何為SCA?聽聽一枚產品汪的純干貨分享
剛畢業就成為了一名產品汪,還是高端大氣上檔次的網絡安全行業(此處省略100字),而且還負責了一款重量級產品——配置核查系統,小妹又高興又惶恐,只能發奮學習,努力努力再努力!以下就是這段時間我對SCA的一些認識了,分享給大家,請大佬們多多指教。首先來看一下SCA的定義。
一 、SCA的定義
Gartner把SCA定義為Security Configuration Assessment,翻譯過來是安全配置評估,對其的說明是:提供了遠程評估和驗證配置的功能,例如Windows域組策略中的密碼復雜性;經常用于實現法規遵從性,例如PCI或內部安全策略合規性。
從字面意思看Gartner把其定義為“功能”,這種“功能”的作用是進行“遠程評估”和“驗證配置”,雖然文中缺少“安全”兩字,但是從實例分析,以及佐以Gartner文中其他的價值、功能和廠商等介紹,我們可以認為屬于安全范疇。
而國內常用的是安全配置核查,定義為對信息系統配置操作,例如操作系統、網絡設備、數據庫、中間件等多類設備的檢查。
當然一些互聯網廠商也將SCA用作Security Checklist Analysis的簡稱,定義為進行安全檢查、發現潛在危險、督促各項安全法規、制度、標準實施的一個較為有效的工具。
本文主要參照了前兩種方式來理解SCA。同時,Gartner給出了8個具有代表性的SCA廠商:Amazon,Tenable,Rapid7,BeyondTrust,Tripwire,IBM Bigfix,Tanium,Qualys,接下來對這幾個廠商進行更詳細的一個分析。
二 、SCA的代表廠商及具體支持功能
以下挑了Gartner推薦中的5個廠商:BeyondTrust,Qualys,Rapid7,Tenable以及Tripwire,對其主要功能進行了綜合對比分析,參見下表(按首字母排序):
從上表可知,Gartner認為一個標準的SCA至少需要以下幾大功能:
• 適用于盡可能多種類的操作系統,數據庫,中間件;
• 支持迅速響應;
• 支持自動化配置檢查;
• 支持生成報表;
• 合規性遵從,比如:FISMA,STIG,HIPPA,CIS,SCAP。
那么每個廠商具體的SCA相關產品介紹又是什么,以下進行分別的介紹:
1.BeyondTrust
資料來源:BeyondTrust官網
Retina配置合規性模塊可以輕松地根據內部策略或外部最佳實踐審核配置,同時集中報告以用于監控和監管目的。
主要特征
• 開箱即用的配置審核,報告和警報;
• 用于Windows操作系統的模板,以及用于FDCC,NIST,STIGS,USGCB和Microsoft應用程序的模板;
• 審計和安全設置,用戶權限,日志記錄配置等的評估;
• 內置報告并與Retina CS集成,用于增量,趨勢和其他分析;
• OVAL 5.6 SCAP認證的掃描引擎和解釋器。
Retina監管報告模塊使您能夠有效地瀏覽復雜的法規遵從環境。 該模塊通過將網絡的特定漏洞映射到相關的公司政策,政府法規和行業標準,超越了通用合規報告。
主要特征
• 與Retina CS和Retina配置合規性模塊無縫集成;
• PCI,HIPAA,SOX,GLBA,NIST,FERC / NERC,MASS 201,ISO,COBiT,ITIL,HITRUST等法規的合規報告;
• 將漏洞和配置問題映射到控制目標和任務;
• 合規性儀表板具有向下鉆取功能,可以立即一致地響應合規性違規;
• 持續更新新發現的漏洞和監管控制的變化。
2. Qualys
資料來源:Qualys官網
覆蓋面廣
Qualys SCA是Qualys漏洞管理的附加項, 可讓您根據Internet安全(CIS)基準的中心評估、報告、監視和修正與安全相關的配置問題。它支持操作系統、數據庫、應用程序和網絡設備的最新的 CIS 基準發布。
控制責任
Qualys SCA控制由Qualys安全專家在內部開發和驗證, 并由 CIS 認證。這些控件針對性能、可伸縮性和準確性進行了優化。Qualys SCA可以在任何大小的 IT 環境中使用, 從小的到最大的。
易用性
SCA的CIS評估是通過基于web的用戶界面和從 Qualys 云平臺提供的, 從而實現集中化管理, 部署開銷最小。可以根據組織的安全策略選擇和自定義 CIS 控件。這就消除了與傳統的用于配置管理的軟件點產品相關的成本、資源和部署問題。
報告和儀表板
SCA 用戶可以安排評估, 自動創建可下載的配置問題報告, 并查看儀表板以提高其安全態勢。這就帶來了Qualys SCA 在領先基準之后的安全最佳做法的自動化, 并讓保密團隊對數字業務安全采取主動的方法。
3. Rapid7
資料來源:Rapid7官網
滿足漏洞管理合規性要求:Nexpose使組織能夠始終遵守PCI DSS,NERC CIP,FISMA(USGCB/FDCC),HIPPAA/HITECH,Top20 CSC,DISA STIGS和風險/漏洞/配置管理的CIS標準。與其他可能是網絡負擔多次掃描的解決方案不同,Nexpose的快速,統一的安全性和合規性評估通過為您提供完整的風險和合規性狀態來提高安全計劃的性能。
4. Tenable
資料來源:Tenable官網
掃描功能:
• 覆蓋范圍:網絡設備的離線配置審核;
• 合規性:幫助滿足政府,監管和企業掃描要求;
• 有助于對安全配置實施PCI DSS要求;
威脅:僵尸網絡/惡意,進程/反病毒審計;
• 配置審核:CERT,CIS,COBIT/ITIL,DISA STIG,FDCC,ISO,NIST,NSA,PCI。
5. Tripwire
資料來源:Tripwire官網
根據法規遵從性要求, 減少攻擊表面的主動配置硬化。減少審核準備時間和成本, 并提供審核報告和符合性證明。Tripwire擁有最大和最廣泛的支持策略和平臺的庫, 其中包含800多個策略, 并涵蓋了一系列平臺 OS 版本和設備。Tripwire企業經常更新, 以確保您始終有您需要的覆蓋范圍。
關鍵配置錯誤需要立即糾正措施。Tripwire自動化并引導您快速修復不兼容的系統和安全錯誤。您可以通過與 SIEMs、IT GRC 和更改管理系統的集成來自動化工作流。調查和根本原因特征和比較快速地告訴您需要知道的:什么改變了, 如何改變的, 什么時候改變的和由誰改變的。
在對各個廠商提供的功能有所了解后,接下來對SCA的主要使用場景進行探討,分成兩個方面:傳統應用場景和新技術應用場景。
傳統應用場景包括合規,脆弱性管理。新技術應用場景比如工控,物聯網(包括IOT),云平臺,容器,區塊鏈,以及Cloud Security Posture Management (CSPM)(配置檢查+CWPP)中,以下是具體介紹。
三 、SCA的應用場景
1.傳統場景下的應用
1)合規中的SCA
合規并不是僅滿足法律法規的要求,而是要在遵循法律法規的基礎上,關注各種規則、規范,同時協調好各方面的關系。合規中的SCA可以通過選擇對應的模板——進行對比分析——給出符合性結果——根據結果得出一個是否合規的結論,也包括整改方案。
國內信息安全領域常用的規范是等級保護。等級保護是《信息安全技術 網絡安全等級保護基本要求》的簡稱,定義為對信息和信息系統分等級實行的安全保護和對信息系統中使用的信息安全產品實行的按等級管理。公安部也根據等保規范,制定了等保測評要求,等保1.0和等保2.0中涉及到SCA的部分要求對比如下:
|
等保1.0 |
等保2.0 |
||
|
網絡安全 |
邊界和關鍵網絡設備防護 |
登錄用戶身份鑒別 |
無變化 |
|
登陸失敗處理(結束會話、限制非法登錄次數、登陸連接超時自動退出等) |
|||
|
對設備遠程管理產生的鑒別信息進行保護 |
|||
|
主機安全 |
身份鑒別 |
是否采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別 |
是否采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用動態口令、密碼技術或生物技術來實現 |
|
是否重命名系統默認賬戶、修改賬戶的默認口令 |
是否重命名或刪除默認賬戶,修改默認賬戶的默認口令 |
||
|
對系統中多余、過期的賬戶是否刪除,是否避免共享賬戶的存在 |
對系統中多余、過期的用戶是否刪除或停用,是否避免共享賬戶的存在 |
||
|
應用安全 |
身份鑒別 |
是否對同一用戶應采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別 |
是否采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用動態口令、密碼技術或生物技術來實現 |
|
登陸用戶的口令最小長度、復雜度和更換周期是否限制 |
|||
|
是否根據安全策略設置了登錄失敗次數等參數 |
是否根據安全策略設置了登錄失敗次數等參數,多次登錄失敗后應采取必要的保護措施 |
||
|
驗證身份標識和鑒別功能是否有效 |
國外也有許多規范,比如NIST,PCI DSS等,其中涉及到SCA的管理條例如下:
|
PCI DSS |
2.2:Develop configuration standards for all system components |
|
NIST 800-53 rev 4 |
CM-2:Baselinne configuration |
|
CM-6:Configuration settings |
|
|
CM-7:Least functionality |
|
|
NIST Cybersecurity Framework |
PR.IP-1:Baseline configurations are created and maintained |
|
ISO/IEC 27002:2013 |
A.14.2.8:System security testing |
|
A.18.2.3:Technical compliance review |
2)脆弱性管理中的SCA
系統脆弱性由安全基線來評估,系統實現層中的安全基線要求主要是由安全漏洞方面、安全配置方面等檢查項構成,這些檢查項的覆蓋面、有效性成為了基線安全實現的關鍵,如下圖所示:
安全配置核查,也就是我們的SCA,主要的檢查范圍是由人為疏忽造成的配置問題,主要包括了賬號、口令、授權、日志、IP通信等方面內容。安全配置與系統的相關性非常大,同一個配置項在不同業務環境中的安全配置要求是不一樣的,如在WEB系統邊界防火墻中需要開啟HTTP通信,但一個WAP網關邊界就沒有這樣的需求,因此在設計系統安全基線的時候,安全配置是一個關注的重點。
2.新技術中的應用
1)物聯網(IOT)中的SCA
通過對物聯網中的一些設備,比如攝像頭,智能恒溫器等的信息采集,可直接或間接地暴露用戶的隱私信息。如果生產商缺乏安全意識,很多設備缺乏加密、認證、訪問控制管理的安全措施,物聯網中的數據就會很容易被竊取或非法訪問,造成數據泄露。這種新型的信息網絡往往會遭受有組織的 APT 攻擊。
物聯網不同層次可能有著相同的安全需求,下表對物聯網可能涉及到的SCA相關問題的威脅和對策做了總結:
|
認證 |
威脅 |
物聯網環境中的部分訪問無認證或認證采用默認密碼、弱密碼。 |
|
對策 |
一方面開發人員應考慮在設計時確保用戶在首次使用系統時修改默認密碼,盡可能使用雙因素認證,對于敏感功能,需要再次進行認證等;另一方面作為用戶,應該提高安全意識,采用強密碼并定期修改密碼。 |
|
|
訪問控制管理 |
威脅 |
未授權訪問 |
|
安全配置長期不更新、不核查 |
||
|
對策 |
身份和訪問管理、邊界安全(安全訪問網關)。 |
|
|
持續的脆弱性和錯誤配置檢測清除。 |
||
|
物理安全 |
威脅 |
部署在遠端的缺乏物理安全控制的物聯網資產有可能被盜竊或破壞。 |
|
對策 |
盡可能加入已有的物理安全防護措施。并非技術層面的問題,更應作為標準的一部分進行規范。 |
|
|
設備保護和資產管理 |
威脅 |
設備的配置文件被修改。 |
|
設備的數量巨大使得常規的更新和維護操作面臨挑戰。 |
||
|
對策 |
定期審查配置。 |
|
|
固件自動升級(over-the air (OTA))。 |
||
|
定義對于物聯網設備的全生命周期控制。 |
||
|
日志和審計 |
威脅 |
對于威脅的檢測。 |
|
行業安全標準的合規。 |
||
|
對策 |
日志分析。 |
|
|
合規性檢查。 |
2)工控中的SCA
根據工業網絡安全合規標準和國內外的最佳實踐,通過常態化的工業網絡安全評估,查找突出問題和薄弱環境,排查安全隱患和安全漏洞,分析安全狀況和防護水平,有針對性地采取管理和技術防護措施,是提升工業企業網絡安全保障能力,切實保障網絡安全的有效途徑。在監管機構的安全檢查和工業企業自查過程中,復雜多樣的工業環境和數量巨大的評估對象都對評估人員的技術水平和工作量提出了很大的考驗。SCA在其中發揮的作用如下:
|
合規性評估 |
等保2.0 |
|
工信部《工業控制系統信息安全防護指南》 |
|
|
國能安全36號文--《電力監控系統安全防護方案》 |
|
|
上位機設備信息配置核查 |
賬戶管理 |
|
口令設置 |
|
|
端口管理 |
|
|
應用程序管理 |
|
|
網絡服務管理 |
|
|
操作系統安全設置 |
|
|
磁盤管理 |
3)容器中的SCA
Kubernetes(k8s)是自動化容器操作的開源平臺,這些操作包括部署,調度和節點集群間擴展。Kubernetes加快了容器部署,還讓用戶能夠管理大規模的多容器集群。它便于持續集成和持續交付,處理網絡、服務發現和存儲,還能夠在多云環境中執行所有這些任務。Kubernetes中涉及到的配置問題及對策如下表:
|
服務密碼和API密鑰 |
Docker secrets加密/HashiCorp Vault加密/按Kubernetes配置文檔進行配置 |
|
配置了許多集群,驗證令牌自動提供了訪問Kubernetes API的機制 |
配置基于角色的訪問控制(RBAC)可以幫助降低風險(也可能會被利用來提升權限) |
|
限制受威脅的容器帶來的影響 |
調控容器訪問權的內置控制機制,比如命名空間和網絡分段 |
|
限制可以在特權模式下運行的容器數量 |
除了認真遵循Kubernetes安全文檔外,確保Kubernetes安裝部署的最佳方法是,盡早將安全納入到部署的環境中,通過正確配置主動保護環境比數據泄密發生后試圖應對要簡單得多,也省錢得多。另外,通過積極主動的監控來充分利用高級的安全運維(SecOps)實踐,提供了保護日益Serverless的環境所需要的那種可見性。
(參考資料:Kubernetes不是銀彈:配置錯誤、爆炸半徑)
4) 云環境中的SCA
Dome9安全公司首席執行官Zohar Alon表示:“配置錯誤導致了目前云中的大部分數據被盜和泄露事件。”
提供云服務的方式多樣化也導致這個問題更加嚴重。開發人員創建了虛擬服務器和容器,以便快速推出應用程序,存儲數據。業務部門通過自己注冊來使用服務,個人用戶也是如此。但本地數據中心所采用的傳統配置管理方法并不適用于云服務。云平臺通常有自己的系統來監視配置的更改。例如,AWS有AWS Cloud Trail和AWS Config。微軟的Azure云平臺有其運營管理套件。其他流行的SaaS云提供商沒有集中的管理工具,而是讓個人用戶負責自己的安全和共享設置。
云計算系統的配置核查對象如下表所示:
|
網絡和通信安全 |
網絡結構、網絡設備、安全設備、綜合網管系統、虛擬化網絡結構、虛擬網絡設備、虛擬安全設備、虛擬機監視器、云管理平臺 |
|
設備和計算安全 |
主機、數據庫管理系統、終端、網絡設備、安全設備、虛擬網絡設備、虛擬安全設備、物理機、宿主機、虛擬機、虛擬機監視器、云管理平臺、網絡策略控制器 |
|
應用和數據安全 |
應用系統、中間件、配置文件、業務數據、用戶隱私、鑒別信息、云應用開發平臺、云計算服務對外接口、云管理平臺、鏡像文件、快照、數據存儲設備、數據庫服務器 |
講了這么多,請允許小妹夾帶點私貨吧(抱拳),給大家隆重介紹下我正在負責的產品——綠盟安全配置核查系統(NSFOCUS BVS),下面是它的詳細介紹。
四 、綠盟安全配置核查系統
首先來看下NSFOCUS BVS的歷史,10年前,企業經常忽略安全配置問題,從而給企業帶來了很大的隱患,就像修建了堅固的城墻,但是忘記關城墻上的小門,導致攻擊者可以輕松的破門而入,造成不必要的財產損失。
一些管理者意識到了安全配置核查的重要性,開始用人工的方式逐一設備登錄進行檢查,以減少這類問題。綠盟科技也為其提供了相應的安全配置檢查服務,并從中積累了大量經驗;但是面對大量的IT系統,這種檢查方式需要的人力成本很高,失誤風險也極大。因此,在2008年,綠盟科技為某運營商客戶編寫了自動化安全檢查工具,在使用中獲得了客戶的高度評價,在移動行業迅速推廣開來,形成了今天的綠盟安全配置核查產品——NSFOCUS BVS。
這十年來,NSFOCUS BVS不僅通過了測評機構的資質認證,還根據國家信息安全等級保護管理辦法中等級保護定級、系統建設、等級測評、監督檢查各個環節的要求,推出了綠盟科技等保專用規范,完善了產品操作功能,保障等級保護工作高效準確執行,并且根據2018年推出的等級保護2.0做了同步更新。在此基礎上,綠盟科技深耕不同行業,積累實踐了多個行業的安全配置經驗,擁有完善的安全配置知識庫,覆蓋政府、金融、能源、運營商、互聯網等大型企業,能全面的指導 IT 信息系統的安全配置及加固工作,保障安全運維過程。
NSFOCUS BVS 通過自動化的進行安全配置檢查,從而節省傳統的手動單點安全配置檢查的時間,并避免傳統人工檢查方式所帶來的失誤風險,同時能夠出具詳細的檢測報告。它可以大大提高您檢查結果的準確性和合規性,節省您的時間成本,讓檢查工作變得簡單,是您身邊專業的“安全配置專家”。
NSFOCUS BVS 采用模塊化設計,內部整體工作架構如下圖所示。
五 、總結
SCA的介紹告一段落了,是不是對其有了一個全面的了解,同時,小妹在最后還是要送給大家一些干貨。以下是我收集的近幾年因為SCA問題引起的重大安全事件,分享給大家:
1.2017年,美國工業關鍵基礎設施數據泄露
德州電氣工程公司的Rsync服務器由于配置錯誤(一個端口配置為互聯網公開),大量客戶機密文件泄露,包括戴爾Dell、奧斯丁城City of Austin、甲骨文Oracle以及德州儀器Texas Instruments等等。泄露的數據除了暴露出客戶電氣系統的薄弱環節和故障點外,還揭露了政府運營的絕密情報傳輸區的具體位置和配置。更危險的是,PQE內部密碼被明文保存在文件夾中,如果落入不法分子之手,就能輕易攻破公司的多個系統。
2.2016年, MBS數據泄露
知名數據庫及數據存儲服務提供商MBS,遭到黑客攻擊。其MongoDB數據庫由于默認配置,沒有啟用認證,導致5800萬商業用戶的重要信息泄露,包括名稱、IP地址、郵件賬號、職業、車輛數據、出生日期等信息。
3.2014年,某在線票務公司數據泄露
某在線票務公司大量用戶銀行卡信息泄露。泄露核心原因是安全支付的日志配置所引發,并且觸發了遍歷下載。
根據OWASP的2017年報數據顯示,安全事件Top10當中,安全配置問題排在了第六的位置,再一次強調了它的重要性。
資料來源:OWASP(2017年)
最最最后還是要總結一下:
安全配置合規性要求,是 IT 業務系統安全性的基本安全要求,對各行各業安全規范要求的落地、對等級保護要求的具體化,建立行之有效的檢測手段是安全管理人員面臨的最為重要和迫切的問題,也需要安全廠商積極提供自動化的解決方案,幫助運維人員面對網絡中種類繁雜、數量眾多的設備和軟件環境,快速、有效的檢查設備,進行自動化的安全檢查,制作風險審核報告,并且最終識別那些與安全規范不符合的項目,以達到整改合規的要求。
通過對SCA的詳細了解,不禁要為SCA瘋狂打call。簡單粗暴的一句總結:把基礎做好才是真的好。也歡迎大家和我討論SCA相關問題,我們下一篇再會。
