何为SCA？听听一枚产品汪的纯干货分享

5. Tripwire

资料来源：Tripwire官网

根据法规遵从性要求, 减少攻击表面的主动配置硬化。减少审核准备时间和成本, 并提供审核报告和符合性证明。Tripwire拥有最大和最广泛的支持策略和平台的库, 其中包含800多个策略, 并涵盖了一系列平台 OS 版本和设备。Tripwire企业经常更新, 以确保您始终有您需要的覆盖范围。

关键配置错误需要立即纠正措施。Tripwire自动化并引导您快速修复不兼容的系统和安全错误。您可以通过与 SIEMs、IT GRC 和更改管理系统的集成来自动化工作流。调查和根本原因特征和比较快速地告诉您需要知道的：什么改变了, 如何改变的, 什么时候改变的和由谁改变的。

在对各个厂商提供的功能有所了解后，接下来对SCA的主要使用场景进行探讨，分成两个方面：传统应用场景和新技术应用场景。

传统应用场景包括合规，脆弱性管理。新技术应用场景比如工控，物联网（包括IOT），云平台，容器，区块链，以及Cloud Security Posture Management (CSPM)(配置检查+CWPP)中，以下是具体介绍。

三 、SCA的应用场景

1.传统场景下的应用

1）合规中的SCA

合规并不是仅满足法律法规的要求，而是要在遵循法律法规的基础上，关注各种规则、规范，同时协调好各方面的关系。合规中的SCA可以通过选择对应的模板——进行对比分析——给出符合性结果——根据结果得出一个是否合规的结论，也包括整改方案。

国内信息安全领域常用的规范是等级保护。等级保护是《信息安全技术 网络安全等级保护基本要求》的简称，定义为对信息和信息系统分等级实行的安全保护和对信息系统中使用的信息安全产品实行的按等级管理。公安部也根据等保规范，制定了等保测评要求，等保1.0和等保2.0中涉及到SCA的部分要求对比如下：

国外也有许多规范，比如NIST,PCI DSS等，其中涉及到SCA的管理条例如下：

2）脆弱性管理中的SCA

系统脆弱性由安全基线来评估，系统实现层中的安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构成，这些检查项的覆盖面、有效性成为了基线安全实现的关键,如下图所示：

安全配置核查，也就是我们的SCA，主要的检查范围是由人为疏忽造成的配置问题，主要包括了账号、口令、授权、日志、IP通信等方面内容。安全配置与系统的相关性非常大，同一个配置项在不同业务环境中的安全配置要求是不一样的，如在WEB系统边界防火墙中需要开启HTTP通信，但一个WAP网关边界就没有这样的需求，因此在设计系统安全基线的时候，安全配置是一个关注的重点。

2.新技术中的应用

1）物联网（IOT）中的SCA

通过对物联网中的一些设备，比如摄像头，智能恒温器等的信息采集，可直接或间接地暴露用户的隐私信息。如果生产商缺乏安全意识，很多设备缺乏加密、认证、访问控制管理的安全措施，物联网中的数据就会很容易被窃取或非法访问，造成数据泄露。这种新型的信息网络往往会遭受有组织的 APT 攻击。

物联网不同层次可能有着相同的安全需求，下表对物联网可能涉及到的SCA相关问题的威胁和对策做了总结：

2）工控中的SCA

根据工业网络安全合规标准和国内外的最佳实践，通过常态化的工业网络安全评估，查找突出问题和薄弱环境，排查安全隐患和安全漏洞，分析安全状况和防护水平，有针对性地采取管理和技术防护措施，是提升工业企业网络安全保障能力，切实保障网络安全的有效途径。在监管机构的安全检查和工业企业自查过程中，复杂多样的工业环境和数量巨大的评估对象都对评估人员的技术水平和工作量提出了很大的考验。SCA在其中发挥的作用如下：

3）容器中的SCA

Kubernetes（k8s）是自动化容器操作的开源平台，这些操作包括部署，调度和节点集群间扩展。Kubernetes加快了容器部署，还让用户能够管理大规模的多容器集群。它便于持续集成和持续交付，处理网络、服务发现和存储，还能够在多云环境中执行所有这些任务。Kubernetes中涉及到的配置问题及对策如下表：

除了认真遵循Kubernetes安全文档外，确保Kubernetes安装部署的最佳方法是，尽早将安全纳入到部署的环境中，通过正确配置主动保护环境比数据泄密发生后试图应对要简单得多，也省钱得多。另外，通过积极主动的监控来充分利用高级的安全运维（SecOps）实践，提供了保护日益Serverless的环境所需要的那种可见性。

（参考资料：Kubernetes不是银弹：配置错误、爆炸半径）

4) 云环境中的SCA

Dome9安全公司首席执行官Zohar Alon表示：“配置错误导致了目前云中的大部分数据被盗和泄露事件。”

提供云服务的方式多样化也导致这个问题更加严重。开发人员创建了虚拟服务器和容器，以便快速推出应用程序，存储数据。业务部门通过自己注册来使用服务，个人用户也是如此。但本地数据中心所采用的传统配置管理方法并不适用于云服务。云平台通常有自己的系统来监视配置的更改。例如，AWS有AWS Cloud Trail和AWS Config。微软的Azure云平台有其运营管理套件。其他流行的SaaS云提供商没有集中的管理工具，而是让个人用户负责自己的安全和共享设置。

云计算系统的配置核查对象如下表所示：

讲了这么多，请允许小妹夹带点私货吧（抱拳），给大家隆重介绍下我正在负责的产品——绿盟安全配置核查系统（NSFOCUS BVS），下面是它的详细介绍。

四 、绿盟安全配置核查系统

（编辑：东莞站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!