盡管2013年美國出現(xiàn)政府關閉、債務上限、預算談判和持續(xù)的政治作秀等狀況，一個龐大而昂貴的政府項目已經在最近幾周開始穩(wěn)步部署。

不受實事影響，在收到1.5億美元的初始分配資金后，美國總務管理局與國土安全局(DHS)已經開始部署被稱為連續(xù)診斷和緩解(Continuous Diagnostics and Mitigation，CDM)的項目。對于這個項目，很多不隸屬于政府的實體更為熟悉的名字是連續(xù)安全監(jiān)控，該項目的目標是利用最新技術和標準化政策，對聯(lián)邦政府最重要的網絡資源部署連續(xù)監(jiān)控。

企業(yè)可以從政府的工作中學習到很多經驗。本文中讓我們進一步深入這個連續(xù)安全監(jiān)控的概念，并探討你的企業(yè)如何可以從這種部署中獲益。

CDM和CSM含義

CDM項目是一種采購協(xié)議，它幫助幾十家私營聯(lián)邦政府機構采購產品來部署連續(xù)安全監(jiān)控(CSM)，以融入DHS設計的架構。雖然該協(xié)議有60億美元的上限，個別機構仍然需要根據協(xié)議自己籌集資金來購買產品。

簡單地說，CSM是指不斷檢查企業(yè)中最重要的網絡資源。這個術語中使用的“連續(xù)”的含義是，某些資產將被全天候監(jiān)控，當發(fā)生任何異常情況時，預警機制將會通知系統(tǒng)管理員。雖然事實上，CSM已經存在了相當一段時間了，但直到最近才出現(xiàn)專門的術語。

多年來，企業(yè)的網絡安全策略是通過部署各種入侵防御/檢測系統(tǒng)(IDS/IPS)與某種日志記錄機制來監(jiān)控和保護網絡。然而，隨著安全專業(yè)人員和企業(yè)網絡的不斷進步，企業(yè)開始構建和部署更全方位的解決方案。到現(xiàn)在，不僅僅是聯(lián)邦政府，很多企業(yè)都開始倡導和支持成熟的CSM解決方案。

通過CDM項目，DHS的重點是讓政府機構部署六步CSM過程：安裝和更新網絡掃描傳感器、自動化搜索已知系統(tǒng)漏洞、收集掃描結果、會審和分析結果、緩解最大或最嚴重的漏洞，以及報告進展情況。其目的是讓私營機構在72小時傳感器部署中充分診斷其網絡。

雖然這一項目是否會成功還有待觀察，但這是受大型購買協(xié)議支持的“雄心勃勃”的項目。如果成功的話，這將顯著幫助聯(lián)邦政府機構提高信息安全性。SANS研究所的Alan Paller在描述該項目的潛力時表示，CDM“將會改造網絡安全工具的藍圖，關鍵基礎設施和其他企業(yè)將從中學習到的經驗教訓，幫助他們優(yōu)化網絡安全支出以及停止浪費更多錢購買高價位低效率工具。”

企業(yè)CSM：起步

那么，民營企業(yè)如何跟隨政府的步伐來部署這種連續(xù)安全監(jiān)控呢?雖然決策者可以從賽門鐵克、Tenable、TripWire、FireMon等供應商選購各種商業(yè)監(jiān)控產品，但事實上，大多數企業(yè)網絡已經有一些必要的工具來開始部署CSM。然而，在討論工具之前，讓我們看看CSM規(guī)劃過程的一個重要部分：設備分類。

在部署連續(xù)監(jiān)控系統(tǒng)之前，企業(yè)必須決定哪些網絡組件和網段應優(yōu)先用于連續(xù)監(jiān)控。部署傳感器和解釋結果的資源都很有限，所以企業(yè)應該采取基于風險的做法來部署CSM。首先應該從數據敏感度和/或任務關鍵性最高的關鍵資產開始。其中，包含關鍵資產數量最多的網絡是CSM初始部署的首要目標。從那里，你可以繼續(xù)使用基于風險的方法利用可用的資源擴大你的部署到其他網段。

企業(yè)CSM工具：利用你現(xiàn)有的設備

在考慮哪些現(xiàn)有工具可用于連續(xù)安全監(jiān)控時，請注意，這些工具不能作為專用CSM系統(tǒng)的長期替代方案，而只是暫時替代。如果企業(yè)已經有IDS/IPS、漏洞管理產品、網絡枚舉解決方案和某種類型的網絡日志記錄機制，就已經可以部署一個簡單的CSM系統(tǒng)。

當涉及IDS時，一個流行的開源工具是Sourcefire(現(xiàn)在已歸思科公司所有)的Snort。這個廣受歡迎的產品提供了非常靈活的規(guī)則管理系統(tǒng)，使你可以從社區(qū)更新，并補充你自己的自定義腳本規(guī)則來監(jiān)控你的網絡上的狀況。

網絡枚舉

另外一個經常被忽略的CSM部分是網絡枚舉。對于現(xiàn)在企業(yè)網絡內日益流行的攜帶自己設備到工作場所(BYOD)策略，這尤為重要。簡單地說，你很難連續(xù)監(jiān)控你不知道其存在的東西。雖然網絡枚舉工具有多種多樣，我們知道一個非常受歡迎的易于使用的經過時間檢驗的開源工具是Nmap。市面上有很多針對Nmap的不同的圖形用戶界面，但Nmap的核心是一個命令行工具，很像Snort，具有很強的可編寫腳本性。例如，如果系統(tǒng)管理員知道其內部網絡IP范圍是10.0.0.0/16，那么，為了定位該網絡范圍內的每臺設備，他們應該鍵入以下命令：

nmap 10.0.0.0/16 >> mytextfile.txt

這個命令可以告訴Nmap工具定位給定子網內的每臺設備，并輸出節(jié)點信息到文本文件，這將幫助系統(tǒng)管理員更好地識別所有網絡設備。

日志記錄：沒有它的話，CSM不會成功

對于連續(xù)安全監(jiān)控，最后也許是最重要的方面是日志記錄。日志提供了有關系統(tǒng)和網絡上的活動的重要審計線索，使安全專業(yè)人員可以重新建構可能導致安全事故的事件。日志分析工具可以檢測問題并找出不可能被發(fā)現(xiàn)的問題。例如，對于通過直接登錄到敏感機器而沒有產生網絡流量的內部攻擊，日志分析可能是唯一的安全信息來源。

與網絡枚舉工具一樣，日志記錄工具也是多種多樣的，但可以肯定地說，現(xiàn)在企業(yè)中有一個非常流行(如果說不是最流行)的日志記錄機制是Linux服務—syslog。由于syslog具有高度可編寫腳本性，并且具有非常細粒度的數據收集水平，很多企業(yè)發(fā)現(xiàn)他們可以很容易地調整其日志記錄功能來滿足其特定需求。例如，如果系統(tǒng)管理員想發(fā)送所有Snort警報到syslog服務器，他們會瀏覽到etc/snort/snort.conf 并在配置文件末尾增加以下命令：

output alert_syslog:host=10.0.0.1:514, LOG_AUTH LOG_ALERT

上述命令的前提是，該syslog服務器的IP地址是10.0.0.1，并且它正在監(jiān)聽UDP端口514。當系統(tǒng)管理員配置警報來記錄異常入站和/或出站連接、在本地網絡中插入新設備或管理員認為值得警惕的其他網絡事件時，這個命令特別有用，并具有高度可擴展性。

結論

連續(xù)安全監(jiān)控正在聯(lián)邦政府和私營部門內獲得推動力。國土安全局的CDM舉措為聯(lián)邦政府用戶提供了一個共同的框架，并概述了適合各行各業(yè)企業(yè)的部署方法。這個框架的可用性，以及CDM采購協(xié)議(各種安全監(jiān)控工具)應該會推動聯(lián)邦政府內的部署。并且，聯(lián)邦政府的舉措很可能會推動私營企業(yè)，在整個公共和專用網絡內給安全基礎設施部署帶來一種新的緊迫感。