精準核查,配置合規----啟明星辰談安全基線
發布時間 2018-04-24
層出不窮的安全事件引爆安全基線
隨著用戶網絡環境中各類業務系統、應用和服務器數量陡然增多,網絡管理員對各類系統的維護工作量持續增加,尤其是在各類設備的安全風險檢查、持續核查、上線新設備的配置核查等方面,對網絡管理員提出了很多挑戰。一旦系統維護人員存在誤操作或漏操作的行為,或一直使用系統初始化配置,都可能對客戶的網絡帶來巨大的安全隱患。安全基線的推出恰好解決用戶在運維效率上的痛點。
事實上,安全基線的概念與著名的“木桶理論”相似,安全基線可以被認為是客戶安全建設的木桶中的一塊最短木板,它是對系統最低的安全配置要求。在用戶側,安全基線是系統要滿足的最基本的安全配置要求,是企業和組織在業務開展、管理活動執行過程中需要滿足內部合規最基本的安全要求,更是實現信息安全風險評估與風險管理的前提和基礎。
近幾年來,國內外發生的安全事件幾乎都與對安全基線重視不足密切相關:
2014年,某在線票務公司大量用戶銀行卡信息泄露。泄露核心原因是安全支付的日志配置所引發,并且觸發了遍歷下載。
2015年,多家P2P平臺同時遭黑客攻擊,數據大量被盜。經過自查發現:大多數平臺在架構、數據庫、安全防范方面都使用了缺省配置,應對攻擊能力幾乎為零。
2016年,MongoDB數據庫默認配置,沒有啟用認證,導致5800萬商業用戶信息泄露。
2017年,據外媒報道稱,美國五角大樓意外暴露了美國國防部的分類數據庫,其中包含美國當局在全球社交媒體平臺中收集到的18億用戶的個人信息。此次泄露的數據為架在亞馬遜S3云存儲上的數據庫。由于配置錯誤導致三臺S3服務器“可公開下載”,其中一臺服務器數據庫中包含了近18億條來自社交媒體和論壇的帖子,據推測,這些信息很有可能是國防部從2009年到2017年8月時間內收集的。
根據OWASP的年報數據顯示,安全事件Top10當中,安全誤配置問題所導致的安全事件非常之多,由此帶來的敏感數據的泄露、服務宕機、DDoS等安全事件層出不窮。
正是這些事件的頻繁發生,才促使了安全基線的投入是用戶網絡安全的標準配置。值得注意的是,我國在穩步推進安全基線的規范化工作,在各大行業相繼出臺基線規范。
在電信領域,三大電信運營商移動、電信、聯通都具備結合自身業務特點的基線標準。如大數據相關的基線規范、管理信息系統相關的基線規范等。
在金融行業,各大銀行和金融機構結合監管要求和內部安全要求,形成了自己的安全基線規范標準。如xx銀行信息系統安全基線技術規范。
在電力行業,如IT主流設備安全基線技術規范等要求。隨著時間的推移,越來越多的政企單位,必將制定符合自身要求的基線規范,使用基線規范來落地考核和評估度量。
安全基線能力的工具化是必然趨勢
安全基線的能力建設直接影響到系統配置的安全,根據安全基線規范來看,其核心圍繞技術要求和管理要求兩個方面構成,包括提供一系列的檢查項(Checklist)和配置建議,但對于規范的檢查,需要采用人工核查、工具化產品核查兩種方式來完成,對比如下表,因此,從各個方面綜合考慮,工具化核查方式是必然的趨勢,相比人工方式效率高且準確性更高,在很大的程度上可大大降低基線的檢查成本和后期改進的成本。
另外,自動化的基線核查類產品可以實現基線規范的高效落地,但也需要結合用戶自身的行業特點,并與用戶要遵從的規范相適配,因此,其基本能力應該包括以下一些:
1.對系統實現層(操作系統、網絡設備、安全設備)、支撐層(中間件和數據庫)、業務層、虛擬化、云計算等設備及組件的核查能力;
2.通過一定量適配可兼容多種行業規范,如等級保護、運營商行業規范等;
3.核查方式豐富多樣,如支持常規的登錄協議SSH、TELNET、RDP以及也支持離線核查方式;
4.核查報告直觀、可讀性高,并且在核查過程中出現的問題能夠給出友好提示,能完成系統配置合規性檢查與修復,并制定風險審核報告。
5.產品應具備可擴展性并提供自定義的能力,來適配信息系統的不斷發展變化;
最后,任何產品要實現與用戶發展相適應相結合或展現出價值,都離不開服務。由此來看,用好安全基線產品,需要結合服務的方式是做好基線規范落地和做好基線安全管理的最合理的方式。
啟明星辰安全基線是配置合規的最佳實踐
啟明星辰針對各行業特點和安全基線規范基準,推出了專業檢查平臺——安全配置核查管理系統(簡稱CVS),使安全檢查過程達到自動化、標準化、持續化、可視化。它可以大大提高檢查結果的準確性和合規性,用以在政企客戶的上線安全檢查、第三方入網安全檢查、合規安全檢查(上級檢查)、日常安全檢查和安全服務任務中,協助查找設備在安全配置中存在的差距,并與安全整改與安全建設相結合,提升各類業務系統的安全防護能力和達到整體合規要求。
作為對漏洞掃描產品的強力補充,能夠幫助用戶發現網絡和應用中存在的配置缺陷、管理漏洞,幫助用戶提升網絡和應用系統的安全強度。
產品功能特點
◆復雜網絡的多渠道檢查支持
系統支持在線、離線、單機代理、分布式采集等核查方式,應對各類復雜網絡的核查。
◆基于不同檢查標準的自定義參數檢查項
可靈活配置自定義檢查項參數,為不同檢查標準提供了有力的保障。
◆任務的多方式執行
核查任務支持立即核查、周期核查、定時核查、離線核查等多方式的執行方式。
◆不斷豐富完善的CheckList知識庫
目前支持約7大類80余種設備及系統的核查
國內最完善的安全服務體系和方法論,不斷豐富Checklist匹配不同行業規范,滿足安全配置需求。
◆高效的多協議支持
提供SSH/Telnet/SMB/RDP/JDBC/Agent/WinRm等協議支持。
◆強大的自動探測功能
系統可自動探測被核查的操作系統類型及版本,中間件及數據庫的安裝路徑,節約數據采集錄入的時間,更智能更準確。
◆智能的錯誤提醒機制
系統提出全新的錯誤消息機制,核查失敗時準確定位錯誤,提升核查效率。
總結
綜上所述,信息安全建設之初,安全配置的合規性是基本的安全要求。隨著等級保護2.0的持續深化推進,建立一套行之有效的安全基線能力是安全管理人員面臨的當務之急。為應對這樣的挑戰,啟明星辰安全配置核查管理系統(簡稱CVS)很好地幫助運維人員應對紛繁復雜的網絡環境、設備環境、應用環境,快速、高效地核查配置風險,最終實現用戶IT環境安全合規的目標要求。