在網絡安全世界里，攻擊者一直在尋找入侵系統并破壞數據的最優路徑，而錯誤的系統配置和不安全的默認配置正是他們最喜歡的載體，因為這些錯誤的配置信息使他們能夠非常輕松地訪問關鍵業務系統和數據。隨著云計算應用的不斷發展和普及，大規模云環境的復雜性進一步限制了安全團隊為企業提供安全保護的能力，這導致了更多的配置錯誤在被修復前就已經被廣泛地惡意利用。

多項研究報告指出，配置錯誤已經成為導致企業敏感數據泄露的最主要原因，有超過90%的數據安全事件是由企業自己的原因直接/間接引發。在這種情況下，安全運營人員如果能夠擁有一套完善的安全配置管理（SecCM）計劃，持續對企業整體環境中各種易受攻擊的錯誤配置進行全面管理就顯得格外重要。

什么是SecCM？

美國國家標準與技術研究所（NIST）對SecCM進行了以下定義：這是一種以實現安全和管理風險為目標的信息系統配置管理和控制，通過為系統設置一套標準配置，并持續監控各個指標。使用SecCM執行安全加強標準（比如CIS、NIST、ISO 27001）或合規標準（比如PCI、SOX、NERC、HIPAA），組織就可以迅速識別違規行為，并減少攻擊面。

安全研究人員認為，SecCM應該成為現代企業開展網絡安全建設的基礎性要求和重要工作。SANS 研究所和互聯網安全中心建議，當企業全面梳理IT資產后，最重要的安全控制就是進行可靠的安全配置。CIS關鍵安全控制第4項（Critical Security Control 4）也明確要求，“企業應建立和維護硬件（包括便攜式和移動設備的最終用戶設備、網絡設備、非計算/物聯網設備及服務器）和軟件（操作系統及應用程序）的安全配置。”

在一個完善的SecCM方案中，會包含多個基于安全最佳實踐的基礎控制措施，例如：

• 使用漏洞評估策略緩解已知的安全缺陷
• 評估已授權硬件和軟件系統的配置安全性； 
• 使用規范的安全流程和控制措施來自動修復異常配置。

SecCM應用實踐

如果沒有一套完善的安全配置管理計劃，企業的安全人員即使只維護一臺服務器應用的安全配置也并不容易，更不要說當組織有成千上萬個端口、服務和配置需要跟蹤維護時。應用實踐表明，一個成熟的SCM計劃通常需要包含有以下四個關鍵原則：

01全面發現設備資產

首先組織要找到需要管理的設備，組織可以利用整合資產發現與管理能力的SecCM平臺來完成這項工作。在充分發現資產的基礎上，組織還需要對所有資產進行分類和標記，以實現差異化管理，比如，技術部門的工作站需要與財務系統不一樣的配置，避免啟動不必要的服務。

02建立配置標準

組織需要為各種受管理設備確定明確的、可接受的安全配置標準。在此過程中，企業可以將CIS或NIST等權威機構給出的安全標準作為參考，以獲得配置設備的詳細安全性指導，并在此基礎上，結合企業的實際應用需求，建立安全配置的管理標準。

03評估和報告變更

組織在找到需要管理的設備并進行分類后，下一步就是定義評估設備的監控頻次，也就是組織應該多久審查一次安全策略。在條件具備的情況下，部分企業可以使用實時評估，但并非所有場景都需要實時評估，應根據企業的具體情況進行設置。

04及時補救

一旦發現了問題，就需要修復問題，否則攻擊者就會趁虛而入。組織需要確定待處理事項的優先級，根據輕重緩急處理不同問題，同時，還需要驗證系統或配置確實發生了變更。

除了要遵循以上關鍵原則，企業在制定安全配置管理計劃時，還應該重點關注以下事項：

• 要避免在IT系統環境中出現資產盲點，通常需要結合基于代理的掃描和無代理掃描，以確保始終正確配置了整個環境；
• 組織需要為各類型用戶提供可選擇的設置模式，并且需要能夠實現僅向授權用戶或用戶組顯示某些要素、策略及/或警報，這些權限通常存儲在企業目錄中；
• 安全警報通常由系統中配置的策略驅動，因此，為確保SecCM方案滿足企業的運營需求，靈活的創建和管理策略至關重要；
• 安全配置管理的效率也非常重要，管理人員要能夠迅速識別違反管理策略的人員和行為，并能夠通過深入分析，快速為安全事件響應流程提供有價值的信息。

SecCM工具選型

安全配置管理過程很復雜，因此組織需要使用合適的SecCM工具，以自動化的方式來完成大部分管理工作。數據顯示，SecCM市場應用正在快速增長，預計到2028年將達到58.1億美元，復合年增長率為16.26%。目前，市場上已經有非常多的SecCM解決方案，企業要根據自己的信息化特點和應用需求，選擇真正適合的SecCM解決方案。 

01系統環境支持與兼容

企業需要確保所選擇的SecCM解決方案能夠有效支持他們正在使用的各種操作系統和應用程序，這樣才能最大限度地發揮SecCM工具的價值。如果SecCM工具與企業現有的應用系統不能兼容，將會造成損害網絡可見性的管理盲點，影響企業阻止攻擊者利用錯誤配置效果。

02策略靈活性

優秀的SecCM工具應該能夠提供多樣化的應用策略和配置選項。這些選項將幫助組織在開展數字化轉型時便捷地調整工具，以適應其不斷變化的合規需求和應用需求。SecCM工具還應該為企業提供自定義預設策略、定義新策略以及按需求靈活添加新的基線配置的選項。

03可擴展性

組織應該確保他們能夠隨時調整SecCM掃描協議的頻率、影響和范圍。這種擴展性應該包括在網絡中廣泛分布的各種掃描設備上，而不會增加端點設備的負擔。它還應該具有管理遠程設備的能力，并在發現剛剛聯網的產品時重點進行安全性評估并向管理人員發出提醒。

04提升自動化程度

盡管企業可以選擇通過向幫助臺報告配置問題來手動操作SecCM解決方案，但是自動化報告這些問題并與業務工作流無縫集成，將給企業帶來更多的便利和價值。否則，組織可能會由于安全人員的告警疲勞而忽略一些嚴重的配置錯誤問題，甚至可能將這些問題暴露給攻擊者。通過自動化手段，企業還可以找到減少誤報的方法，避免浪費時間去調查一個不構成實際威脅的警報，而忽視真正嚴重的安全問題。

參考鏈接：

https://www.tripwire.com/state-of-security/security-configuration-management

https://cybersecurityforme.com/security-configuration-management/?expand_article=1