安全配置管理（SCM）已經成為現代企業組織開展網絡安全建設的重要基礎工作，是各種安全能力有效運營的基礎，缺少它一切只是空中樓閣。SANS 研究所和互聯網安全中心建議，當企業全面梳理IT資產后，最重要的安全控制就是進行可靠的安全配置。CIS關鍵安全控制第4項（Critical Security Control 4）也表明，“企業應建立和維護硬件（包括便攜式和移動設備的最終用戶設備、網絡設備、非計算/物聯網設備及服務器）和軟件（操作系統及應用程序）的安全配置。”

什么是安全配置管理？

美國國家標準與技術研究所（NIST）給安全配置管理SCM進行了以下定義：以實現安全和管理風險為目標的信息系統配置管理和控制。通過為系統設置一套標準配置，并持續監控各個指標，組織就可以迅速識別違規行為，并減少攻擊面。

如果組織使用SCM執行安全加強標準（比如CIS、NIST和ISO 27001）或合規標準（比如PCI、SOX、NERC或HIPAA），就能夠持續加強系統安全，減小網絡犯罪分子發動攻擊的機會。

攻擊者總是伺機尋找那些默認設置很容易中招的系統，一旦發現漏洞，攻擊者就會更改系統設置，實施破壞活動。在這種情況下，安全人員能夠擁有一套合適的管理工具，對安全配置進行有效管理顯得格外重要。SCM工具不僅可以識別使組織系統易受攻擊的錯誤配置，還可以讓組織準確了解關鍵資產上發生的變化，比如，可以識別對關鍵文件或注冊表項所做的“異常”變更等。

安全配置管理計劃與實施

組織如果沒有安全配置管理計劃，即使在一臺服務器上維護安全配置也困難重重，更何況組織通常有成千上萬個端口、服務和配置需要跟蹤。為有效跟蹤企業眾多服務器、虛擬機管理程序、云資產、路由器、交換機和防火墻的配置情況，最好的方法是借助自動化。一款好的SCM工具可以為組織自動處理這些任務，同時清晰顯示系統情況。一旦組織的系統配置有誤，安全人員就會立即接到通知，并獲得詳細的處置說明，以糾正錯誤配置。

成熟的SCM計劃有四個關鍵階段：

1、發現設備

首先組織要找到需要管理的設備，組織可以利用整合資產管理存儲庫的SCM平臺完成這項工作。組織還需要對資產進行分類和標記，比如，技術部門的工作站需要與財務系統不一樣的配置，避免啟動不必要的服務。

2、建立配置基準

組織需要為每種類型的受管理設備確定可接受的安全配置。許多組織從CIS或NIST等權威機構的基準入手，以獲得配置設備的詳細指導。

3、評估和報告變更

組織在找到需要管理的設備并進行分門別類后，下一步就是定義評估設備的頻次，也就是組織應該多久審查一次安全策略。也許有些企業可以使用實時評估，但并非所有場景都需要實時評估，應根據企業的具體情況進行設置。

4、及時補救

一旦發現了問題，就需要修復問題，否則攻擊者就會趁虛而入。組織需要確定待處理事項的優先級，根據輕重緩急處理不同問題，同時，還需要驗證系統或配置確實發生了變更。

企業在設計有效的安全配置管理計劃時，還要重點關注以下事項：

• 要避免在IT系統環境中出現資產盲點，通常需要結合基于代理的掃描和無代理掃描，以確保始終正確配置了整個環境。
• 組織需要為技術用戶和非技術用戶設置可選擇的設置模式，并且需要能夠實現僅向授權用戶或用戶組顯示某些要素、策略及/或警報，這些權限通常存儲在企業目錄中。
• 安全警報通常由系統中配置的策略驅動，因此，為確保SCM方案滿足企業的獨特需求，創建和管理策略至關重要。
• 爭分奪秒在任何事件響應中都非常重要，因此，能夠通過深入分析，為事件響應流程提供有價值的信息就顯得很有必要。管理員可以監控和管理表明有違規行為的策略違反行為。

雖然安全配置管理過程很復雜，但如果組織使用合適的SCM工具，大部分工作都可以借助自動化來完成。組織使用安全加強標準，并設立基準基線，以識別該標準出現的變化，是“密切關注敵人”的好方法。

參考鏈接

https://www.tripwire.com/state-of-security/featured/why-security-configuration-management-matters/。