安全配置管理（SCM）已經(jīng)成為現(xiàn)代企業(yè)組織開展網(wǎng)絡(luò)安全建設(shè)的重要基礎(chǔ)工作，是各種安全能力有效運營的基礎(chǔ)，缺少它一切只是空中樓閣。SANS 研究所和互聯(lián)網(wǎng)安全中心建議，當企業(yè)全面梳理IT資產(chǎn)后，最重要的安全控制就是進行可靠的安全配置。CIS關(guān)鍵安全控制第4項（Critical Security Control 4）也表明，“企業(yè)應建立和維護硬件（包括便攜式和移動設(shè)備的最終用戶設(shè)備、網(wǎng)絡(luò)設(shè)備、非計算/物聯(lián)網(wǎng)設(shè)備及服務(wù)器）和軟件（操作系統(tǒng)及應用程序）的安全配置?！?/p>

什么是安全配置管理？

美國國家標準與技術(shù)研究所（NIST）給安全配置管理SCM進行了以下定義：以實現(xiàn)安全和管理風險為目標的信息系統(tǒng)配置管理和控制。通過為系統(tǒng)設(shè)置一套標準配置，并持續(xù)監(jiān)控各個指標，組織就可以迅速識別違規(guī)行為，并減少攻擊面。

如果組織使用SCM執(zhí)行安全加強標準（比如CIS、NIST和ISO 27001）或合規(guī)標準（比如PCI、SOX、NERC或HIPAA），就能夠持續(xù)加強系統(tǒng)安全，減小網(wǎng)絡(luò)犯罪分子發(fā)動攻擊的機會。

攻擊者總是伺機尋找那些默認設(shè)置很容易中招的系統(tǒng)，一旦發(fā)現(xiàn)漏洞，攻擊者就會更改系統(tǒng)設(shè)置，實施破壞活動。在這種情況下，安全人員能夠擁有一套合適的管理工具，對安全配置進行有效管理顯得格外重要。SCM工具不僅可以識別使組織系統(tǒng)易受攻擊的錯誤配置，還可以讓組織準確了解關(guān)鍵資產(chǎn)上發(fā)生的變化，比如，可以識別對關(guān)鍵文件或注冊表項所做的“異?！弊兏取?/p>

安全配置管理計劃與實施

組織如果沒有安全配置管理計劃，即使在一臺服務(wù)器上維護安全配置也困難重重，更何況組織通常有成千上萬個端口、服務(wù)和配置需要跟蹤。為有效跟蹤企業(yè)眾多服務(wù)器、虛擬機管理程序、云資產(chǎn)、路由器、交換機和防火墻的配置情況，最好的方法是借助自動化。一款好的SCM工具可以為組織自動處理這些任務(wù)，同時清晰顯示系統(tǒng)情況。一旦組織的系統(tǒng)配置有誤，安全人員就會立即接到通知，并獲得詳細的處置說明，以糾正錯誤配置。

成熟的SCM計劃有四個關(guān)鍵階段：

1、發(fā)現(xiàn)設(shè)備

首先組織要找到需要管理的設(shè)備，組織可以利用整合資產(chǎn)管理存儲庫的SCM平臺完成這項工作。組織還需要對資產(chǎn)進行分類和標記，比如，技術(shù)部門的工作站需要與財務(wù)系統(tǒng)不一樣的配置，避免啟動不必要的服務(wù)。

2、建立配置基準

組織需要為每種類型的受管理設(shè)備確定可接受的安全配置。許多組織從CIS或NIST等權(quán)威機構(gòu)的基準入手，以獲得配置設(shè)備的詳細指導。

3、評估和報告變更

組織在找到需要管理的設(shè)備并進行分門別類后，下一步就是定義評估設(shè)備的頻次，也就是組織應該多久審查一次安全策略。也許有些企業(yè)可以使用實時評估，但并非所有場景都需要實時評估，應根據(jù)企業(yè)的具體情況進行設(shè)置。

4、及時補救

一旦發(fā)現(xiàn)了問題，就需要修復問題，否則攻擊者就會趁虛而入。組織需要確定待處理事項的優(yōu)先級，根據(jù)輕重緩急處理不同問題，同時，還需要驗證系統(tǒng)或配置確實發(fā)生了變更。

企業(yè)在設(shè)計有效的安全配置管理計劃時，還要重點關(guān)注以下事項：

• 要避免在IT系統(tǒng)環(huán)境中出現(xiàn)資產(chǎn)盲點，通常需要結(jié)合基于代理的掃描和無代理掃描，以確保始終正確配置了整個環(huán)境。
• 組織需要為技術(shù)用戶和非技術(shù)用戶設(shè)置可選擇的設(shè)置模式，并且需要能夠?qū)崿F(xiàn)僅向授權(quán)用戶或用戶組顯示某些要素、策略及/或警報，這些權(quán)限通常存儲在企業(yè)目錄中。
• 安全警報通常由系統(tǒng)中配置的策略驅(qū)動，因此，為確保SCM方案滿足企業(yè)的獨特需求，創(chuàng)建和管理策略至關(guān)重要。
• 爭分奪秒在任何事件響應中都非常重要，因此，能夠通過深入分析，為事件響應流程提供有價值的信息就顯得很有必要。管理員可以監(jiān)控和管理表明有違規(guī)行為的策略違反行為。

雖然安全配置管理過程很復雜，但如果組織使用合適的SCM工具，大部分工作都可以借助自動化來完成。組織使用安全加強標準，并設(shè)立基準基線，以識別該標準出現(xiàn)的變化，是“密切關(guān)注敵人”的好方法。

參考鏈接

https://www.tripwire.com/state-of-security/featured/why-security-configuration-management-matters/。