在網(wǎng)絡(luò)安全世界里，攻擊者一直在尋找入侵系統(tǒng)并破壞數(shù)據(jù)的最優(yōu)路徑，而錯誤的系統(tǒng)配置和不安全的默認配置正是他們最喜歡的載體，因為這些錯誤的配置信息使他們能夠非常輕松地訪問關(guān)鍵業(yè)務系統(tǒng)和數(shù)據(jù)。隨著云計算應用的不斷發(fā)展和普及，大規(guī)模云環(huán)境的復雜性進一步限制了安全團隊為企業(yè)提供安全保護的能力，這導致了更多的配置錯誤在被修復前就已經(jīng)被廣泛地惡意利用。

多項研究報告指出，配置錯誤已經(jīng)成為導致企業(yè)敏感數(shù)據(jù)泄露的最主要原因，有超過90%的數(shù)據(jù)安全事件是由企業(yè)自己的原因直接/間接引發(fā)。在這種情況下，安全運營人員如果能夠擁有一套完善的安全配置管理（SecCM）計劃，持續(xù)對企業(yè)整體環(huán)境中各種易受攻擊的錯誤配置進行全面管理就顯得格外重要。

什么是SecCM？

美國國家標準與技術(shù)研究所（NIST）對SecCM進行了以下定義：這是一種以實現(xiàn)安全和管理風險為目標的信息系統(tǒng)配置管理和控制，通過為系統(tǒng)設(shè)置一套標準配置，并持續(xù)監(jiān)控各個指標。使用SecCM執(zhí)行安全加強標準（比如CIS、NIST、ISO 27001）或合規(guī)標準（比如PCI、SOX、NERC、HIPAA），組織就可以迅速識別違規(guī)行為，并減少攻擊面。

安全研究人員認為，SecCM應該成為現(xiàn)代企業(yè)開展網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)性要求和重要工作。SANS 研究所和互聯(lián)網(wǎng)安全中心建議，當企業(yè)全面梳理IT資產(chǎn)后，最重要的安全控制就是進行可靠的安全配置。CIS關(guān)鍵安全控制第4項（Critical Security Control 4）也明確要求，“企業(yè)應建立和維護硬件（包括便攜式和移動設(shè)備的最終用戶設(shè)備、網(wǎng)絡(luò)設(shè)備、非計算/物聯(lián)網(wǎng)設(shè)備及服務器）和軟件（操作系統(tǒng)及應用程序）的安全配置?！?/p>

在一個完善的SecCM方案中，會包含多個基于安全最佳實踐的基礎(chǔ)控制措施，例如：

• 使用漏洞評估策略緩解已知的安全缺陷
• 評估已授權(quán)硬件和軟件系統(tǒng)的配置安全性； 
• 使用規(guī)范的安全流程和控制措施來自動修復異常配置。

SecCM應用實踐

如果沒有一套完善的安全配置管理計劃，企業(yè)的安全人員即使只維護一臺服務器應用的安全配置也并不容易，更不要說當組織有成千上萬個端口、服務和配置需要跟蹤維護時。應用實踐表明，一個成熟的SCM計劃通常需要包含有以下四個關(guān)鍵原則：

01全面發(fā)現(xiàn)設(shè)備資產(chǎn)

首先組織要找到需要管理的設(shè)備，組織可以利用整合資產(chǎn)發(fā)現(xiàn)與管理能力的SecCM平臺來完成這項工作。在充分發(fā)現(xiàn)資產(chǎn)的基礎(chǔ)上，組織還需要對所有資產(chǎn)進行分類和標記，以實現(xiàn)差異化管理，比如，技術(shù)部門的工作站需要與財務系統(tǒng)不一樣的配置，避免啟動不必要的服務。

02建立配置標準

組織需要為各種受管理設(shè)備確定明確的、可接受的安全配置標準。在此過程中，企業(yè)可以將CIS或NIST等權(quán)威機構(gòu)給出的安全標準作為參考，以獲得配置設(shè)備的詳細安全性指導，并在此基礎(chǔ)上，結(jié)合企業(yè)的實際應用需求，建立安全配置的管理標準。

03評估和報告變更

組織在找到需要管理的設(shè)備并進行分類后，下一步就是定義評估設(shè)備的監(jiān)控頻次，也就是組織應該多久審查一次安全策略。在條件具備的情況下，部分企業(yè)可以使用實時評估，但并非所有場景都需要實時評估，應根據(jù)企業(yè)的具體情況進行設(shè)置。

04及時補救

一旦發(fā)現(xiàn)了問題，就需要修復問題，否則攻擊者就會趁虛而入。組織需要確定待處理事項的優(yōu)先級，根據(jù)輕重緩急處理不同問題，同時，還需要驗證系統(tǒng)或配置確實發(fā)生了變更。

除了要遵循以上關(guān)鍵原則，企業(yè)在制定安全配置管理計劃時，還應該重點關(guān)注以下事項：

• 要避免在IT系統(tǒng)環(huán)境中出現(xiàn)資產(chǎn)盲點，通常需要結(jié)合基于代理的掃描和無代理掃描，以確保始終正確配置了整個環(huán)境；
• 組織需要為各類型用戶提供可選擇的設(shè)置模式，并且需要能夠?qū)崿F(xiàn)僅向授權(quán)用戶或用戶組顯示某些要素、策略及/或警報，這些權(quán)限通常存儲在企業(yè)目錄中；
• 安全警報通常由系統(tǒng)中配置的策略驅(qū)動，因此，為確保SecCM方案滿足企業(yè)的運營需求，靈活的創(chuàng)建和管理策略至關(guān)重要；
• 安全配置管理的效率也非常重要，管理人員要能夠迅速識別違反管理策略的人員和行為，并能夠通過深入分析，快速為安全事件響應流程提供有價值的信息。

SecCM工具選型

安全配置管理過程很復雜，因此組織需要使用合適的SecCM工具，以自動化的方式來完成大部分管理工作。數(shù)據(jù)顯示，SecCM市場應用正在快速增長，預計到2028年將達到58.1億美元，復合年增長率為16.26%。目前，市場上已經(jīng)有非常多的SecCM解決方案，企業(yè)要根據(jù)自己的信息化特點和應用需求，選擇真正適合的SecCM解決方案。 

01系統(tǒng)環(huán)境支持與兼容

企業(yè)需要確保所選擇的SecCM解決方案能夠有效支持他們正在使用的各種操作系統(tǒng)和應用程序，這樣才能最大限度地發(fā)揮SecCM工具的價值。如果SecCM工具與企業(yè)現(xiàn)有的應用系統(tǒng)不能兼容，將會造成損害網(wǎng)絡(luò)可見性的管理盲點，影響企業(yè)阻止攻擊者利用錯誤配置效果。

02策略靈活性

優(yōu)秀的SecCM工具應該能夠提供多樣化的應用策略和配置選項。這些選項將幫助組織在開展數(shù)字化轉(zhuǎn)型時便捷地調(diào)整工具，以適應其不斷變化的合規(guī)需求和應用需求。SecCM工具還應該為企業(yè)提供自定義預設(shè)策略、定義新策略以及按需求靈活添加新的基線配置的選項。

03可擴展性

組織應該確保他們能夠隨時調(diào)整SecCM掃描協(xié)議的頻率、影響和范圍。這種擴展性應該包括在網(wǎng)絡(luò)中廣泛分布的各種掃描設(shè)備上，而不會增加端點設(shè)備的負擔。它還應該具有管理遠程設(shè)備的能力，并在發(fā)現(xiàn)剛剛聯(lián)網(wǎng)的產(chǎn)品時重點進行安全性評估并向管理人員發(fā)出提醒。

04提升自動化程度

盡管企業(yè)可以選擇通過向幫助臺報告配置問題來手動操作SecCM解決方案，但是自動化報告這些問題并與業(yè)務工作流無縫集成，將給企業(yè)帶來更多的便利和價值。否則，組織可能會由于安全人員的告警疲勞而忽略一些嚴重的配置錯誤問題，甚至可能將這些問題暴露給攻擊者。通過自動化手段，企業(yè)還可以找到減少誤報的方法，避免浪費時間去調(diào)查一個不構(gòu)成實際威脅的警報，而忽視真正嚴重的安全問題。

參考鏈接：

https://www.tripwire.com/state-of-security/security-configuration-management

https://cybersecurityforme.com/security-configuration-management/?expand_article=1