盡管2013年美國出現(xiàn)政府關(guān)閉、債務(wù)上限、預(yù)算談判和持續(xù)的政治作秀等狀況，一個(gè)龐大而昂貴的政府項(xiàng)目已經(jīng)在最近幾周開始穩(wěn)步部署。

不受實(shí)事影響，在收到1.5億美元的初始分配資金后，美國總務(wù)管理局與國土安全局(DHS)已經(jīng)開始部署被稱為連續(xù)診斷和緩解(Continuous Diagnostics and Mitigation，CDM)的項(xiàng)目。對(duì)于這個(gè)項(xiàng)目，很多不隸屬于政府的實(shí)體更為熟悉的名字是連續(xù)安全監(jiān)控，該項(xiàng)目的目標(biāo)是利用最新技術(shù)和標(biāo)準(zhǔn)化政策，對(duì)聯(lián)邦政府最重要的網(wǎng)絡(luò)資源部署連續(xù)監(jiān)控。

企業(yè)可以從政府的工作中學(xué)習(xí)到很多經(jīng)驗(yàn)。本文中讓我們進(jìn)一步深入這個(gè)連續(xù)安全監(jiān)控的概念，并探討你的企業(yè)如何可以從這種部署中獲益。

CDM和CSM含義

CDM項(xiàng)目是一種采購協(xié)議，它幫助幾十家私營聯(lián)邦政府機(jī)構(gòu)采購產(chǎn)品來部署連續(xù)安全監(jiān)控(CSM)，以融入DHS設(shè)計(jì)的架構(gòu)。雖然該協(xié)議有60億美元的上限，個(gè)別機(jī)構(gòu)仍然需要根據(jù)協(xié)議自己籌集資金來購買產(chǎn)品。

簡單地說，CSM是指不斷檢查企業(yè)中最重要的網(wǎng)絡(luò)資源。這個(gè)術(shù)語中使用的“連續(xù)”的含義是，某些資產(chǎn)將被全天候監(jiān)控，當(dāng)發(fā)生任何異常情況時(shí)，預(yù)警機(jī)制將會(huì)通知系統(tǒng)管理員。雖然事實(shí)上，CSM已經(jīng)存在了相當(dāng)一段時(shí)間了，但直到最近才出現(xiàn)專門的術(shù)語。

多年來，企業(yè)的網(wǎng)絡(luò)安全策略是通過部署各種入侵防御/檢測系統(tǒng)(IDS/IPS)與某種日志記錄機(jī)制來監(jiān)控和保護(hù)網(wǎng)絡(luò)。然而，隨著安全專業(yè)人員和企業(yè)網(wǎng)絡(luò)的不斷進(jìn)步，企業(yè)開始構(gòu)建和部署更全方位的解決方案。到現(xiàn)在，不僅僅是聯(lián)邦政府，很多企業(yè)都開始倡導(dǎo)和支持成熟的CSM解決方案。

通過CDM項(xiàng)目，DHS的重點(diǎn)是讓政府機(jī)構(gòu)部署六步CSM過程：安裝和更新網(wǎng)絡(luò)掃描傳感器、自動(dòng)化搜索已知系統(tǒng)漏洞、收集掃描結(jié)果、會(huì)審和分析結(jié)果、緩解最大或最嚴(yán)重的漏洞，以及報(bào)告進(jìn)展情況。其目的是讓私營機(jī)構(gòu)在72小時(shí)傳感器部署中充分診斷其網(wǎng)絡(luò)。

雖然這一項(xiàng)目是否會(huì)成功還有待觀察，但這是受大型購買協(xié)議支持的“雄心勃勃”的項(xiàng)目。如果成功的話，這將顯著幫助聯(lián)邦政府機(jī)構(gòu)提高信息安全性。SANS研究所的Alan Paller在描述該項(xiàng)目的潛力時(shí)表示，CDM“將會(huì)改造網(wǎng)絡(luò)安全工具的藍(lán)圖，關(guān)鍵基礎(chǔ)設(shè)施和其他企業(yè)將從中學(xué)習(xí)到的經(jīng)驗(yàn)教訓(xùn)，幫助他們優(yōu)化網(wǎng)絡(luò)安全支出以及停止浪費(fèi)更多錢購買高價(jià)位低效率工具。”

企業(yè)CSM：起步

那么，民營企業(yè)如何跟隨政府的步伐來部署這種連續(xù)安全監(jiān)控呢?雖然決策者可以從賽門鐵克、Tenable、TripWire、FireMon等供應(yīng)商選購各種商業(yè)監(jiān)控產(chǎn)品，但事實(shí)上，大多數(shù)企業(yè)網(wǎng)絡(luò)已經(jīng)有一些必要的工具來開始部署CSM。然而，在討論工具之前，讓我們看看CSM規(guī)劃過程的一個(gè)重要部分：設(shè)備分類。

在部署連續(xù)監(jiān)控系統(tǒng)之前，企業(yè)必須決定哪些網(wǎng)絡(luò)組件和網(wǎng)段應(yīng)優(yōu)先用于連續(xù)監(jiān)控。部署傳感器和解釋結(jié)果的資源都很有限，所以企業(yè)應(yīng)該采取基于風(fēng)險(xiǎn)的做法來部署CSM。首先應(yīng)該從數(shù)據(jù)敏感度和/或任務(wù)關(guān)鍵性最高的關(guān)鍵資產(chǎn)開始。其中，包含關(guān)鍵資產(chǎn)數(shù)量最多的網(wǎng)絡(luò)是CSM初始部署的首要目標(biāo)。從那里，你可以繼續(xù)使用基于風(fēng)險(xiǎn)的方法利用可用的資源擴(kuò)大你的部署到其他網(wǎng)段。

企業(yè)CSM工具：利用你現(xiàn)有的設(shè)備

在考慮哪些現(xiàn)有工具可用于連續(xù)安全監(jiān)控時(shí)，請(qǐng)注意，這些工具不能作為專用CSM系統(tǒng)的長期替代方案，而只是暫時(shí)替代。如果企業(yè)已經(jīng)有IDS/IPS、漏洞管理產(chǎn)品、網(wǎng)絡(luò)枚舉解決方案和某種類型的網(wǎng)絡(luò)日志記錄機(jī)制，就已經(jīng)可以部署一個(gè)簡單的CSM系統(tǒng)。

當(dāng)涉及IDS時(shí)，一個(gè)流行的開源工具是Sourcefire(現(xiàn)在已歸思科公司所有)的Snort。這個(gè)廣受歡迎的產(chǎn)品提供了非常靈活的規(guī)則管理系統(tǒng)，使你可以從社區(qū)更新，并補(bǔ)充你自己的自定義腳本規(guī)則來監(jiān)控你的網(wǎng)絡(luò)上的狀況。

網(wǎng)絡(luò)枚舉

另外一個(gè)經(jīng)常被忽略的CSM部分是網(wǎng)絡(luò)枚舉。對(duì)于現(xiàn)在企業(yè)網(wǎng)絡(luò)內(nèi)日益流行的攜帶自己設(shè)備到工作場所(BYOD)策略，這尤為重要。簡單地說，你很難連續(xù)監(jiān)控你不知道其存在的東西。雖然網(wǎng)絡(luò)枚舉工具有多種多樣，我們知道一個(gè)非常受歡迎的易于使用的經(jīng)過時(shí)間檢驗(yàn)的開源工具是Nmap。市面上有很多針對(duì)Nmap的不同的圖形用戶界面，但Nmap的核心是一個(gè)命令行工具，很像Snort，具有很強(qiáng)的可編寫腳本性。例如，如果系統(tǒng)管理員知道其內(nèi)部網(wǎng)絡(luò)IP范圍是10.0.0.0/16，那么，為了定位該網(wǎng)絡(luò)范圍內(nèi)的每臺(tái)設(shè)備，他們應(yīng)該鍵入以下命令：

nmap 10.0.0.0/16 >> mytextfile.txt

這個(gè)命令可以告訴Nmap工具定位給定子網(wǎng)內(nèi)的每臺(tái)設(shè)備，并輸出節(jié)點(diǎn)信息到文本文件，這將幫助系統(tǒng)管理員更好地識(shí)別所有網(wǎng)絡(luò)設(shè)備。

日志記錄：沒有它的話，CSM不會(huì)成功

對(duì)于連續(xù)安全監(jiān)控，最后也許是最重要的方面是日志記錄。日志提供了有關(guān)系統(tǒng)和網(wǎng)絡(luò)上的活動(dòng)的重要審計(jì)線索，使安全專業(yè)人員可以重新建構(gòu)可能導(dǎo)致安全事故的事件。日志分析工具可以檢測問題并找出不可能被發(fā)現(xiàn)的問題。例如，對(duì)于通過直接登錄到敏感機(jī)器而沒有產(chǎn)生網(wǎng)絡(luò)流量的內(nèi)部攻擊，日志分析可能是唯一的安全信息來源。

與網(wǎng)絡(luò)枚舉工具一樣，日志記錄工具也是多種多樣的，但可以肯定地說，現(xiàn)在企業(yè)中有一個(gè)非常流行(如果說不是最流行)的日志記錄機(jī)制是Linux服務(wù)—syslog。由于syslog具有高度可編寫腳本性，并且具有非常細(xì)粒度的數(shù)據(jù)收集水平，很多企業(yè)發(fā)現(xiàn)他們可以很容易地調(diào)整其日志記錄功能來滿足其特定需求。例如，如果系統(tǒng)管理員想發(fā)送所有Snort警報(bào)到syslog服務(wù)器，他們會(huì)瀏覽到etc/snort/snort.conf 并在配置文件末尾增加以下命令：

output alert_syslog:host=10.0.0.1:514, LOG_AUTH LOG_ALERT

上述命令的前提是，該syslog服務(wù)器的IP地址是10.0.0.1，并且它正在監(jiān)聽UDP端口514。當(dāng)系統(tǒng)管理員配置警報(bào)來記錄異常入站和/或出站連接、在本地網(wǎng)絡(luò)中插入新設(shè)備或管理員認(rèn)為值得警惕的其他網(wǎng)絡(luò)事件時(shí)，這個(gè)命令特別有用，并具有高度可擴(kuò)展性。

結(jié)論

連續(xù)安全監(jiān)控正在聯(lián)邦政府和私營部門內(nèi)獲得推動(dòng)力。國土安全局的CDM舉措為聯(lián)邦政府用戶提供了一個(gè)共同的框架，并概述了適合各行各業(yè)企業(yè)的部署方法。這個(gè)框架的可用性，以及CDM采購協(xié)議(各種安全監(jiān)控工具)應(yīng)該會(huì)推動(dòng)聯(lián)邦政府內(nèi)的部署。并且，聯(lián)邦政府的舉措很可能會(huì)推動(dòng)私營企業(yè)，在整個(gè)公共和專用網(wǎng)絡(luò)內(nèi)給安全基礎(chǔ)設(shè)施部署帶來一種新的緊迫感。