何為SCA?聽聽一枚產(chǎn)品汪的純干貨分享
剛畢業(yè)就成為了一名產(chǎn)品汪,還是高端大氣上檔次的網(wǎng)絡(luò)安全行業(yè)(此處省略100字),而且還負(fù)責(zé)了一款重量級(jí)產(chǎn)品——配置核查系統(tǒng),小妹又高興又惶恐,只能發(fā)奮學(xué)習(xí),努力努力再努力!以下就是這段時(shí)間我對(duì)SCA的一些認(rèn)識(shí)了,分享給大家,請(qǐng)大佬們多多指教。首先來看一下SCA的定義。
一 、SCA的定義
Gartner把SCA定義為Security Configuration Assessment,翻譯過來是安全配置評(píng)估,對(duì)其的說明是:提供了遠(yuǎn)程評(píng)估和驗(yàn)證配置的功能,例如Windows域組策略中的密碼復(fù)雜性;經(jīng)常用于實(shí)現(xiàn)法規(guī)遵從性,例如PCI或內(nèi)部安全策略合規(guī)性。
從字面意思看Gartner把其定義為“功能”,這種“功能”的作用是進(jìn)行“遠(yuǎn)程評(píng)估”和“驗(yàn)證配置”,雖然文中缺少“安全”兩字,但是從實(shí)例分析,以及佐以Gartner文中其他的價(jià)值、功能和廠商等介紹,我們可以認(rèn)為屬于安全范疇。
而國內(nèi)常用的是安全配置核查,定義為對(duì)信息系統(tǒng)配置操作,例如操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、中間件等多類設(shè)備的檢查。
當(dāng)然一些互聯(lián)網(wǎng)廠商也將SCA用作Security Checklist Analysis的簡稱,定義為進(jìn)行安全檢查、發(fā)現(xiàn)潛在危險(xiǎn)、督促各項(xiàng)安全法規(guī)、制度、標(biāo)準(zhǔn)實(shí)施的一個(gè)較為有效的工具。
本文主要參照了前兩種方式來理解SCA。同時(shí),Gartner給出了8個(gè)具有代表性的SCA廠商:Amazon,Tenable,Rapid7,BeyondTrust,Tripwire,IBM Bigfix,Tanium,Qualys,接下來對(duì)這幾個(gè)廠商進(jìn)行更詳細(xì)的一個(gè)分析。
二 、SCA的代表廠商及具體支持功能
以下挑了Gartner推薦中的5個(gè)廠商:BeyondTrust,Qualys,Rapid7,Tenable以及Tripwire,對(duì)其主要功能進(jìn)行了綜合對(duì)比分析,參見下表(按首字母排序):
從上表可知,Gartner認(rèn)為一個(gè)標(biāo)準(zhǔn)的SCA至少需要以下幾大功能:
• 適用于盡可能多種類的操作系統(tǒng),數(shù)據(jù)庫,中間件;
• 支持迅速響應(yīng);
• 支持自動(dòng)化配置檢查;
• 支持生成報(bào)表;
• 合規(guī)性遵從,比如:FISMA,STIG,HIPPA,CIS,SCAP。
那么每個(gè)廠商具體的SCA相關(guān)產(chǎn)品介紹又是什么,以下進(jìn)行分別的介紹:
1.BeyondTrust
資料來源:BeyondTrust官網(wǎng)
Retina配置合規(guī)性模塊可以輕松地根據(jù)內(nèi)部策略或外部最佳實(shí)踐審核配置,同時(shí)集中報(bào)告以用于監(jiān)控和監(jiān)管目的。
主要特征
• 開箱即用的配置審核,報(bào)告和警報(bào);
• 用于Windows操作系統(tǒng)的模板,以及用于FDCC,NIST,STIGS,USGCB和Microsoft應(yīng)用程序的模板;
• 審計(jì)和安全設(shè)置,用戶權(quán)限,日志記錄配置等的評(píng)估;
• 內(nèi)置報(bào)告并與Retina CS集成,用于增量,趨勢和其他分析;
• OVAL 5.6 SCAP認(rèn)證的掃描引擎和解釋器。
Retina監(jiān)管報(bào)告模塊使您能夠有效地瀏覽復(fù)雜的法規(guī)遵從環(huán)境。 該模塊通過將網(wǎng)絡(luò)的特定漏洞映射到相關(guān)的公司政策,政府法規(guī)和行業(yè)標(biāo)準(zhǔn),超越了通用合規(guī)報(bào)告。
主要特征
• 與Retina CS和Retina配置合規(guī)性模塊無縫集成;
• PCI,HIPAA,SOX,GLBA,NIST,F(xiàn)ERC / NERC,MASS 201,ISO,COBiT,ITIL,HITRUST等法規(guī)的合規(guī)報(bào)告;
• 將漏洞和配置問題映射到控制目標(biāo)和任務(wù);
• 合規(guī)性儀表板具有向下鉆取功能,可以立即一致地響應(yīng)合規(guī)性違規(guī);
• 持續(xù)更新新發(fā)現(xiàn)的漏洞和監(jiān)管控制的變化。
2. Qualys
資料來源:Qualys官網(wǎng)
覆蓋面廣
Qualys SCA是Qualys漏洞管理的附加項(xiàng), 可讓您根據(jù)Internet安全(CIS)基準(zhǔn)的中心評(píng)估、報(bào)告、監(jiān)視和修正與安全相關(guān)的配置問題。它支持操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序和網(wǎng)絡(luò)設(shè)備的最新的 CIS 基準(zhǔn)發(fā)布。
控制責(zé)任
Qualys SCA控制由Qualys安全專家在內(nèi)部開發(fā)和驗(yàn)證, 并由 CIS 認(rèn)證。這些控件針對(duì)性能、可伸縮性和準(zhǔn)確性進(jìn)行了優(yōu)化。Qualys SCA可以在任何大小的 IT 環(huán)境中使用, 從小的到最大的。
易用性
SCA的CIS評(píng)估是通過基于web的用戶界面和從 Qualys 云平臺(tái)提供的, 從而實(shí)現(xiàn)集中化管理, 部署開銷最小。可以根據(jù)組織的安全策略選擇和自定義 CIS 控件。這就消除了與傳統(tǒng)的用于配置管理的軟件點(diǎn)產(chǎn)品相關(guān)的成本、資源和部署問題。
報(bào)告和儀表板
SCA 用戶可以安排評(píng)估, 自動(dòng)創(chuàng)建可下載的配置問題報(bào)告, 并查看儀表板以提高其安全態(tài)勢。這就帶來了Qualys SCA 在領(lǐng)先基準(zhǔn)之后的安全最佳做法的自動(dòng)化, 并讓保密團(tuán)隊(duì)對(duì)數(shù)字業(yè)務(wù)安全采取主動(dòng)的方法。
3. Rapid7
資料來源:Rapid7官網(wǎng)
滿足漏洞管理合規(guī)性要求:Nexpose使組織能夠始終遵守PCI DSS,NERC CIP,FISMA(USGCB/FDCC),HIPPAA/HITECH,Top20 CSC,DISA STIGS和風(fēng)險(xiǎn)/漏洞/配置管理的CIS標(biāo)準(zhǔn)。與其他可能是網(wǎng)絡(luò)負(fù)擔(dān)多次掃描的解決方案不同,Nexpose的快速,統(tǒng)一的安全性和合規(guī)性評(píng)估通過為您提供完整的風(fēng)險(xiǎn)和合規(guī)性狀態(tài)來提高安全計(jì)劃的性能。
4. Tenable
資料來源:Tenable官網(wǎng)
掃描功能:
• 覆蓋范圍:網(wǎng)絡(luò)設(shè)備的離線配置審核;
• 合規(guī)性:幫助滿足政府,監(jiān)管和企業(yè)掃描要求;
• 有助于對(duì)安全配置實(shí)施PCI DSS要求;
威脅:僵尸網(wǎng)絡(luò)/惡意,進(jìn)程/反病毒審計(jì);
• 配置審核:CERT,CIS,COBIT/ITIL,DISA STIG,FDCC,ISO,NIST,NSA,PCI。
5. Tripwire
資料來源:Tripwire官網(wǎng)
根據(jù)法規(guī)遵從性要求, 減少攻擊表面的主動(dòng)配置硬化。減少審核準(zhǔn)備時(shí)間和成本, 并提供審核報(bào)告和符合性證明。Tripwire擁有最大和最廣泛的支持策略和平臺(tái)的庫, 其中包含800多個(gè)策略, 并涵蓋了一系列平臺(tái) OS 版本和設(shè)備。Tripwire企業(yè)經(jīng)常更新, 以確保您始終有您需要的覆蓋范圍。
關(guān)鍵配置錯(cuò)誤需要立即糾正措施。Tripwire自動(dòng)化并引導(dǎo)您快速修復(fù)不兼容的系統(tǒng)和安全錯(cuò)誤。您可以通過與 SIEMs、IT GRC 和更改管理系統(tǒng)的集成來自動(dòng)化工作流。調(diào)查和根本原因特征和比較快速地告訴您需要知道的:什么改變了, 如何改變的, 什么時(shí)候改變的和由誰改變的。
在對(duì)各個(gè)廠商提供的功能有所了解后,接下來對(duì)SCA的主要使用場景進(jìn)行探討,分成兩個(gè)方面:傳統(tǒng)應(yīng)用場景和新技術(shù)應(yīng)用場景。
傳統(tǒng)應(yīng)用場景包括合規(guī),脆弱性管理。新技術(shù)應(yīng)用場景比如工控,物聯(lián)網(wǎng)(包括IOT),云平臺(tái),容器,區(qū)塊鏈,以及Cloud Security Posture Management (CSPM)(配置檢查+CWPP)中,以下是具體介紹。
三 、SCA的應(yīng)用場景
1.傳統(tǒng)場景下的應(yīng)用
1)合規(guī)中的SCA
合規(guī)并不是僅滿足法律法規(guī)的要求,而是要在遵循法律法規(guī)的基礎(chǔ)上,關(guān)注各種規(guī)則、規(guī)范,同時(shí)協(xié)調(diào)好各方面的關(guān)系。合規(guī)中的SCA可以通過選擇對(duì)應(yīng)的模板——進(jìn)行對(duì)比分析——給出符合性結(jié)果——根據(jù)結(jié)果得出一個(gè)是否合規(guī)的結(jié)論,也包括整改方案。
國內(nèi)信息安全領(lǐng)域常用的規(guī)范是等級(jí)保護(hù)。等級(jí)保護(hù)是《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的簡稱,定義為對(duì)信息和信息系統(tǒng)分等級(jí)實(shí)行的安全保護(hù)和對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行的按等級(jí)管理。公安部也根據(jù)等保規(guī)范,制定了等保測評(píng)要求,等保1.0和等保2.0中涉及到SCA的部分要求對(duì)比如下:
|
等保1.0 |
等保2.0 |
||
|
網(wǎng)絡(luò)安全 |
邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備防護(hù) |
登錄用戶身份鑒別 |
無變化 |
|
登陸失敗處理(結(jié)束會(huì)話、限制非法登錄次數(shù)、登陸連接超時(shí)自動(dòng)退出等) |
|||
|
對(duì)設(shè)備遠(yuǎn)程管理產(chǎn)生的鑒別信息進(jìn)行保護(hù) |
|||
|
主機(jī)安全 |
身份鑒別 |
是否采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別 |
是否采用兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用動(dòng)態(tài)口令、密碼技術(shù)或生物技術(shù)來實(shí)現(xiàn) |
|
是否重命名系統(tǒng)默認(rèn)賬戶、修改賬戶的默認(rèn)口令 |
是否重命名或刪除默認(rèn)賬戶,修改默認(rèn)賬戶的默認(rèn)口令 |
||
|
對(duì)系統(tǒng)中多余、過期的賬戶是否刪除,是否避免共享賬戶的存在 |
對(duì)系統(tǒng)中多余、過期的用戶是否刪除或停用,是否避免共享賬戶的存在 |
||
|
應(yīng)用安全 |
身份鑒別 |
是否對(duì)同一用戶應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別 |
是否采用兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用動(dòng)態(tài)口令、密碼技術(shù)或生物技術(shù)來實(shí)現(xiàn) |
|
登陸用戶的口令最小長度、復(fù)雜度和更換周期是否限制 |
|||
|
是否根據(jù)安全策略設(shè)置了登錄失敗次數(shù)等參數(shù) |
是否根據(jù)安全策略設(shè)置了登錄失敗次數(shù)等參數(shù),多次登錄失敗后應(yīng)采取必要的保護(hù)措施 |
||
|
驗(yàn)證身份標(biāo)識(shí)和鑒別功能是否有效 |
國外也有許多規(guī)范,比如NIST,PCI DSS等,其中涉及到SCA的管理?xiàng)l例如下:
|
PCI DSS |
2.2:Develop configuration standards for all system components |
|
NIST 800-53 rev 4 |
CM-2:Baselinne configuration |
|
CM-6:Configuration settings |
|
|
CM-7:Least functionality |
|
|
NIST Cybersecurity Framework |
PR.IP-1:Baseline configurations are created and maintained |
|
ISO/IEC 27002:2013 |
A.14.2.8:System security testing |
|
A.18.2.3:Technical compliance review |
2)脆弱性管理中的SCA
系統(tǒng)脆弱性由安全基線來評(píng)估,系統(tǒng)實(shí)現(xiàn)層中的安全基線要求主要是由安全漏洞方面、安全配置方面等檢查項(xiàng)構(gòu)成,這些檢查項(xiàng)的覆蓋面、有效性成為了基線安全實(shí)現(xiàn)的關(guān)鍵,如下圖所示:
安全配置核查,也就是我們的SCA,主要的檢查范圍是由人為疏忽造成的配置問題,主要包括了賬號(hào)、口令、授權(quán)、日志、IP通信等方面內(nèi)容。安全配置與系統(tǒng)的相關(guān)性非常大,同一個(gè)配置項(xiàng)在不同業(yè)務(wù)環(huán)境中的安全配置要求是不一樣的,如在WEB系統(tǒng)邊界防火墻中需要開啟HTTP通信,但一個(gè)WAP網(wǎng)關(guān)邊界就沒有這樣的需求,因此在設(shè)計(jì)系統(tǒng)安全基線的時(shí)候,安全配置是一個(gè)關(guān)注的重點(diǎn)。
2.新技術(shù)中的應(yīng)用
1)物聯(lián)網(wǎng)(IOT)中的SCA
通過對(duì)物聯(lián)網(wǎng)中的一些設(shè)備,比如攝像頭,智能恒溫器等的信息采集,可直接或間接地暴露用戶的隱私信息。如果生產(chǎn)商缺乏安全意識(shí),很多設(shè)備缺乏加密、認(rèn)證、訪問控制管理的安全措施,物聯(lián)網(wǎng)中的數(shù)據(jù)就會(huì)很容易被竊取或非法訪問,造成數(shù)據(jù)泄露。這種新型的信息網(wǎng)絡(luò)往往會(huì)遭受有組織的 APT 攻擊。
物聯(lián)網(wǎng)不同層次可能有著相同的安全需求,下表對(duì)物聯(lián)網(wǎng)可能涉及到的SCA相關(guān)問題的威脅和對(duì)策做了總結(jié):
|
認(rèn)證 |
威脅 |
物聯(lián)網(wǎng)環(huán)境中的部分訪問無認(rèn)證或認(rèn)證采用默認(rèn)密碼、弱密碼。 |
|
對(duì)策 |
一方面開發(fā)人員應(yīng)考慮在設(shè)計(jì)時(shí)確保用戶在首次使用系統(tǒng)時(shí)修改默認(rèn)密碼,盡可能使用雙因素認(rèn)證,對(duì)于敏感功能,需要再次進(jìn)行認(rèn)證等;另一方面作為用戶,應(yīng)該提高安全意識(shí),采用強(qiáng)密碼并定期修改密碼。 |
|
|
訪問控制管理 |
威脅 |
未授權(quán)訪問 |
|
安全配置長期不更新、不核查 |
||
|
對(duì)策 |
身份和訪問管理、邊界安全(安全訪問網(wǎng)關(guān))。 |
|
|
持續(xù)的脆弱性和錯(cuò)誤配置檢測清除。 |
||
|
物理安全 |
威脅 |
部署在遠(yuǎn)端的缺乏物理安全控制的物聯(lián)網(wǎng)資產(chǎn)有可能被盜竊或破壞。 |
|
對(duì)策 |
盡可能加入已有的物理安全防護(hù)措施。并非技術(shù)層面的問題,更應(yīng)作為標(biāo)準(zhǔn)的一部分進(jìn)行規(guī)范。 |
|
|
設(shè)備保護(hù)和資產(chǎn)管理 |
威脅 |
設(shè)備的配置文件被修改。 |
|
設(shè)備的數(shù)量巨大使得常規(guī)的更新和維護(hù)操作面臨挑戰(zhàn)。 |
||
|
對(duì)策 |
定期審查配置。 |
|
|
固件自動(dòng)升級(jí)(over-the air (OTA))。 |
||
|
定義對(duì)于物聯(lián)網(wǎng)設(shè)備的全生命周期控制。 |
||
|
日志和審計(jì) |
威脅 |
對(duì)于威脅的檢測。 |
|
行業(yè)安全標(biāo)準(zhǔn)的合規(guī)。 |
||
|
對(duì)策 |
日志分析。 |
|
|
合規(guī)性檢查。 |
2)工控中的SCA
根據(jù)工業(yè)網(wǎng)絡(luò)安全合規(guī)標(biāo)準(zhǔn)和國內(nèi)外的最佳實(shí)踐,通過常態(tài)化的工業(yè)網(wǎng)絡(luò)安全評(píng)估,查找突出問題和薄弱環(huán)境,排查安全隱患和安全漏洞,分析安全狀況和防護(hù)水平,有針對(duì)性地采取管理和技術(shù)防護(hù)措施,是提升工業(yè)企業(yè)網(wǎng)絡(luò)安全保障能力,切實(shí)保障網(wǎng)絡(luò)安全的有效途徑。在監(jiān)管機(jī)構(gòu)的安全檢查和工業(yè)企業(yè)自查過程中,復(fù)雜多樣的工業(yè)環(huán)境和數(shù)量巨大的評(píng)估對(duì)象都對(duì)評(píng)估人員的技術(shù)水平和工作量提出了很大的考驗(yàn)。SCA在其中發(fā)揮的作用如下:
|
合規(guī)性評(píng)估 |
等保2.0 |
|
工信部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》 |
|
|
國能安全36號(hào)文--《電力監(jiān)控系統(tǒng)安全防護(hù)方案》 |
|
|
上位機(jī)設(shè)備信息配置核查 |
賬戶管理 |
|
口令設(shè)置 |
|
|
端口管理 |
|
|
應(yīng)用程序管理 |
|
|
網(wǎng)絡(luò)服務(wù)管理 |
|
|
操作系統(tǒng)安全設(shè)置 |
|
|
磁盤管理 |
3)容器中的SCA
Kubernetes(k8s)是自動(dòng)化容器操作的開源平臺(tái),這些操作包括部署,調(diào)度和節(jié)點(diǎn)集群間擴(kuò)展。Kubernetes加快了容器部署,還讓用戶能夠管理大規(guī)模的多容器集群。它便于持續(xù)集成和持續(xù)交付,處理網(wǎng)絡(luò)、服務(wù)發(fā)現(xiàn)和存儲(chǔ),還能夠在多云環(huán)境中執(zhí)行所有這些任務(wù)。Kubernetes中涉及到的配置問題及對(duì)策如下表:
|
服務(wù)密碼和API密鑰 |
Docker secrets加密/HashiCorp Vault加密/按Kubernetes配置文檔進(jìn)行配置 |
|
配置了許多集群,驗(yàn)證令牌自動(dòng)提供了訪問Kubernetes API的機(jī)制 |
配置基于角色的訪問控制(RBAC)可以幫助降低風(fēng)險(xiǎn)(也可能會(huì)被利用來提升權(quán)限) |
|
限制受威脅的容器帶來的影響 |
調(diào)控容器訪問權(quán)的內(nèi)置控制機(jī)制,比如命名空間和網(wǎng)絡(luò)分段 |
|
限制可以在特權(quán)模式下運(yùn)行的容器數(shù)量 |
除了認(rèn)真遵循Kubernetes安全文檔外,確保Kubernetes安裝部署的最佳方法是,盡早將安全納入到部署的環(huán)境中,通過正確配置主動(dòng)保護(hù)環(huán)境比數(shù)據(jù)泄密發(fā)生后試圖應(yīng)對(duì)要簡單得多,也省錢得多。另外,通過積極主動(dòng)的監(jiān)控來充分利用高級(jí)的安全運(yùn)維(SecOps)實(shí)踐,提供了保護(hù)日益Serverless的環(huán)境所需要的那種可見性。
(參考資料:Kubernetes不是銀彈:配置錯(cuò)誤、爆炸半徑)
4) 云環(huán)境中的SCA
Dome9安全公司首席執(zhí)行官Zohar Alon表示:“配置錯(cuò)誤導(dǎo)致了目前云中的大部分?jǐn)?shù)據(jù)被盜和泄露事件。”
提供云服務(wù)的方式多樣化也導(dǎo)致這個(gè)問題更加嚴(yán)重。開發(fā)人員創(chuàng)建了虛擬服務(wù)器和容器,以便快速推出應(yīng)用程序,存儲(chǔ)數(shù)據(jù)。業(yè)務(wù)部門通過自己注冊來使用服務(wù),個(gè)人用戶也是如此。但本地?cái)?shù)據(jù)中心所采用的傳統(tǒng)配置管理方法并不適用于云服務(wù)。云平臺(tái)通常有自己的系統(tǒng)來監(jiān)視配置的更改。例如,AWS有AWS Cloud Trail和AWS Config。微軟的Azure云平臺(tái)有其運(yùn)營管理套件。其他流行的SaaS云提供商沒有集中的管理工具,而是讓個(gè)人用戶負(fù)責(zé)自己的安全和共享設(shè)置。
云計(jì)算系統(tǒng)的配置核查對(duì)象如下表所示:
|
網(wǎng)絡(luò)和通信安全 |
網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、綜合網(wǎng)管系統(tǒng)、虛擬化網(wǎng)絡(luò)結(jié)構(gòu)、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、虛擬機(jī)監(jiān)視器、云管理平臺(tái) |
|
設(shè)備和計(jì)算安全 |
主機(jī)、數(shù)據(jù)庫管理系統(tǒng)、終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、物理機(jī)、宿主機(jī)、虛擬機(jī)、虛擬機(jī)監(jiān)視器、云管理平臺(tái)、網(wǎng)絡(luò)策略控制器 |
|
應(yīng)用和數(shù)據(jù)安全 |
應(yīng)用系統(tǒng)、中間件、配置文件、業(yè)務(wù)數(shù)據(jù)、用戶隱私、鑒別信息、云應(yīng)用開發(fā)平臺(tái)、云計(jì)算服務(wù)對(duì)外接口、云管理平臺(tái)、鏡像文件、快照、數(shù)據(jù)存儲(chǔ)設(shè)備、數(shù)據(jù)庫服務(wù)器 |
講了這么多,請(qǐng)?jiān)试S小妹夾帶點(diǎn)私貨吧(抱拳),給大家隆重介紹下我正在負(fù)責(zé)的產(chǎn)品——綠盟安全配置核查系統(tǒng)(NSFOCUS BVS),下面是它的詳細(xì)介紹。
四 、綠盟安全配置核查系統(tǒng)
首先來看下NSFOCUS BVS的歷史,10年前,企業(yè)經(jīng)常忽略安全配置問題,從而給企業(yè)帶來了很大的隱患,就像修建了堅(jiān)固的城墻,但是忘記關(guān)城墻上的小門,導(dǎo)致攻擊者可以輕松的破門而入,造成不必要的財(cái)產(chǎn)損失。
一些管理者意識(shí)到了安全配置核查的重要性,開始用人工的方式逐一設(shè)備登錄進(jìn)行檢查,以減少這類問題。綠盟科技也為其提供了相應(yīng)的安全配置檢查服務(wù),并從中積累了大量經(jīng)驗(yàn);但是面對(duì)大量的IT系統(tǒng),這種檢查方式需要的人力成本很高,失誤風(fēng)險(xiǎn)也極大。因此,在2008年,綠盟科技為某運(yùn)營商客戶編寫了自動(dòng)化安全檢查工具,在使用中獲得了客戶的高度評(píng)價(jià),在移動(dòng)行業(yè)迅速推廣開來,形成了今天的綠盟安全配置核查產(chǎn)品——NSFOCUS BVS。
這十年來,NSFOCUS BVS不僅通過了測評(píng)機(jī)構(gòu)的資質(zhì)認(rèn)證,還根據(jù)國家信息安全等級(jí)保護(hù)管理辦法中等級(jí)保護(hù)定級(jí)、系統(tǒng)建設(shè)、等級(jí)測評(píng)、監(jiān)督檢查各個(gè)環(huán)節(jié)的要求,推出了綠盟科技等保專用規(guī)范,完善了產(chǎn)品操作功能,保障等級(jí)保護(hù)工作高效準(zhǔn)確執(zhí)行,并且根據(jù)2018年推出的等級(jí)保護(hù)2.0做了同步更新。在此基礎(chǔ)上,綠盟科技深耕不同行業(yè),積累實(shí)踐了多個(gè)行業(yè)的安全配置經(jīng)驗(yàn),擁有完善的安全配置知識(shí)庫,覆蓋政府、金融、能源、運(yùn)營商、互聯(lián)網(wǎng)等大型企業(yè),能全面的指導(dǎo) IT 信息系統(tǒng)的安全配置及加固工作,保障安全運(yùn)維過程。
NSFOCUS BVS 通過自動(dòng)化的進(jìn)行安全配置檢查,從而節(jié)省傳統(tǒng)的手動(dòng)單點(diǎn)安全配置檢查的時(shí)間,并避免傳統(tǒng)人工檢查方式所帶來的失誤風(fēng)險(xiǎn),同時(shí)能夠出具詳細(xì)的檢測報(bào)告。它可以大大提高您檢查結(jié)果的準(zhǔn)確性和合規(guī)性,節(jié)省您的時(shí)間成本,讓檢查工作變得簡單,是您身邊專業(yè)的“安全配置專家”。
NSFOCUS BVS 采用模塊化設(shè)計(jì),內(nèi)部整體工作架構(gòu)如下圖所示。
五 、總結(jié)
SCA的介紹告一段落了,是不是對(duì)其有了一個(gè)全面的了解,同時(shí),小妹在最后還是要送給大家一些干貨。以下是我收集的近幾年因?yàn)镾CA問題引起的重大安全事件,分享給大家:
1.2017年,美國工業(yè)關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)泄露
德州電氣工程公司的Rsync服務(wù)器由于配置錯(cuò)誤(一個(gè)端口配置為互聯(lián)網(wǎng)公開),大量客戶機(jī)密文件泄露,包括戴爾Dell、奧斯丁城City of Austin、甲骨文Oracle以及德州儀器Texas Instruments等等。泄露的數(shù)據(jù)除了暴露出客戶電氣系統(tǒng)的薄弱環(huán)節(jié)和故障點(diǎn)外,還揭露了政府運(yùn)營的絕密情報(bào)傳輸區(qū)的具體位置和配置。更危險(xiǎn)的是,PQE內(nèi)部密碼被明文保存在文件夾中,如果落入不法分子之手,就能輕易攻破公司的多個(gè)系統(tǒng)。
2.2016年, MBS數(shù)據(jù)泄露
知名數(shù)據(jù)庫及數(shù)據(jù)存儲(chǔ)服務(wù)提供商MBS,遭到黑客攻擊。其MongoDB數(shù)據(jù)庫由于默認(rèn)配置,沒有啟用認(rèn)證,導(dǎo)致5800萬商業(yè)用戶的重要信息泄露,包括名稱、IP地址、郵件賬號(hào)、職業(yè)、車輛數(shù)據(jù)、出生日期等信息。
3.2014年,某在線票務(wù)公司數(shù)據(jù)泄露
某在線票務(wù)公司大量用戶銀行卡信息泄露。泄露核心原因是安全支付的日志配置所引發(fā),并且觸發(fā)了遍歷下載。
根據(jù)OWASP的2017年報(bào)數(shù)據(jù)顯示,安全事件Top10當(dāng)中,安全配置問題排在了第六的位置,再一次強(qiáng)調(diào)了它的重要性。
資料來源:OWASP(2017年)
最最最后還是要總結(jié)一下:
安全配置合規(guī)性要求,是 IT 業(yè)務(wù)系統(tǒng)安全性的基本安全要求,對(duì)各行各業(yè)安全規(guī)范要求的落地、對(duì)等級(jí)保護(hù)要求的具體化,建立行之有效的檢測手段是安全管理人員面臨的最為重要和迫切的問題,也需要安全廠商積極提供自動(dòng)化的解決方案,幫助運(yùn)維人員面對(duì)網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的設(shè)備和軟件環(huán)境,快速、有效的檢查設(shè)備,進(jìn)行自動(dòng)化的安全檢查,制作風(fēng)險(xiǎn)審核報(bào)告,并且最終識(shí)別那些與安全規(guī)范不符合的項(xiàng)目,以達(dá)到整改合規(guī)的要求。
通過對(duì)SCA的詳細(xì)了解,不禁要為SCA瘋狂打call。簡單粗暴的一句總結(jié):把基礎(chǔ)做好才是真的好。也歡迎大家和我討論SCA相關(guān)問題,我們下一篇再會(huì)。
