0x1本周话题
话题:看了马金龙的《企业信息安全体系建设之道》,有一个点对我很有启发。但想来想去没想到什么好的做法,请教一下。讲安全运营,我们通常都会说资配漏补,但实际上大家基本只说资产、漏洞、补丁,几乎没有人说配置管理。我想起来CMMI里面是有配置管理的,但那是针对研发过程、软件产品的配置,我的问题是:
(1)安全运营当中或者安全管理体系中,对配置要做管理吗?
(2)如果做,安全管理中的配置管理,都是哪些配置项?
(3)针对这些配置项,通常都需要采取哪些动作、控制什么风险、达到什么目的?
A1:配置肯定要管理的,配置项可能会比较多吧。简单点来说是和安全基线一样的管理方式?超越基线的话,要具体评估?
A2:安全运营的本质是加强对安全风险的动态管理,安全配置是风险动态管理的一环,这个是要纳入安全运营范畴的,配置管理包括安全产品性能配置、有效性配置、运维管理配置、安全策略配置等。
A3:配置管理看说的哪个部分,其实我觉得配置管理里面最难的是定责任人。只要责任人定好了,别的都不是问题。配置管理我们做了很多年,就是一步一步细化配置项的责任人,对配置项以及配置项涉及工作本身,反而是容易的。
一台机器,一个基线,一个账户,都要涉及到具体责任人,并在运营流程中,能识别责任人的变动及时调整。
A4:其实还是要看配置项的定义,如果是cmdb那种配置项,那好一点。
但真正的配置基线那就难了,所以如果基线无法自动抓取那么就无法保鲜。
A5:配置管理和数据治理一个道理,参照数据治理来完全可以的,自动化是手段,不是根本。
配置管理也是一个台账管理或者资产管理的子类,要允许台账和实际有差异,自动化只是发现实际和台账差异的手段。
自动化校验是数据质量管理的一个环节。我们做配置管理,要有手段发现台账和实际的差异,自动化校验就是实现这个目的。
A6:我反而觉得是根本,管理手段没有自动化校验,都是纸上谈兵,浪费时间。
特别涉及这种大规模数据,要手工的,惹人厌,精准度低,利用率差。最终成为个别人的面子工程。
A7:管理都存在这个问题,管理要求和实际执行是否有差异,能否识别差异,能否解决差异,这个和二三道防线是一样。
Q:既然自动化能校验,为啥不能自动化采,人工确认入库?
A8:只是自动化缩小我们发现差异的成本,这个属于我们对于台账和实际差异的后续手段,但不要把两者等同成一个事情,等同后就变成自动化解决所有问题,就少了人员职责。类似于有了系统封控和审计,二三道防线是不是就不用建设了。
A9:cmdb相对这么简单的配置项,都是失败居多,就是人工太多,闭环不完整,数据不可信。我的概念里面,是尽量减少后面的校验差异,自动化封禁ip,自动化杀毒,的确不需要二三道防线。
A10:我们做了CMDB很多年,庙虽小感觉还是有很多的实践,最大的一个点。运维安全都是在我这边,生产运维也都在运维,我们往前左移去影响开发过程,所以CMDB自我感觉还是很有效的。小世界里推动数据治理。
A11:cmdb是有效,做的好就有效。自动化就是减少扯淡。
A12:责任扯清楚可以,要不误杀和误封都啰嗦。一定要用才会准,我个人觉得。唯一数据源。
A13:为啥会有误杀和误封,终归是因为有需求对应这个自动化策略,这个需求就是责任方的事项。不是自动化建设本身的职责,不把职责确认好,自动化的需求从哪里来。
A14:职责和自动化又不冲突。
Q:配置管理换成数据治理,所有的问题归结到最后是什么?
A15:数据owner就是自动化采集的提供者。
A16:理是这个理,万一有幺蛾子就是谁建的就是谁的。我个人不反对啊,有回滚的方法就好。
A17:数据治理,数据如果没有人用,做数据治理干什么。数据治理在银行通常是反洗钱要求,监管要用。所以一定要用,而且唯一数据源,就准了。
A18:数据治理通常都被定义为不知道搞来干啥的。
如何进群?
原文始发于微信公众号(君哥的体历):关于安全运营中的配置管理的讨论| 总第235周