关于安全运营中的配置管理的讨论| 总第235周

文化   科技   2024-03-04 17:00   江西  
‍‍

‍‍


0x1本周话题

话题:看了马金龙的《企业信息安全体系建设之道》,有一个点对我很有启发。但想来想去没想到什么好的做法,请教一下。讲安全运营,我们通常都会说资配漏补,但实际上大家基本只说资产、漏洞、补丁,几乎没有人说配置管理。我想起来CMMI里面是有配置管理的,但那是针对研发过程、软件产品的配置,我的问题是:

(1)安全运营当中或者安全管理体系中,对配置要做管理吗?

(2)如果做,安全管理中的配置管理,都是哪些配置项?

(3)针对这些配置项,通常都需要采取哪些动作、控制什么风险、达到什么目的?

A1:配置肯定要管理的,配置项可能会比较多吧。简单点来说是和安全基线一样的管理方式?超越基线的话,要具体评估?

A2:安全运营的本质是加强对安全风险的动态管理,安全配置是风险动态管理的一环,这个是要纳入安全运营范畴的,配置管理包括安全产品性能配置、有效性配置、运维管理配置、安全策略配置等。

A3:配置管理看说的哪个部分,其实我觉得配置管理里面最难的是定责任人。只要责任人定好了,别的都不是问题。配置管理我们做了很多年,就是一步一步细化配置项的责任人,对配置项以及配置项涉及工作本身,反而是容易的。

一台机器,一个基线,一个账户,都要涉及到具体责任人,并在运营流程中,能识别责任人的变动及时调整

A4:其实还是要看配置项的定义,如果是cmdb那种配置项,那好一点。

但真正的配置基线那就难了,所以如果基线无法自动抓取那么就无法保鲜。

A5:配置管理和数据治理一个道理,参照数据治理来完全可以的,自动化是手段,不是根本。

配置管理也是一个台账管理或者资产管理的子类,要允许台账和实际有差异,自动化只是发现实际和台账差异的手段。

自动化校验是数据质量管理的一个环节。我们做配置管理,要有手段发现台账和实际的差异,自动化校验就是实现这个目的。

A6:我反而觉得是根本,管理手段没有自动化校验,都是纸上谈兵,浪费时间。

特别涉及这种大规模数据,要手工的,惹人厌,精准度低,利用率差。最终成为个别人的面子工程。

A7:管理都存在这个问题,管理要求和实际执行是否有差异,能否识别差异,能否解决差异,这个和二三道防线是一样。

Q:既然自动化能校验,为啥不能自动化采,人工确认入库?

A8:只是自动化缩小我们发现差异的成本,这个属于我们对于台账和实际差异的后续手段,但不要把两者等同成一个事情,等同后就变成自动化解决所有问题,就少了人员职责。类似于有了系统封控和审计,二三道防线是不是就不用建设了。

A9:cmdb相对这么简单的配置项,都是失败居多,就是人工太多,闭环不完整,数据不可信。我的概念里面,是尽量减少后面的校验差异,自动化封禁ip,自动化杀毒,的确不需要二三道防线。

A10:我们做了CMDB很多年,庙虽小感觉还是有很多的实践,最大的一个点。运维安全都是在我这边,生产运维也都在运维,我们往前左移去影响开发过程,所以CMDB自我感觉还是很有效的。小世界里推动数据治理。

A11:cmdb是有效,做的好就有效。自动化就是减少扯淡。

A12:责任扯清楚可以,要不误杀和误封都啰嗦。一定要用才会准,我个人觉得。唯一数据源。

A13:为啥会有误杀和误封,终归是因为有需求对应这个自动化策略,这个需求就是责任方的事项。不是自动化建设本身的职责,不把职责确认好,自动化的需求从哪里来。

A14:职责和自动化又不冲突。

Q:配置管理换成数据治理,所有的问题归结到最后是什么?

A15:数据owner就是自动化采集的提供者。

A16:理是这个理,万一有幺蛾子就是谁建的就是谁的。我个人不反对啊,有回滚的方法就好。

A17:数据治理,数据如果没有人用,做数据治理干什么。数据治理在银行通常是反洗钱要求,监管要用。所以一定要用,而且唯一数据源,就准了。

A18:数据治理通常都被定义为不知道搞来干啥的。

0x2 群友分享

【安全资讯】

如何寻找自己的北极星

大模型会踹破我们的专业门槛吗?

广州银行信用卡中心安全防护技术体系建设探索与实践

数据泄露谍报

史上最大泄漏事件--腾讯、微博、推特都中招

----------------------------------------------------------------------------‍‍‍
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
如何收回软件安装权限及公有云waf域名解析杂谈 | 总第234周
终端安全产品立项理由及终端安全一体化方案讨论 | 总第232周
安全部门提高人效的指标及安全服务成本杂谈 | 总第231周

如何进群?

如何下载群周报完整版?
请见下图:

君哥的体历
闲暇时间,逼迫自己,记录分享体验与经历,不求正确统一,但求真、善、美。
 最新文章