刚毕业就成为了一名产品汪,还是高端大气上档次的网络安全行业(此处省略100字),而且还负责了一款重量级产品——配置核查系统,小妹又高兴又惶恐,只能发奋学习,努力努力再努力!以下就是这段时间我对SCA的一些认识了,分享给大家,请大佬们多多指教。首先来看一下SCA的定义。
一 、SCA的定义
Gartner把SCA定义为Security Configuration Assessment,翻译过来是安全配置评估,对其的说明是:提供了远程评估和验证配置的功能,例如Windows域组策略中的密码复杂性;经常用于实现法规遵从性,例如PCI或内部安全策略合规性。
从字面意思看Gartner把其定义为“功能”,这种“功能”的作用是进行“远程评估”和“验证配置”,虽然文中缺少“安全”两字,但是从实例分析,以及佐以Gartner文中其他的价值、功能和厂商等介绍,我们可以认为属于安全范畴。
而国内常用的是安全配置核查,定义为对信息系统配置操作,例如操作系统、网络设备、数据库、中间件等多类设备的检查。
当然一些互联网厂商也将SCA用作Security Checklist Analysis的简称,定义为进行安全检查、发现潜在危险、督促各项安全法规、制度、标准实施的一个较为有效的工具。
本文主要参照了前两种方式来理解SCA。同时,Gartner给出了8个具有代表性的SCA厂商:Amazon,Tenable,Rapid7,BeyondTrust,Tripwire,IBM Bigfix,Tanium,Qualys,接下来对这几个厂商进行更详细的一个分析。
二 、SCA的代表厂商及具体支持功能
以下挑了Gartner推荐中的5个厂商:BeyondTrust,Qualys,Rapid7,Tenable以及Tripwire,对其主要功能进行了综合对比分析,参见下表(按首字母排序):
从上表可知,Gartner认为一个标准的SCA至少需要以下几大功能:
• 适用于尽可能多种类的操作系统,数据库,中间件;
• 支持迅速响应;
• 支持自动化配置检查;
• 支持生成报表;
• 合规性遵从,比如:FISMA,STIG,HIPPA,CIS,SCAP。
那么每个厂商具体的SCA相关产品介绍又是什么,以下进行分别的介绍:
1.BeyondTrust
资料来源:BeyondTrust官网
Retina配置合规性模块可以轻松地根据内部策略或外部最佳实践审核配置,同时集中报告以用于监控和监管目的。
主要特征
• 开箱即用的配置审核,报告和警报;
• 用于Windows操作系统的模板,以及用于FDCC,NIST,STIGS,USGCB和Microsoft应用程序的模板;
• 审计和安全设置,用户权限,日志记录配置等的评估;
• 内置报告并与Retina CS集成,用于增量,趋势和其他分析;
• OVAL 5.6 SCAP认证的扫描引擎和解释器。
Retina监管报告模块使您能够有效地浏览复杂的法规遵从环境。 该模块通过将网络的特定漏洞映射到相关的公司政策,政府法规和行业标准,超越了通用合规报告。
主要特征
• 与Retina CS和Retina配置合规性模块无缝集成;
• PCI,HIPAA,SOX,GLBA,NIST,FERC / NERC,MASS 201,ISO,COBiT,ITIL,HITRUST等法规的合规报告;
• 将漏洞和配置问题映射到控制目标和任务;
• 合规性仪表板具有向下钻取功能,可以立即一致地响应合规性违规;
• 持续更新新发现的漏洞和监管控制的变化。
2. Qualys
资料来源:Qualys官网
覆盖面广
Qualys SCA是Qualys漏洞管理的附加项, 可让您根据Internet安全(CIS)基准的中心评估、报告、监视和修正与安全相关的配置问题。它支持操作系统、数据库、应用程序和网络设备的最新的 CIS 基准发布。
控制责任
Qualys SCA控制由Qualys安全专家在内部开发和验证, 并由 CIS 认证。这些控件针对性能、可伸缩性和准确性进行了优化。Qualys SCA可以在任何大小的 IT 环境中使用, 从小的到最大的。
易用性
SCA的CIS评估是通过基于web的用户界面和从 Qualys 云平台提供的, 从而实现集中化管理, 部署开销最小。可以根据组织的安全策略选择和自定义 CIS 控件。这就消除了与传统的用于配置管理的软件点产品相关的成本、资源和部署问题。
报告和仪表板
SCA 用户可以安排评估, 自动创建可下载的配置问题报告, 并查看仪表板以提高其安全态势。这就带来了Qualys SCA 在领先基准之后的安全最佳做法的自动化, 并让保密团队对数字业务安全采取主动的方法。
3. Rapid7
资料来源:Rapid7官网
满足漏洞管理合规性要求:Nexpose使组织能够始终遵守PCI DSS,NERC CIP,FISMA(USGCB/FDCC),HIPPAA/HITECH,Top20 CSC,DISA STIGS和风险/漏洞/配置管理的CIS标准。与其他可能是网络负担多次扫描的解决方案不同,Nexpose的快速,统一的安全性和合规性评估通过为您提供完整的风险和合规性状态来提高安全计划的性能。
4. Tenable
资料来源:Tenable官网
扫描功能:
• 覆盖范围:网络设备的离线配置审核;
• 合规性:帮助满足政府,监管和企业扫描要求;
• 有助于对安全配置实施PCI DSS要求;
威胁:僵尸网络/恶意,进程/反病毒审计;
• 配置审核:CERT,CIS,COBIT/ITIL,DISA STIG,FDCC,ISO,NIST,NSA,PCI。
5. Tripwire
资料来源:Tripwire官网
根据法规遵从性要求, 减少攻击表面的主动配置硬化。减少审核准备时间和成本, 并提供审核报告和符合性证明。Tripwire拥有最大和最广泛的支持策略和平台的库, 其中包含800多个策略, 并涵盖了一系列平台 OS 版本和设备。Tripwire企业经常更新, 以确保您始终有您需要的覆盖范围。
关键配置错误需要立即纠正措施。Tripwire自动化并引导您快速修复不兼容的系统和安全错误。您可以通过与 SIEMs、IT GRC 和更改管理系统的集成来自动化工作流。调查和根本原因特征和比较快速地告诉您需要知道的:什么改变了, 如何改变的, 什么时候改变的和由谁改变的。
在对各个厂商提供的功能有所了解后,接下来对SCA的主要使用场景进行探讨,分成两个方面:传统应用场景和新技术应用场景。
传统应用场景包括合规,脆弱性管理。新技术应用场景比如工控,物联网(包括IOT),云平台,容器,区块链,以及Cloud Security Posture Management (CSPM)(配置检查+CWPP)中,以下是具体介绍。
三 、SCA的应用场景
1.传统场景下的应用
1)合规中的SCA
合规并不是仅满足法律法规的要求,而是要在遵循法律法规的基础上,关注各种规则、规范,同时协调好各方面的关系。合规中的SCA可以通过选择对应的模板——进行对比分析——给出符合性结果——根据结果得出一个是否合规的结论,也包括整改方案。
国内信息安全领域常用的规范是等级保护。等级保护是《信息安全技术 网络安全等级保护基本要求》的简称,定义为对信息和信息系统分等级实行的安全保护和对信息系统中使用的信息安全产品实行的按等级管理。公安部也根据等保规范,制定了等保测评要求,等保1.0和等保2.0中涉及到SCA的部分要求对比如下:
等保1.0 |
等保2.0 |
||
网络安全 |
边界和关键网络设备防护 |
登录用户身份鉴别 |
无变化 |
登陆失败处理(结束会话、限制非法登录次数、登陆连接超时自动退出等) |
|||
对设备远程管理产生的鉴别信息进行保护 |
|||
主机安全 |
身份鉴别 |
是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 |
是否采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现 |
是否重命名系统默认账户、修改账户的默认口令 |
是否重命名或删除默认账户,修改默认账户的默认口令 |
||
对系统中多余、过期的账户是否删除,是否避免共享账户的存在 |
对系统中多余、过期的用户是否删除或停用,是否避免共享账户的存在 |
||
应用安全 |
身份鉴别 |
是否对同一用户应采用两种或两种以上组合的鉴别技术实现用户身份鉴别 |
是否采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现 |
登陆用户的口令最小长度、复杂度和更换周期是否限制 |
|||
是否根据安全策略设置了登录失败次数等参数 |
是否根据安全策略设置了登录失败次数等参数,多次登录失败后应采取必要的保护措施 |
||
验证身份标识和鉴别功能是否有效 |
国外也有许多规范,比如NIST,PCI DSS等,其中涉及到SCA的管理条例如下:
PCI DSS |
2.2:Develop configuration standards for all system components |
NIST 800-53 rev 4 |
CM-2:Baselinne configuration |
CM-6:Configuration settings |
|
CM-7:Least functionality |
|
NIST Cybersecurity Framework |
PR.IP-1:Baseline configurations are created and maintained |
ISO/IEC 27002:2013 |
A.14.2.8:System security testing |
A.18.2.3:Technical compliance review |
2)脆弱性管理中的SCA
系统脆弱性由安全基线来评估,系统实现层中的安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构成,这些检查项的覆盖面、有效性成为了基线安全实现的关键,如下图所示:
安全配置核查,也就是我们的SCA,主要的检查范围是由人为疏忽造成的配置问题,主要包括了账号、口令、授权、日志、IP通信等方面内容。安全配置与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的,如在WEB系统边界防火墙中需要开启HTTP通信,但一个WAP网关边界就没有这样的需求,因此在设计系统安全基线的时候,安全配置是一个关注的重点。
2.新技术中的应用
1)物联网(IOT)中的SCA
通过对物联网中的一些设备,比如摄像头,智能恒温器等的信息采集,可直接或间接地暴露用户的隐私信息。如果生产商缺乏安全意识,很多设备缺乏加密、认证、访问控制管理的安全措施,物联网中的数据就会很容易被窃取或非法访问,造成数据泄露。这种新型的信息网络往往会遭受有组织的 APT 攻击。
物联网不同层次可能有着相同的安全需求,下表对物联网可能涉及到的SCA相关问题的威胁和对策做了总结:
认证 |
威胁 |
物联网环境中的部分访问无认证或认证采用默认密码、弱密码。 |
对策 |
一方面开发人员应考虑在设计时确保用户在首次使用系统时修改默认密码,尽可能使用双因素认证,对于敏感功能,需要再次进行认证等;另一方面作为用户,应该提高安全意识,采用强密码并定期修改密码。 |
|
访问控制管理 |
威胁 |
未授权访问 |
安全配置长期不更新、不核查 |
||
对策 |
身份和访问管理、边界安全(安全访问网关)。 |
|
持续的脆弱性和错误配置检测清除。 |
||
物理安全 |
威胁 |
部署在远端的缺乏物理安全控制的物联网资产有可能被盗窃或破坏。 |
对策 |
尽可能加入已有的物理安全防护措施。并非技术层面的问题,更应作为标准的一部分进行规范。 |
|
设备保护和资产管理 |
威胁 |
设备的配置文件被修改。 |
设备的数量巨大使得常规的更新和维护操作面临挑战。 |
||
对策 |
定期审查配置。 |
|
固件自动升级(over-the air (OTA))。 |
||
定义对于物联网设备的全生命周期控制。 |
||
日志和审计 |
威胁 |
对于威胁的检测。 |
行业安全标准的合规。 |
||
对策 |
日志分析。 |
|
合规性检查。 |
2)工控中的SCA
根据工业网络安全合规标准和国内外的最佳实践,通过常态化的工业网络安全评估,查找突出问题和薄弱环境,排查安全隐患和安全漏洞,分析安全状况和防护水平,有针对性地采取管理和技术防护措施,是提升工业企业网络安全保障能力,切实保障网络安全的有效途径。在监管机构的安全检查和工业企业自查过程中,复杂多样的工业环境和数量巨大的评估对象都对评估人员的技术水平和工作量提出了很大的考验。SCA在其中发挥的作用如下:
合规性评估 |
等保2.0 |
工信部《工业控制系统信息安全防护指南》 |
|
国能安全36号文--《电力监控系统安全防护方案》 |
|
上位机设备信息配置核查 |
账户管理 |
口令设置 |
|
端口管理 |
|
应用程序管理 |
|
网络服务管理 |
|
操作系统安全设置 |
|
磁盘管理 |
3)容器中的SCA
Kubernetes(k8s)是自动化容器操作的开源平台,这些操作包括部署,调度和节点集群间扩展。Kubernetes加快了容器部署,还让用户能够管理大规模的多容器集群。它便于持续集成和持续交付,处理网络、服务发现和存储,还能够在多云环境中执行所有这些任务。Kubernetes中涉及到的配置问题及对策如下表:
服务密码和API密钥 |
Docker secrets加密/HashiCorp Vault加密/按Kubernetes配置文档进行配置 |
配置了许多集群,验证令牌自动提供了访问Kubernetes API的机制 |
配置基于角色的访问控制(RBAC)可以帮助降低风险(也可能会被利用来提升权限) |
限制受威胁的容器带来的影响 |
调控容器访问权的内置控制机制,比如命名空间和网络分段 |
限制可以在特权模式下运行的容器数量 |
除了认真遵循Kubernetes安全文档外,确保Kubernetes安装部署的最佳方法是,尽早将安全纳入到部署的环境中,通过正确配置主动保护环境比数据泄密发生后试图应对要简单得多,也省钱得多。另外,通过积极主动的监控来充分利用高级的安全运维(SecOps)实践,提供了保护日益Serverless的环境所需要的那种可见性。
(参考资料:Kubernetes不是银弹:配置错误、爆炸半径)
4) 云环境中的SCA
Dome9安全公司首席执行官Zohar Alon表示:“配置错误导致了目前云中的大部分数据被盗和泄露事件。”
提供云服务的方式多样化也导致这个问题更加严重。开发人员创建了虚拟服务器和容器,以便快速推出应用程序,存储数据。业务部门通过自己注册来使用服务,个人用户也是如此。但本地数据中心所采用的传统配置管理方法并不适用于云服务。云平台通常有自己的系统来监视配置的更改。例如,AWS有AWS Cloud Trail和AWS Config。微软的Azure云平台有其运营管理套件。其他流行的SaaS云提供商没有集中的管理工具,而是让个人用户负责自己的安全和共享设置。
云计算系统的配置核查对象如下表所示:
网络和通信安全 |
网络结构、网络设备、安全设备、综合网管系统、虚拟化网络结构、虚拟网络设备、虚拟安全设备、虚拟机监视器、云管理平台 |
设备和计算安全 |
主机、数据库管理系统、终端、网络设备、安全设备、虚拟网络设备、虚拟安全设备、物理机、宿主机、虚拟机、虚拟机监视器、云管理平台、网络策略控制器 |
应用和数据安全 |
应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息、云应用开发平台、云计算服务对外接口、云管理平台、镜像文件、快照、数据存储设备、数据库服务器 |
讲了这么多,请允许小妹夹带点私货吧(抱拳),给大家隆重介绍下我正在负责的产品——绿盟安全配置核查系统(NSFOCUS BVS),下面是它的详细介绍。
四 、绿盟安全配置核查系统
首先来看下NSFOCUS BVS的历史,10年前,企业经常忽略安全配置问题,从而给企业带来了很大的隐患,就像修建了坚固的城墙,但是忘记关城墙上的小门,导致攻击者可以轻松的破门而入,造成不必要的财产损失。
一些管理者意识到了安全配置核查的重要性,开始用人工的方式逐一设备登录进行检查,以减少这类问题。绿盟科技也为其提供了相应的安全配置检查服务,并从中积累了大量经验;但是面对大量的IT系统,这种检查方式需要的人力成本很高,失误风险也极大。因此,在2008年,绿盟科技为某运营商客户编写了自动化安全检查工具,在使用中获得了客户的高度评价,在移动行业迅速推广开来,形成了今天的绿盟安全配置核查产品——NSFOCUS BVS。
这十年来,NSFOCUS BVS不仅通过了测评机构的资质认证,还根据国家信息安全等级保护管理办法中等级保护定级、系统建设、等级测评、监督检查各个环节的要求,推出了绿盟科技等保专用规范,完善了产品操作功能,保障等级保护工作高效准确执行,并且根据2018年推出的等级保护2.0做了同步更新。在此基础上,绿盟科技深耕不同行业,积累实践了多个行业的安全配置经验,拥有完善的安全配置知识库,覆盖政府、金融、能源、运营商、互联网等大型企业,能全面的指导 IT 信息系统的安全配置及加固工作,保障安全运维过程。
NSFOCUS BVS 通过自动化的进行安全配置检查,从而节省传统的手动单点安全配置检查的时间,并避免传统人工检查方式所带来的失误风险,同时能够出具详细的检测报告。它可以大大提高您检查结果的准确性和合规性,节省您的时间成本,让检查工作变得简单,是您身边专业的“安全配置专家”。
NSFOCUS BVS 采用模块化设计,内部整体工作架构如下图所示。
五 、总结
SCA的介绍告一段落了,是不是对其有了一个全面的了解,同时,小妹在最后还是要送给大家一些干货。以下是我收集的近几年因为SCA问题引起的重大安全事件,分享给大家:
1.2017年,美国工业关键基础设施数据泄露
德州电气工程公司的Rsync服务器由于配置错误(一个端口配置为互联网公开),大量客户机密文件泄露,包括戴尔Dell、奥斯丁城City of Austin、甲骨文Oracle以及德州仪器Texas Instruments等等。泄露的数据除了暴露出客户电气系统的薄弱环节和故障点外,还揭露了政府运营的绝密情报传输区的具体位置和配置。更危险的是,PQE内部密码被明文保存在文件夹中,如果落入不法分子之手,就能轻易攻破公司的多个系统。
2.2016年, MBS数据泄露
知名数据库及数据存储服务提供商MBS,遭到黑客攻击。其MongoDB数据库由于默认配置,没有启用认证,导致5800万商业用户的重要信息泄露,包括名称、IP地址、邮件账号、职业、车辆数据、出生日期等信息。
3.2014年,某在线票务公司数据泄露
某在线票务公司大量用户银行卡信息泄露。泄露核心原因是安全支付的日志配置所引发,并且触发了遍历下载。
根据OWASP的2017年报数据显示,安全事件Top10当中,安全配置问题排在了第六的位置,再一次强调了它的重要性。
资料来源:OWASP(2017年)
最最最后还是要总结一下:
安全配置合规性要求,是 IT 业务系统安全性的基本安全要求,对各行各业安全规范要求的落地、对等级保护要求的具体化,建立行之有效的检测手段是安全管理人员面临的最为重要和迫切的问题,也需要安全厂商积极提供自动化的解决方案,帮助运维人员面对网络中种类繁杂、数量众多的设备和软件环境,快速、有效的检查设备,进行自动化的安全检查,制作风险审核报告,并且最终识别那些与安全规范不符合的项目,以达到整改合规的要求。
通过对SCA的详细了解,不禁要为SCA疯狂打call。简单粗暴的一句总结:把基础做好才是真的好。也欢迎大家和我讨论SCA相关问题,我们下一篇再会。