剛畢業(yè)就成為了一名產(chǎn)品汪，還是高端大氣上檔次的網(wǎng)絡(luò)安全行業(yè)（此處省略100字），而且還負(fù)責(zé)了一款重量級(jí)產(chǎn)品——配置核查系統(tǒng)，小妹又高興又惶恐，只能發(fā)奮學(xué)習(xí)，努力努力再努力！以下就是這段時(shí)間我對(duì)SCA的一些認(rèn)識(shí)了，分享給大家，請(qǐng)大佬們多多指教。首先來(lái)看一下SCA的定義。

一 、SCA的定義

Gartner把SCA定義為Security Configuration Assessment，翻譯過(guò)來(lái)是安全配置評(píng)估，對(duì)其的說(shuō)明是：提供了遠(yuǎn)程評(píng)估和驗(yàn)證配置的功能，例如Windows域組策略中的密碼復(fù)雜性；經(jīng)常用于實(shí)現(xiàn)法規(guī)遵從性，例如PCI或內(nèi)部安全策略合規(guī)性。

從字面意思看Gartner把其定義為“功能”，這種“功能”的作用是進(jìn)行“遠(yuǎn)程評(píng)估”和“驗(yàn)證配置”，雖然文中缺少“安全”兩字，但是從實(shí)例分析，以及佐以Gartner文中其他的價(jià)值、功能和廠商等介紹，我們可以認(rèn)為屬于安全范疇。

而國(guó)內(nèi)常用的是安全配置核查，定義為對(duì)信息系統(tǒng)配置操作，例如操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、中間件等多類(lèi)設(shè)備的檢查。

當(dāng)然一些互聯(lián)網(wǎng)廠商也將SCA用作Security Checklist Analysis的簡(jiǎn)稱(chēng),定義為進(jìn)行安全檢查、發(fā)現(xiàn)潛在危險(xiǎn)、督促各項(xiàng)安全法規(guī)、制度、標(biāo)準(zhǔn)實(shí)施的一個(gè)較為有效的工具。

本文主要參照了前兩種方式來(lái)理解SCA。同時(shí)，Gartner給出了8個(gè)具有代表性的SCA廠商：Amazon，Tenable，Rapid7，BeyondTrust，Tripwire，IBM Bigfix，Tanium，Qualys，接下來(lái)對(duì)這幾個(gè)廠商進(jìn)行更詳細(xì)的一個(gè)分析。

二 、SCA的代表廠商及具體支持功能

以下挑了Gartner推薦中的5個(gè)廠商：BeyondTrust，Qualys，Rapid7，Tenable以及Tripwire，對(duì)其主要功能進(jìn)行了綜合對(duì)比分析，參見(jiàn)下表（按首字母排序）： 

從上表可知，Gartner認(rèn)為一個(gè)標(biāo)準(zhǔn)的SCA至少需要以下幾大功能：

• 適用于盡可能多種類(lèi)的操作系統(tǒng)，數(shù)據(jù)庫(kù)，中間件；

• 支持迅速響應(yīng)；

• 支持自動(dòng)化配置檢查；

• 支持生成報(bào)表；

• 合規(guī)性遵從，比如：FISMA，STIG，HIPPA，CIS，SCAP。

那么每個(gè)廠商具體的SCA相關(guān)產(chǎn)品介紹又是什么，以下進(jìn)行分別的介紹：

1.BeyondTrust

資料來(lái)源：BeyondTrust官網(wǎng)

Retina配置合規(guī)性模塊可以輕松地根據(jù)內(nèi)部策略或外部最佳實(shí)踐審核配置，同時(shí)集中報(bào)告以用于監(jiān)控和監(jiān)管目的。

主要特征

• 開(kāi)箱即用的配置審核，報(bào)告和警報(bào)；

• 用于Windows操作系統(tǒng)的模板，以及用于FDCC，NIST，STIGS，USGCB和Microsoft應(yīng)用程序的模板；

• 審計(jì)和安全設(shè)置，用戶(hù)權(quán)限，日志記錄配置等的評(píng)估；

• 內(nèi)置報(bào)告并與Retina CS集成，用于增量，趨勢(shì)和其他分析；

• OVAL 5.6 SCAP認(rèn)證的掃描引擎和解釋器。

Retina監(jiān)管報(bào)告模塊使您能夠有效地瀏覽復(fù)雜的法規(guī)遵從環(huán)境。 該模塊通過(guò)將網(wǎng)絡(luò)的特定漏洞映射到相關(guān)的公司政策，政府法規(guī)和行業(yè)標(biāo)準(zhǔn)，超越了通用合規(guī)報(bào)告。

主要特征

• 與Retina CS和Retina配置合規(guī)性模塊無(wú)縫集成；

• PCI，HIPAA，SOX，GLBA，NIST，F(xiàn)ERC / NERC，MASS 201，ISO，COBiT，ITIL，HITRUST等法規(guī)的合規(guī)報(bào)告；

• 將漏洞和配置問(wèn)題映射到控制目標(biāo)和任務(wù)；

• 合規(guī)性?xún)x表板具有向下鉆取功能，可以立即一致地響應(yīng)合規(guī)性違規(guī)；

• 持續(xù)更新新發(fā)現(xiàn)的漏洞和監(jiān)管控制的變化。

2. Qualys

資料來(lái)源：Qualys官網(wǎng)

覆蓋面廣

Qualys SCA是Qualys漏洞管理的附加項(xiàng), 可讓您根據(jù)Internet安全(CIS)基準(zhǔn)的中心評(píng)估、報(bào)告、監(jiān)視和修正與安全相關(guān)的配置問(wèn)題。它支持操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用程序和網(wǎng)絡(luò)設(shè)備的最新的 CIS 基準(zhǔn)發(fā)布。

控制責(zé)任

Qualys SCA控制由Qualys安全專(zhuān)家在內(nèi)部開(kāi)發(fā)和驗(yàn)證, 并由 CIS 認(rèn)證。這些控件針對(duì)性能、可伸縮性和準(zhǔn)確性進(jìn)行了優(yōu)化。Qualys SCA可以在任何大小的 IT 環(huán)境中使用, 從小的到最大的。

易用性

SCA的CIS評(píng)估是通過(guò)基于web的用戶(hù)界面和從 Qualys 云平臺(tái)提供的, 從而實(shí)現(xiàn)集中化管理, 部署開(kāi)銷(xiāo)最小?？梢愿鶕?jù)組織的安全策略選擇和自定義 CIS 控件。這就消除了與傳統(tǒng)的用于配置管理的軟件點(diǎn)產(chǎn)品相關(guān)的成本、資源和部署問(wèn)題。

報(bào)告和儀表板

SCA 用戶(hù)可以安排評(píng)估, 自動(dòng)創(chuàng)建可下載的配置問(wèn)題報(bào)告, 并查看儀表板以提高其安全態(tài)勢(shì)。這就帶來(lái)了Qualys SCA 在領(lǐng)先基準(zhǔn)之后的安全最佳做法的自動(dòng)化, 并讓保密團(tuán)隊(duì)對(duì)數(shù)字業(yè)務(wù)安全采取主動(dòng)的方法。

3. Rapid7

資料來(lái)源：Rapid7官網(wǎng)

滿(mǎn)足漏洞管理合規(guī)性要求：Nexpose使組織能夠始終遵守PCI DSS,NERC CIP,FISMA(USGCB/FDCC),HIPPAA/HITECH,Top20 CSC,DISA STIGS和風(fēng)險(xiǎn)/漏洞/配置管理的CIS標(biāo)準(zhǔn)。與其他可能是網(wǎng)絡(luò)負(fù)擔(dān)多次掃描的解決方案不同，Nexpose的快速，統(tǒng)一的安全性和合規(guī)性評(píng)估通過(guò)為您提供完整的風(fēng)險(xiǎn)和合規(guī)性狀態(tài)來(lái)提高安全計(jì)劃的性能。

4. Tenable

資料來(lái)源：Tenable官網(wǎng)

掃描功能：

• 覆蓋范圍：網(wǎng)絡(luò)設(shè)備的離線配置審核；

• 合規(guī)性：幫助滿(mǎn)足政府，監(jiān)管和企業(yè)掃描要求；

• 有助于對(duì)安全配置實(shí)施PCI DSS要求；

威脅：僵尸網(wǎng)絡(luò)/惡意，進(jìn)程/反病毒審計(jì)；

• 配置審核：CERT,CIS,COBIT/ITIL,DISA STIG,FDCC,ISO,NIST,NSA,PCI。

5. Tripwire

資料來(lái)源：Tripwire官網(wǎng)

根據(jù)法規(guī)遵從性要求, 減少攻擊表面的主動(dòng)配置硬化。減少審核準(zhǔn)備時(shí)間和成本, 并提供審核報(bào)告和符合性證明。Tripwire擁有最大和最廣泛的支持策略和平臺(tái)的庫(kù), 其中包含800多個(gè)策略, 并涵蓋了一系列平臺(tái) OS 版本和設(shè)備。Tripwire企業(yè)經(jīng)常更新, 以確保您始終有您需要的覆蓋范圍。

關(guān)鍵配置錯(cuò)誤需要立即糾正措施。Tripwire自動(dòng)化并引導(dǎo)您快速修復(fù)不兼容的系統(tǒng)和安全錯(cuò)誤。您可以通過(guò)與 SIEMs、IT GRC 和更改管理系統(tǒng)的集成來(lái)自動(dòng)化工作流。調(diào)查和根本原因特征和比較快速地告訴您需要知道的：什么改變了, 如何改變的, 什么時(shí)候改變的和由誰(shuí)改變的。

在對(duì)各個(gè)廠商提供的功能有所了解后，接下來(lái)對(duì)SCA的主要使用場(chǎng)景進(jìn)行探討，分成兩個(gè)方面：傳統(tǒng)應(yīng)用場(chǎng)景和新技術(shù)應(yīng)用場(chǎng)景。

傳統(tǒng)應(yīng)用場(chǎng)景包括合規(guī)，脆弱性管理。新技術(shù)應(yīng)用場(chǎng)景比如工控，物聯(lián)網(wǎng)（包括IOT），云平臺(tái)，容器，區(qū)塊鏈，以及Cloud Security Posture Management (CSPM)(配置檢查+CWPP)中，以下是具體介紹。

三 、SCA的應(yīng)用場(chǎng)景

1.傳統(tǒng)場(chǎng)景下的應(yīng)用

1）合規(guī)中的SCA

合規(guī)并不是僅滿(mǎn)足法律法規(guī)的要求，而是要在遵循法律法規(guī)的基礎(chǔ)上，關(guān)注各種規(guī)則、規(guī)范，同時(shí)協(xié)調(diào)好各方面的關(guān)系。合規(guī)中的SCA可以通過(guò)選擇對(duì)應(yīng)的模板——進(jìn)行對(duì)比分析——給出符合性結(jié)果——根據(jù)結(jié)果得出一個(gè)是否合規(guī)的結(jié)論，也包括整改方案。

國(guó)內(nèi)信息安全領(lǐng)域常用的規(guī)范是等級(jí)保護(hù)。等級(jí)保護(hù)是《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的簡(jiǎn)稱(chēng)，定義為對(duì)信息和信息系統(tǒng)分等級(jí)實(shí)行的安全保護(hù)和對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行的按等級(jí)管理。公安部也根據(jù)等保規(guī)范，制定了等保測(cè)評(píng)要求，等保1.0和等保2.0中涉及到SCA的部分要求對(duì)比如下：

國(guó)外也有許多規(guī)范，比如NIST,PCI DSS等，其中涉及到SCA的管理?xiàng)l例如下：

2）脆弱性管理中的SCA

系統(tǒng)脆弱性由安全基線來(lái)評(píng)估，系統(tǒng)實(shí)現(xiàn)層中的安全基線要求主要是由安全漏洞方面、安全配置方面等檢查項(xiàng)構(gòu)成，這些檢查項(xiàng)的覆蓋面、有效性成為了基線安全實(shí)現(xiàn)的關(guān)鍵,如下圖所示：

安全配置核查，也就是我們的SCA，主要的檢查范圍是由人為疏忽造成的配置問(wèn)題，主要包括了賬號(hào)、口令、授權(quán)、日志、IP通信等方面內(nèi)容。安全配置與系統(tǒng)的相關(guān)性非常大，同一個(gè)配置項(xiàng)在不同業(yè)務(wù)環(huán)境中的安全配置要求是不一樣的，如在WEB系統(tǒng)邊界防火墻中需要開(kāi)啟HTTP通信，但一個(gè)WAP網(wǎng)關(guān)邊界就沒(méi)有這樣的需求，因此在設(shè)計(jì)系統(tǒng)安全基線的時(shí)候，安全配置是一個(gè)關(guān)注的重點(diǎn)。

2.新技術(shù)中的應(yīng)用

1）物聯(lián)網(wǎng)（IOT）中的SCA

通過(guò)對(duì)物聯(lián)網(wǎng)中的一些設(shè)備，比如攝像頭，智能恒溫器等的信息采集，可直接或間接地暴露用戶(hù)的隱私信息。如果生產(chǎn)商缺乏安全意識(shí)，很多設(shè)備缺乏加密、認(rèn)證、訪問(wèn)控制管理的安全措施，物聯(lián)網(wǎng)中的數(shù)據(jù)就會(huì)很容易被竊取或非法訪問(wèn)，造成數(shù)據(jù)泄露。這種新型的信息網(wǎng)絡(luò)往往會(huì)遭受有組織的 APT 攻擊。

物聯(lián)網(wǎng)不同層次可能有著相同的安全需求，下表對(duì)物聯(lián)網(wǎng)可能涉及到的SCA相關(guān)問(wèn)題的威脅和對(duì)策做了總結(jié)：

2）工控中的SCA

根據(jù)工業(yè)網(wǎng)絡(luò)安全合規(guī)標(biāo)準(zhǔn)和國(guó)內(nèi)外的最佳實(shí)踐，通過(guò)常態(tài)化的工業(yè)網(wǎng)絡(luò)安全評(píng)估，查找突出問(wèn)題和薄弱環(huán)境，排查安全隱患和安全漏洞，分析安全狀況和防護(hù)水平，有針對(duì)性地采取管理和技術(shù)防護(hù)措施，是提升工業(yè)企業(yè)網(wǎng)絡(luò)安全保障能力，切實(shí)保障網(wǎng)絡(luò)安全的有效途徑。在監(jiān)管機(jī)構(gòu)的安全檢查和工業(yè)企業(yè)自查過(guò)程中，復(fù)雜多樣的工業(yè)環(huán)境和數(shù)量巨大的評(píng)估對(duì)象都對(duì)評(píng)估人員的技術(shù)水平和工作量提出了很大的考驗(yàn)。SCA在其中發(fā)揮的作用如下：

3）容器中的SCA

Kubernetes（k8s）是自動(dòng)化容器操作的開(kāi)源平臺(tái)，這些操作包括部署，調(diào)度和節(jié)點(diǎn)集群間擴(kuò)展。Kubernetes加快了容器部署，還讓用戶(hù)能夠管理大規(guī)模的多容器集群。它便于持續(xù)集成和持續(xù)交付，處理網(wǎng)絡(luò)、服務(wù)發(fā)現(xiàn)和存儲(chǔ)，還能夠在多云環(huán)境中執(zhí)行所有這些任務(wù)。Kubernetes中涉及到的配置問(wèn)題及對(duì)策如下表：

除了認(rèn)真遵循Kubernetes安全文檔外，確保Kubernetes安裝部署的最佳方法是，盡早將安全納入到部署的環(huán)境中，通過(guò)正確配置主動(dòng)保護(hù)環(huán)境比數(shù)據(jù)泄密發(fā)生后試圖應(yīng)對(duì)要簡(jiǎn)單得多，也省錢(qián)得多。另外，通過(guò)積極主動(dòng)的監(jiān)控來(lái)充分利用高級(jí)的安全運(yùn)維（SecOps）實(shí)踐，提供了保護(hù)日益Serverless的環(huán)境所需要的那種可見(jiàn)性。

（參考資料：Kubernetes不是銀彈：配置錯(cuò)誤、爆炸半徑）

4) 云環(huán)境中的SCA

Dome9安全公司首席執(zhí)行官Zohar Alon表示：“配置錯(cuò)誤導(dǎo)致了目前云中的大部分?jǐn)?shù)據(jù)被盜和泄露事件。”

提供云服務(wù)的方式多樣化也導(dǎo)致這個(gè)問(wèn)題更加嚴(yán)重。開(kāi)發(fā)人員創(chuàng)建了虛擬服務(wù)器和容器，以便快速推出應(yīng)用程序，存儲(chǔ)數(shù)據(jù)。業(yè)務(wù)部門(mén)通過(guò)自己注冊(cè)來(lái)使用服務(wù)，個(gè)人用戶(hù)也是如此。但本地?cái)?shù)據(jù)中心所采用的傳統(tǒng)配置管理方法并不適用于云服務(wù)。云平臺(tái)通常有自己的系統(tǒng)來(lái)監(jiān)視配置的更改。例如，AWS有AWS Cloud Trail和AWS Config。微軟的Azure云平臺(tái)有其運(yùn)營(yíng)管理套件。其他流行的SaaS云提供商沒(méi)有集中的管理工具，而是讓個(gè)人用戶(hù)負(fù)責(zé)自己的安全和共享設(shè)置。

云計(jì)算系統(tǒng)的配置核查對(duì)象如下表所示：

講了這么多，請(qǐng)?jiān)试S小妹夾帶點(diǎn)私貨吧（抱拳），給大家隆重介紹下我正在負(fù)責(zé)的產(chǎn)品——綠盟安全配置核查系統(tǒng)（NSFOCUS BVS），下面是它的詳細(xì)介紹。

四 、綠盟安全配置核查系統(tǒng)

首先來(lái)看下NSFOCUS BVS的歷史，10年前，企業(yè)經(jīng)常忽略安全配置問(wèn)題，從而給企業(yè)帶來(lái)了很大的隱患，就像修建了堅(jiān)固的城墻，但是忘記關(guān)城墻上的小門(mén)，導(dǎo)致攻擊者可以輕松的破門(mén)而入，造成不必要的財(cái)產(chǎn)損失。

一些管理者意識(shí)到了安全配置核查的重要性，開(kāi)始用人工的方式逐一設(shè)備登錄進(jìn)行檢查，以減少這類(lèi)問(wèn)題。綠盟科技也為其提供了相應(yīng)的安全配置檢查服務(wù)，并從中積累了大量經(jīng)驗(yàn)；但是面對(duì)大量的IT系統(tǒng)，這種檢查方式需要的人力成本很高，失誤風(fēng)險(xiǎn)也極大。因此，在2008年，綠盟科技為某運(yùn)營(yíng)商客戶(hù)編寫(xiě)了自動(dòng)化安全檢查工具，在使用中獲得了客戶(hù)的高度評(píng)價(jià)，在移動(dòng)行業(yè)迅速推廣開(kāi)來(lái)，形成了今天的綠盟安全配置核查產(chǎn)品——NSFOCUS BVS。

這十年來(lái)，NSFOCUS BVS不僅通過(guò)了測(cè)評(píng)機(jī)構(gòu)的資質(zhì)認(rèn)證，還根據(jù)國(guó)家信息安全等級(jí)保護(hù)管理辦法中等級(jí)保護(hù)定級(jí)、系統(tǒng)建設(shè)、等級(jí)測(cè)評(píng)、監(jiān)督檢查各個(gè)環(huán)節(jié)的要求，推出了綠盟科技等保專(zhuān)用規(guī)范，完善了產(chǎn)品操作功能，保障等級(jí)保護(hù)工作高效準(zhǔn)確執(zhí)行，并且根據(jù)2018年推出的等級(jí)保護(hù)2.0做了同步更新。在此基礎(chǔ)上，綠盟科技深耕不同行業(yè)，積累實(shí)踐了多個(gè)行業(yè)的安全配置經(jīng)驗(yàn)，擁有完善的安全配置知識(shí)庫(kù)，覆蓋政府、金融、能源、運(yùn)營(yíng)商、互聯(lián)網(wǎng)等大型企業(yè)，能全面的指導(dǎo) IT 信息系統(tǒng)的安全配置及加固工作，保障安全運(yùn)維過(guò)程。

NSFOCUS BVS 通過(guò)自動(dòng)化的進(jìn)行安全配置檢查，從而節(jié)省傳統(tǒng)的手動(dòng)單點(diǎn)安全配置檢查的時(shí)間，并避免傳統(tǒng)人工檢查方式所帶來(lái)的失誤風(fēng)險(xiǎn)，同時(shí)能夠出具詳細(xì)的檢測(cè)報(bào)告。它可以大大提高您檢查結(jié)果的準(zhǔn)確性和合規(guī)性，節(jié)省您的時(shí)間成本，讓檢查工作變得簡(jiǎn)單，是您身邊專(zhuān)業(yè)的“安全配置專(zhuān)家”。

NSFOCUS BVS 采用模塊化設(shè)計(jì)，內(nèi)部整體工作架構(gòu)如下圖所示。

五 、總結(jié)

SCA的介紹告一段落了，是不是對(duì)其有了一個(gè)全面的了解，同時(shí)，小妹在最后還是要送給大家一些干貨。以下是我收集的近幾年因?yàn)镾CA問(wèn)題引起的重大安全事件，分享給大家：

1.2017年，美國(guó)工業(yè)關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)泄露

德州電氣工程公司的Rsync服務(wù)器由于配置錯(cuò)誤（一個(gè)端口配置為互聯(lián)網(wǎng)公開(kāi)），大量客戶(hù)機(jī)密文件泄露，包括戴爾Dell、奧斯丁城City of Austin、甲骨文Oracle以及德州儀器Texas Instruments等等。泄露的數(shù)據(jù)除了暴露出客戶(hù)電氣系統(tǒng)的薄弱環(huán)節(jié)和故障點(diǎn)外，還揭露了政府運(yùn)營(yíng)的絕密情報(bào)傳輸區(qū)的具體位置和配置。更危險(xiǎn)的是，PQE內(nèi)部密碼被明文保存在文件夾中，如果落入不法分子之手，就能輕易攻破公司的多個(gè)系統(tǒng)。

2.2016年, MBS數(shù)據(jù)泄露

知名數(shù)據(jù)庫(kù)及數(shù)據(jù)存儲(chǔ)服務(wù)提供商MBS，遭到黑客攻擊。其MongoDB數(shù)據(jù)庫(kù)由于默認(rèn)配置,沒(méi)有啟用認(rèn)證，導(dǎo)致5800萬(wàn)商業(yè)用戶(hù)的重要信息泄露，包括名稱(chēng)、IP地址、郵件賬號(hào)、職業(yè)、車(chē)輛數(shù)據(jù)、出生日期等信息。

3.2014年,某在線票務(wù)公司數(shù)據(jù)泄露

某在線票務(wù)公司大量用戶(hù)銀行卡信息泄露。泄露核心原因是安全支付的日志配置所引發(fā),并且觸發(fā)了遍歷下載。

根據(jù)OWASP的2017年報(bào)數(shù)據(jù)顯示,安全事件Top10當(dāng)中,安全配置問(wèn)題排在了第六的位置，再一次強(qiáng)調(diào)了它的重要性。

資料來(lái)源：OWASP（2017年）

最最最后還是要總結(jié)一下：

安全配置合規(guī)性要求，是 IT 業(yè)務(wù)系統(tǒng)安全性的基本安全要求，對(duì)各行各業(yè)安全規(guī)范要求的落地、對(duì)等級(jí)保護(hù)要求的具體化，建立行之有效的檢測(cè)手段是安全管理人員面臨的最為重要和迫切的問(wèn)題，也需要安全廠商積極提供自動(dòng)化的解決方案，幫助運(yùn)維人員面對(duì)網(wǎng)絡(luò)中種類(lèi)繁雜、數(shù)量眾多的設(shè)備和軟件環(huán)境，快速、有效的檢查設(shè)備，進(jìn)行自動(dòng)化的安全檢查，制作風(fēng)險(xiǎn)審核報(bào)告，并且最終識(shí)別那些與安全規(guī)范不符合的項(xiàng)目，以達(dá)到整改合規(guī)的要求。

通過(guò)對(duì)SCA的詳細(xì)了解，不禁要為SCA瘋狂打call。簡(jiǎn)單粗暴的一句總結(jié)：把基礎(chǔ)做好才是真的好。也歡迎大家和我討論SCA相關(guān)問(wèn)題，我們下一篇再會(huì)。