防范數據泄露“崩盤”，安全配置管理是本手

在電影《教父2》中，邁克爾·柯里昂說：“我父親在這個房間里教給我的東西很多。他教導我：靠近你的朋友，更要拉近你的敵人。”老教父教給兒子的這一課同樣適用于安全配置管理(SCM)。

“拉近敵人”：安全配置管理是關鍵

當今的網絡威脅形勢極具挑戰性，但是企業檢測數據泄露所需的時間絲毫不見縮短。據IBM的報告，從攻擊開始到企業檢測的平均時間仍停留在212天。212天大約是7個月，這對于攻擊者來說有足夠的時間對網絡造成嚴重破壞，泄露海量數據。

那么，一個組織應該從哪里開始“拉近他們的敵人”呢？SANS研究所和互聯網安全中心建議，一旦您清點完畢硬件和軟件資產，接下來最重要的安全控制就是安全配置。CIS4（關鍵安全控制）要求：“建立和維護企業資產（最終用戶設備，包括便攜式和移動設備、網絡設備、非計算/物聯網設備、和服務器）和軟件（操作系統和應用程序）的安全配置。”

什么是安全配置管理？

美國國家標準與技術研究院(NIST)將安全配置管理(SCM)定義為“以實現安全和管理風險為目標的，對信息系統配置的管理和控制”。

攻擊者最先尋找的總是哪些易受攻擊的采用默認設置的系統。而一旦攻擊者利用了系統，他們就會開始（對文件、配置和注冊表等）進行更改，這也是安全配置管理工具如此重要的原因。安全配置管理不僅可以識別使系統易受攻擊的錯誤配置，還可以識別對關鍵文件或注冊表項的“異常”更改。

由于幾乎每天都會發現新的零日漏洞和威脅，基于簽名的防御不足以檢測高級威脅。為了及早發現數據泄露事件，組織不僅需要了解關鍵設備上發生了什么變化，還需要能夠識別“不良”變化。安全配置管理工具使組織能夠準確了解其關鍵資產的變化。

通過為系統設置“黃金標準配置”并持續監控入侵指標，從而快速識別違規行為。及早發現漏洞將有助于減輕攻擊造成的損害。安全配置管理需要執行企業強化標準（如CIS、NIST和ISO 27001等）或合規性標準（如PCI、SOX、NERC或HIPAA），持續強化系統以減少攻擊面。強化系統還能大大降低被攻擊的機會。

安全配置管理計劃的四個關鍵階段

如果沒有安全配置管理計劃，即使在單個服務器上維護安全配置的任務也很艱巨，有超過一千個端口、服務和配置需要跟蹤。如果您在整個企業的服務器、管理程序、云資產、路由器、交換機和防火墻中增加相同的端口、服務和配置，那么跟蹤所有這些配置的唯一方法就是通過自動化工具。

一個好的安全配置管理工具可以為安全團隊自動執行這些任務，同時提供深入的系統可見性。當系統配置錯誤時，管理工具會發送通知并提供詳細的修復說明，以使錯誤配置重新對齊。靠譜的安全配置管理有四個關鍵階段：

1.設備發現

首先，您要找到需要管理的設備。理想情況下，您可以利用具有集成資產管理存儲庫的安全配置管理平臺。您還需要對資產進行分類和“標記”以避免啟動不必要的服務。例如，工程工作站需要與財務系統不同的配置。

2.建立配置基線

您需要為每種需要管理的設備類型定義可接受的安全配置。許多組織從CIS或NIST等受信任機構的基準開始，以獲得有關如何配置設備的詳細指導。

3.評估、提醒和報告變化

一旦設備被發現并分類，下一步就是定義評估頻率。您多久進行一次策略檢查？實時評估可能可用，但并非所有用例都需要。

4.補救

一旦發現問題，要么需要修復它，要么需要有人批準例外。您可能有太多工作需要立即處理，因此優先級是成功的關鍵標準。您還需要驗證審計中是否確實發生了預期的更改。

在考慮安全配置管理計劃時，不能忽略的其他注意事項是：

• 基于代理與無代理掃描：避免IT環境中的盲點通常涉及基于代理和無代理掃描的復雜組合，以確保始終正確配置整個環境。
• 高可見性儀表板：您需要用戶可選擇的儀表板元素和功能，以及面向非技術用戶的默認設置。您應該能夠僅向授權用戶或組顯示某些元素、策略和/或警報，而權利通常存儲在企業目錄中。
• 策略創建和管理：警報由您在系統中實施的策略驅動，因此策略創建和管理對于使解決方案適應環境的獨特要求也至關重要。
• 警報管理：在任何響應過程中，時間都是至關重要的，因此能否在短時間內挖掘更深入的細節，為事件響應流程提供信息至關重要。這使管理員監控和管理能夠及時發現導致數據泄露的策略違規行為。

安全配置管理過程很復雜，但如果企業使用正確的安全配置管理工具，大部分工作將自動化完成。實施企業強化標準并創建基線以識別異常更改是“讓敵人更靠近”的好方法。

來源：@GoUpSec