shè)備被發(fā)現(xiàn)并分類，下一步就是定義評估頻率。您多久進行一次策略檢查？實時評估可能可用，但并非所有用例都需要。

4.補救

一旦發(fā)現(xiàn)問題，要么需要修復(fù)它，要么需要有人批準例外。您可能有太多工作需要立即處理，因此優(yōu)先級是成功的關(guān)鍵標準。您還需要驗證審計中是否確實發(fā)生了預(yù)期的更改。

在考慮安全配置管理計劃時，不能忽略的其他注意事項是：

• 基于代理與無代理掃描：避免IT環(huán)境中的盲點通常涉及基于代理和無代理掃描的復(fù)雜組合，以確保始終正確配置整個環(huán)境。

• 高可見性儀表板：您需要用戶可選擇的儀表板元素和功能，以及面向非技術(shù)用戶的默認設(shè)置。您應(yīng)該能夠僅向授權(quán)用戶或組顯示某些元素、策略和/或警報，而權(quán)利通常存儲在企業(yè)目錄中。

• 策略創(chuàng)建和管理：警報由您在系統(tǒng)中實施的策略驅(qū)動，因此策略創(chuàng)建和管理對于使解決方案適應(yīng)環(huán)境的獨特要求也至關(guān)重要。

• 警報管理：在任何響應(yīng)過程中，時間都是至關(guān)重要的，因此能否在短時間內(nèi)挖掘更深入的細節(jié)，為事件響應(yīng)流程提供信息至關(guān)重要。這使管理員監(jiān)控和管理能夠及時發(fā)現(xiàn)導(dǎo)致數(shù)據(jù)泄露的策略違規(guī)行為。

安全配置管理過程很復(fù)雜，但如果企業(yè)使用正確的安全配置管理工具，大部分工作將自動化完成。實施企業(yè)強化標準并創(chuàng)建基線以識別異常更改是“讓敵人更靠近”的好方法。