安全配置管理(SCM)已经成为现代企业组织开展网络安全建设的重要基础工作。它是各种安全能力有效运行的基础。没有它,一切都只是空中楼阁。SANS研究所和互联网安全中心建议,企业在全面组织IT资产时,最重要的安全控制是实施可靠的安全配置。CIS关键安全控制4(CriticalSecurityControl4)也规定“企业应建立和维护硬件(包括便携式和移动终端用户设备、网络设备、非计算/物联网设备和服务器)以及系统和应用程序)。”什么是安全配置管理?美国国家标准技术研究院(NIST)对安全配置管理(SCM)的定义如下:信息系统配置管理和控制,旨在实现安全和管理风险。通过为系统设置一组标准配置并持续监控指标,组织可以快速识别漏洞并减少攻击面。使用SCM执行安全强化标准(如CIS、NIST和ISO27001)或合规性标准(如PCI、SOX、NERC或HIPAA)的组织可以不断加强系统安全并减少网络犯罪分子发动攻击的机会。攻击者总是在寻找具有易于利用的默认设置的系统,当发现漏洞时,攻击者可以更改系统设置以造成严重破坏。在这种情况下,安全人员拥有一套合适的管理工具来有效地管理安全配置显得尤为重要。SCM工具不仅可以识别使组织系统易受攻击的错误配置,还可以让组织准确了解关键资产发生了哪些变化。例如,他们可以识别对关键文件或注册表项的“异常”更改。安全配置管理计划和实施没有安全配置管理计划的组织即使在单个服务器上也很难维护安全配置,更不用说组织通常有数以千计的端口、服务和配置需要跟踪。有效跟踪企业众多服务器、管理程序、云资产、路由器、交换机和防火墙配置的最佳方式是通过自动化。一个好的SCM工具可以为组织自动执行这些任务,同时提供清晰的系统视图。每当组织的系统配置错误时,安全人员都会立即收到通知并给出详细的处置说明以纠正错误配置。一个成熟的SCM计划有四个关键阶段:1.发现设备首先,组织需要找到需要管理的设备。组织可以使用集成资产管理存储库的SCM平台来完成这项工作。组织还需要对资产进行分类和标记,例如,技术部门的工作站需要与财务系统进行不同的配置,以避免启动不必要的服务。2.建立配置基线组织需要为每种类型的托管设备确定可接受的安全配置。许多组织从权威组织(如CIS或NIST)的基准开始,以获取有关配置设备的详细指导。3.评估和报告变化在组织识别和分类需要管理的设备后,下一步是定义评估设备的频率,即组织应该多久检查一次安全策略。或许有些企业可以使用实时评估,但并不是所有场景都需要实时评估,需要根据企业的具体情况来设置。4、及时修复一旦发现问题,就需要修复,否则就会被攻击者有机可乘。组织需要确定需要完成的工作的优先级,根据优先级解决不同的问题,同时需要验证系统或配置更改是否确实发生。企业在设计有效的安全配置管理方案时还应关注以下几点:避免IT系统环境中的资产盲点通常需要结合基于代理和无代理的扫描,以确保整个环境始终得到正确配置。组织需要为技术和非技术用户提供可选择的供应模式,并且需要能够仅向授权用户或用户组显示某些元素、策略和/或警报,通常存储在企业目录中。安全警报通常由系统中配置的策略驱动,因此创建和管理策略对于确保您的SCM解决方案满足您的独特需求至关重要。在任何事件响应中,分秒必争,必须能够通过深入分析为事件响应过程提供有价值的信息。管理员可以监视和管理指示违规的策略违规。虽然安全配置管理过程很复杂,但如果组织使用正确的SCM工具,大部分过程都可以自动化。使用安全加固标准并有一个基线来识别对该标准的更改的组织是“密切关注敌人”的好方法。参考链接https://www.tripwire.com/state-of-security/featured/why-security-configuration-management-matters/。
