在网络安全世界里,攻击者一直在寻找入侵系统并破坏数据的最优路径,而错误的系统配置和不安全的默认配置正是他们最喜欢的载体,因为这些错误的配置信息使他们能够非常轻松地访问关键业务系统和数据。随着云计算应用的不断发展和普及,大规模云环境的复杂性进一步限制了安全团队为企业提供安全保护的能力,这导致了更多的配置错误在被修复前就已经被广泛地恶意利用。
多项研究报告指出,配置错误已经成为导致企业敏感数据泄露的最主要原因,有超过90%的数据安全事件是由企业自己的原因直接/间接引发。在这种情况下,安全运营人员如果能够拥有一套完善的安全配置管理(SecCM)计划,持续对企业整体环境中各种易受攻击的错误配置进行全面管理就显得格外重要。
什么是SecCM?
美国国家标准与技术研究所(NIST)对SecCM进行了以下定义:这是一种以实现安全和管理风险为目标的信息系统配置管理和控制,通过为系统设置一套标准配置,并持续监控各个指标。使用SecCM执行安全加强标准(比如CIS、NIST、ISO 27001)或合规标准(比如PCI、SOX、NERC、HIPAA),组织就可以迅速识别违规行为,并减少攻击面。
安全研究人员认为,SecCM应该成为现代企业开展网络安全建设的基础性要求和重要工作。SANS 研究所和互联网安全中心建议,当企业全面梳理IT资产后,最重要的安全控制就是进行可靠的安全配置。CIS关键安全控制第4项(Critical Security Control 4)也明确要求,“企业应建立和维护硬件(包括便携式和移动设备的最终用户设备、网络设备、非计算/物联网设备及服务器)和软件(操作系统及应用程序)的安全配置。”
在一个完善的SecCM方案中,会包含多个基于安全最佳实践的基础控制措施,例如:
- 使用漏洞评估策略缓解已知的安全缺陷
- 评估已授权硬件和软件系统的配置安全性;
- 使用规范的安全流程和控制措施来自动修复异常配置。
SecCM应用实践
如果没有一套完善的安全配置管理计划,企业的安全人员即使只维护一台服务器应用的安全配置也并不容易,更不要说当组织有成千上万个端口、服务和配置需要跟踪维护时。应用实践表明,一个成熟的SCM计划通常需要包含有以下四个关键原则:
01全面发现设备资产
首先组织要找到需要管理的设备,组织可以利用整合资产发现与管理能力的SecCM平台来完成这项工作。在充分发现资产的基础上,组织还需要对所有资产进行分类和标记,以实现差异化管理,比如,技术部门的工作站需要与财务系统不一样的配置,避免启动不必要的服务。
02建立配置标准
组织需要为各种受管理设备确定明确的、可接受的安全配置标准。在此过程中,企业可以将CIS或NIST等权威机构给出的安全标准作为参考,以获得配置设备的详细安全性指导,并在此基础上,结合企业的实际应用需求,建立安全配置的管理标准。
03评估和报告变更
组织在找到需要管理的设备并进行分类后,下一步就是定义评估设备的监控频次,也就是组织应该多久审查一次安全策略。在条件具备的情况下,部分企业可以使用实时评估,但并非所有场景都需要实时评估,应根据企业的具体情况进行设置。
04及时补救
一旦发现了问题,就需要修复问题,否则攻击者就会趁虚而入。组织需要确定待处理事项的优先级,根据轻重缓急处理不同问题,同时,还需要验证系统或配置确实发生了变更。
除了要遵循以上关键原则,企业在制定安全配置管理计划时,还应该重点关注以下事项:
- 要避免在IT系统环境中出现资产盲点,通常需要结合基于代理的扫描和无代理扫描,以确保始终正确配置了整个环境;
- 组织需要为各类型用户提供可选择的设置模式,并且需要能够实现仅向授权用户或用户组显示某些要素、策略及/或警报,这些权限通常存储在企业目录中;
- 安全警报通常由系统中配置的策略驱动,因此,为确保SecCM方案满足企业的运营需求,灵活的创建和管理策略至关重要;
- 安全配置管理的效率也非常重要,管理人员要能够迅速识别违反管理策略的人员和行为,并能够通过深入分析,快速为安全事件响应流程提供有价值的信息。
SecCM工具选型
安全配置管理过程很复杂,因此组织需要使用合适的SecCM工具,以自动化的方式来完成大部分管理工作。数据显示,SecCM市场应用正在快速增长,预计到2028年将达到58.1亿美元,复合年增长率为16.26%。目前,市场上已经有非常多的SecCM解决方案,企业要根据自己的信息化特点和应用需求,选择真正适合的SecCM解决方案。
01系统环境支持与兼容
企业需要确保所选择的SecCM解决方案能够有效支持他们正在使用的各种操作系统和应用程序,这样才能最大限度地发挥SecCM工具的价值。如果SecCM工具与企业现有的应用系统不能兼容,将会造成损害网络可见性的管理盲点,影响企业阻止攻击者利用错误配置效果。
02策略灵活性
优秀的SecCM工具应该能够提供多样化的应用策略和配置选项。这些选项将帮助组织在开展数字化转型时便捷地调整工具,以适应其不断变化的合规需求和应用需求。SecCM工具还应该为企业提供自定义预设策略、定义新策略以及按需求灵活添加新的基线配置的选项。
03可扩展性
组织应该确保他们能够随时调整SecCM扫描协议的频率、影响和范围。这种扩展性应该包括在网络中广泛分布的各种扫描设备上,而不会增加端点设备的负担。它还应该具有管理远程设备的能力,并在发现刚刚联网的产品时重点进行安全性评估并向管理人员发出提醒。
04提升自动化程度
尽管企业可以选择通过向帮助台报告配置问题来手动操作SecCM解决方案,但是自动化报告这些问题并与业务工作流无缝集成,将给企业带来更多的便利和价值。否则,组织可能会由于安全人员的告警疲劳而忽略一些严重的配置错误问题,甚至可能将这些问题暴露给攻击者。通过自动化手段,企业还可以找到减少误报的方法,避免浪费时间去调查一个不构成实际威胁的警报,而忽视真正严重的安全问题。
参考链接:
https://www.tripwire.com/state-of-security/security-configuration-management
https://cybersecurityforme.com/security-configuration-management/?expand_article=1