終端安全求生指南（四）--安全配置管理

安全配置管理

默認的配置是給予最高的可用性和最少的安全性。

鞏固默認配置將會減少許多終端安全事件，此外，任何規范性的合規政策首先都有一個開箱即用的指導，因此這是一個合理的開始。

安全配置管理準則：

A、正確的配置會隨時間的推移而發生改變：系統配置的方法有百萬種，安全，高可用，性能的正確組合通常需要有一個與時俱進的判斷，除非你的標準是合法的且一成不變，不要笑-這是一個可行性的選擇。

B、針對終端的安全策略需要進行周期性的評估：即使你已經通過不計其數的會議得到了最好的配置，他將變得過時，當業務和任務發生改變時，軟件更新時，或者一個新的暴露被檢測到，然后我們需要更新策略來對抗他們，這是通常是與年度審計工作相關結合的工作，但是當重要的業務發生變化時，這項工作就需要實時開展。

C、不必要的服務和端口是非常危險的：在軟件發現的時候使用應用和服務識別來開始消減與業務無關的事物，不需要的web服務器，未經授權的文件分享軟件，媒體播放器和不使用的程序都需要被找出來，然后關掉他。

D、用戶和他們的訪問：用戶憑證在現今威脅風暴當中變成了一個新的目標，***頻繁地追蹤可用的賬戶和憑證，但是沒有受到嚴密的監控與積極使用。一旦這些賬戶和憑證變得合法之后，***就可以輕松地逃避檢測，因為他們的活動就是正常業務的一部分。***使用多種技術來盜取雇員的憑證，因此他們可以進入公司的系統和網絡。復雜的網絡釣魚活動可以欺騙甚至最多疑的用戶在欺詐性網站上輸入他們的憑證，高級惡意軟件可以讓信息罪犯抓取雇員的憑證當他們在受感染的終端上輸入時，更有甚者，信息犯不需要嘗試通過他們的雇員獲取公司憑證。在第三方站點上重復使用公司的憑證是非常常見的，因此一些犯罪體集中精力通過社會工程學來盜取登陸憑證。要知道這是一個好的機會供給他們進入公司的系統。

另一個擔憂是內部不滿意的員工，當雇員離開時，如果賬戶沒及時地消除，那么將會被內部人員或者外部演員濫用，舉個例子，一個終止合同的不滿意的雇員可以通過遠程進入公司系統將會產生很多潛在的問題。

BOOT CAMP

1、標準的操作流程：通過標準的流程來加固你的軟件 平臺和軟件，這個程序的目標是提供一個枚舉的設置來讓每個系統管理員都可以實施。針對安全最佳實踐進行程序驗證，例如CIS，同樣可以讓你的標準化操作步驟變得更加容易。所有的組織都有例外，CEO可能堅持使用MAC或者市場部要求一個新的編輯軟件，確保所有的例外都需要有一個標準的配置并且注明所有者和有效期，當逾期時必須重新進行評估與審核。

2、使用安全黃金鏡像：新的系統需要使用包含管理鏡像的標準鏡像，如果系統受到影響，最常用，快速，容易的方法就是替代他通過一個安全的鏡像，代替花費大量時間去人工修復終端。確保部署這些系統升級是合法的，因此這些改變針對所有者和響應者來講是與之相關的文件留檔。

3、老軟件：一個最重要的考慮針對此你的安全態勢而言是選擇一個好的工具和應用可以運行在你的環境當中，很多的***都采用老的脆弱性（存在于OS或者部署的軟件當中），檢查制造商的更新與補丁和老軟件的全部安全須知是非常重要的，確保標注出所有的潛在的脆弱性，哪些需要采用補丁之外的其他方法去減輕，選擇一個套標準的應用將同樣讓你可以檢測異常現象和未授權的安裝，在你的日常軟件審計當中。

4、監控誰“進來”了：管理員和終端賬戶，是可以被用來審計和創造相關規則的，需要認真地進行監控，設立自動化告警來標記那些水經授權的賬戶活動，設立策略來要求用戶經常改變他的憑證，并且通過不定期的安全意識訓練來訓練用戶。

5、使用安全的通信：不加密的通信和憑證可能被***者攔截和再利用，因此確保遠程協議采用強加密的，如果強加密針對應用不可用，你可能需要認真考慮移除授權的列表，或者采用其他措施來加固資產。這些包含與之相關的網絡和終端，服務器針對訪問的強制管理。

ADVANCED TRAINING(監控所有事物)

6、監控所有改變的事：現在你已經清楚地識別到什么是系統配置的安全基線，這需要查看每一個資產類型，針對安全基線監控所有系統變更，tripwire enterprise，可確保日常業務變更自動提升。并且授權的非常規業務變更是被允許的。

7、監控所有事物，包含OT，IIOT設備是一個挑戰，因為OT硬件經常使用私有協議，告訴你的SCM向量有關于他們的能力TO動作IIOIIOT設備IOT設備的監視。

8、針對管理員賬戶進行告警：針對每次使用administrator和root賬戶時，同樣地自動化關系事件鏈在登陸的地方，登陸系統所做的事等等，監控網絡事件和跟蹤告警當偽造的或者黑名單IP被檢測到的時候，告警需要發布，結合網絡和系統事件，可能未被授權和系統破壞。

COMBAT READY

9、綜合分析：將將針對系統進行未授權變更告警作為事件發送，并且針對SIEMs針對安全事件管理和關聯，自動化的端口與服務檢測，同樣針對新的用戶。

復雜、沖突的策略可以應用至特別的用戶和終端組合，你同樣可以監控RSoP來計算終端窗口多重設置帶來的累積影響。RSoP是策略設置組針對特殊用戶的影響，無論什么樣的可能，自動調和這些變化，tripwrie log center可以合并日志通過所有的出口點和告警，當這些需要直接使用代理，但是未被檢測的。

tripwire log center可以扮演接收SIEM，日志分析 系統 和事件關聯，這這助于節省開支，當轉發至SIEM產品基于大量的數據進程。