防范数据泄露“崩盘”，安全配置管理是本手

在电影《教父2》中，迈克尔·柯里昂说：“我父亲在这个房间里教给我的东西很多。他教导我：靠近你的朋友，更要拉近你的敌人。”老教父教给儿子的这一课同样适用于安全配置管理(SCM)。

“拉近敌人”：安全配置管理是关键

当今的网络威胁形势极具挑战性，但是企业检测数据泄露所需的时间丝毫不见缩短。据IBM的报告，从攻击开始到企业检测的平均时间仍停留在212天。212天大约是7个月，这对于攻击者来说有足够的时间对网络造成严重破坏，泄露海量数据。

那么，一个组织应该从哪里开始“拉近他们的敌人”呢？SANS研究所和互联网安全中心建议，一旦您清点完毕硬件和软件资产，接下来最重要的安全控制就是安全配置。CIS4（关键安全控制）要求：“建立和维护企业资产（最终用户设备，包括便携式和移动设备、网络设备、非计算/物联网设备、和服务器）和软件（操作系统和应用程序）的安全配置。”

什么是安全配置管理？

美国国家标准与技术研究院(NIST)将安全配置管理(SCM)定义为“以实现安全和管理风险为目标的，对信息系统配置的管理和控制”。

攻击者最先寻找的总是哪些易受攻击的采用默认设置的系统。而一旦攻击者利用了系统，他们就会开始（对文件、配置和注册表等）进行更改，这也是安全配置管理工具如此重要的原因。安全配置管理不仅可以识别使系统易受攻击的错误配置，还可以识别对关键文件或注册表项的“异常”更改。

由于几乎每天都会发现新的零日漏洞和威胁，基于签名的防御不足以检测高级威胁。为了及早发现数据泄露事件，组织不仅需要了解关键设备上发生了什么变化，还需要能够识别“不良”变化。安全配置管理工具使组织能够准确了解其关键资产的变化。

通过为系统设置“黄金标准配置”并持续监控入侵指标，从而快速识别违规行为。及早发现漏洞将有助于减轻攻击造成的损害。安全配置管理需要执行企业强化标准（如CIS、NIST和ISO 27001等）或合规性标准（如PCI、SOX、NERC或HIPAA），持续强化系统以减少攻击面。强化系统还能大大降低被攻击的机会。

安全配置管理计划的四个关键阶段

如果没有安全配置管理计划，即使在单个服务器上维护安全配置的任务也很艰巨，有超过一千个端口、服务和配置需要跟踪。如果您在整个企业的服务器、管理程序、云资产、路由器、交换机和防火墙中增加相同的端口、服务和配置，那么跟踪所有这些配置的唯一方法就是通过自动化工具。

一个好的安全配置管理工具可以为安全团队自动执行这些任务，同时提供深入的系统可见性。当系统配置错误时，管理工具会发送通知并提供详细的修复说明，以使错误配置重新对齐。靠谱的安全配置管理有四个关键阶段：

1.设备发现

首先，您要找到需要管理的设备。理想情况下，您可以利用具有集成资产管理存储库的安全配置管理平台。您还需要对资产进行分类和“标记”以避免启动不必要的服务。例如，工程工作站需要与财务系统不同的配置。

2.建立配置基线

您需要为每种需要管理的设备类型定义可接受的安全配置。许多组织从CIS或NIST等受信任机构的基准开始，以获得有关如何配置设备的详细指导。

3.评估、提醒和报告变化

一旦设备被发现并分类，下一步就是定义评估频率。您多久进行一次策略检查？实时评估可能可用，但并非所有用例都需要。

4.补救

一旦发现问题，要么需要修复它，要么需要有人批准例外。您可能有太多工作需要立即处理，因此优先级是成功的关键标准。您还需要验证审计中是否确实发生了预期的更改。

在考虑安全配置管理计划时，不能忽略的其他注意事项是：

• 基于代理与无代理扫描：避免IT环境中的盲点通常涉及基于代理和无代理扫描的复杂组合，以确保始终正确配置整个环境。
• 高可见性仪表板：您需要用户可选择的仪表板元素和功能，以及面向非技术用户的默认设置。您应该能够仅向授权用户或组显示某些元素、策略和/或警报，而权利通常存储在企业目录中。
• 策略创建和管理：警报由您在系统中实施的策略驱动，因此策略创建和管理对于使解决方案适应环境的独特要求也至关重要。
• 警报管理：在任何响应过程中，时间都是至关重要的，因此能否在短时间内挖掘更深入的细节，为事件响应流程提供信息至关重要。这使管理员监控和管理能够及时发现导致数据泄露的策略违规行为。

安全配置管理过程很复杂，但如果企业使用正确的安全配置管理工具，大部分工作将自动化完成。实施企业强化标准并创建基线以识别异常更改是“让敌人更靠近”的好方法。

来源：@GoUpSec