信息來源：安全內參

在電影《教父2》中，邁克爾·柯里昂說：“我父親在這個房間里教給我的東西很多。他教導我：靠近你的朋友，更要拉近你的敵人?！崩辖谈附探o兒子的這一課同樣適用于安全配置管理(SCM)。

“拉近敵人”：安全配置管理是關鍵

當今的網絡威脅形勢極具挑戰(zhàn)性，但是企業(yè)檢測數據泄露所需的時間絲毫不見縮短。據IBM的報告，從攻擊開始到企業(yè)檢測的平均時間仍停留在212天。212天大約是7個月，這對于攻擊者來說有足夠的時間對網絡造成嚴重破壞，泄露海量數據。

那么，一個組織應該從哪里開始“拉近他們的敵人”呢？SANS研究所和互聯(lián)網安全中心建議，一旦您清點完畢硬件和軟件資產，接下來最重要的安全控制就是安全配置。CIS4（關鍵安全控制）要求：“建立和維護企業(yè)資產（最終用戶設備，包括便攜式和移動設備、網絡設備、非計算/物聯(lián)網設備、和服務器）和軟件（操作系統(tǒng)和應用程序）的安全配置。”

什么是安全配置管理？

美國國家標準與技術研究院(NIST)將安全配置管理(SCM)定義為“以實現安全和管理風險為目標的，對信息系統(tǒng)配置的管理和控制”。

攻擊者最先尋找的總是哪些易受攻擊的采用默認設置的系統(tǒng)。而一旦攻擊者利用了系統(tǒng)，他們就會開始（對文件、配置和注冊表等）進行更改，這也是安全配置管理工具如此重要的原因。安全配置管理不僅可以識別使系統(tǒng)易受攻擊的錯誤配置，還可以識別對關鍵文件或注冊表項的“異?！备摹?

由于幾乎每天都會發(fā)現新的零日漏洞和威脅，基于簽名的防御不足以檢測高級威脅。為了及早發(fā)現數據泄露事件，組織不僅需要了解關鍵設備上發(fā)生了什么變化，還需要能夠識別“不良”變化。安全配置管理工具使組織能夠準確了解其關鍵資產的變化。

通過為系統(tǒng)設置“黃金標準配置”并持續(xù)監(jiān)控入侵指標，從而快速識別違規(guī)行為。及早發(fā)現漏洞將有助于減輕攻擊造成的損害。安全配置管理需要執(zhí)行企業(yè)強化標準（如CIS、NIST和ISO 27001等）或合規(guī)性標準（如PCI、SOX、NERC或HIPAA），持續(xù)強化系統(tǒng)以減少攻擊面。強化系統(tǒng)還能大大降低被攻擊的機會。

安全配置管理計劃的四個關鍵階段

如果沒有安全配置管理計劃，即使在單個服務器上維護安全配置的任務也很艱巨，有超過一千個端口、服務和配置需要跟蹤。如果您在整個企業(yè)的服務器、管理程序、云資產、路由器、交換機和防火墻中增加相同的端口、服務和配置，那么跟蹤所有這些配置的唯一方法就是通過自動化工具。

一個好的安全配置管理工具可以為安全團隊自動執(zhí)行這些任務，同時提供深入的系統(tǒng)可見性。當系統(tǒng)配置錯誤時，管理工具會發(fā)送通知并提供詳細的修復說明，以使錯誤配置重新對齊。靠譜的安全配置管理有四個關鍵階段：

1.設備發(fā)現

首先，您要找到需要管理的設備。理想情況下，您可以利用具有集成資產管理存儲庫的安全配置管理平臺。您還需要對資產進行分類和“標記”以避免啟動不必要的服務。例如，工程工作站需要與財務系統(tǒng)不同的配置。

2.建立配置基線

您需要為每種需要管理的設備類型定義可接受的安全配置。許多組織從CIS或NIST等受信任機構的基準開始，以獲得有關如何配置設備的詳細指導。

3.評估、提醒和報告變化

一旦設備被發(fā)現并分類，下一步就是定義評估頻率。您多久進行一次策略檢查？實時評估可能可用，但并非所有用例都需要。

4.補救

一旦發(fā)現問題，要么需要修復它，要么需要有人批準例外。您可能有太多工作需要立即處理，因此優(yōu)先級是成功的關鍵標準。您還需要驗證審計中是否確實發(fā)生了預期的更改。

在考慮安全配置管理計劃時，不能忽略的其他注意事項是：

• 基于代理與無代理掃描：避免IT環(huán)境中的盲點通常涉及基于代理和無代理掃描的復雜組合，以確保始終正確配置整個環(huán)境。

• 高可見性儀表板：您需要用戶可選擇的儀表板元素和功能，以及面向非技術用戶的默認設置。您應該能夠僅向授權用戶或組顯示某些元素、策略和/或警報，而權利通常存儲在企業(yè)目錄中。

• 策略創(chuàng)建和管理：警報由您在系統(tǒng)中實施的策略驅動，因此策略創(chuàng)建和管理對于使解決方案適應環(huán)境的獨特要求也至關重要。

• 警報管理：在任何響應過程中，時間都是至關重要的，因此能否在短時間內挖掘更深入的細節(jié)，為事件響應流程提供信息至關重要。這使管理員監(jiān)控和管理能夠及時發(fā)現導致數據泄露的策略違規(guī)行為。

安全配置管理過程很復雜，但如果企業(yè)使用正確的安全配置管理工具，大部分工作將自動化完成。實施企業(yè)強化標準并創(chuàng)建基線以識別異常更改是“讓敵人更靠近”的好方法。