小说阅读网,玄幻小说排行榜,君子以泽

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

何為SCA？聽聽一枚產(chǎn)品汪的純干貨分享

剛畢業(yè)就成為了一名產(chǎn)品汪，還是高端大氣上檔次的網(wǎng)絡(luò)安全行業(yè)（此處省略100字），而且還負責(zé)了一款重量級產(chǎn)品——配置核查系統(tǒng)，小妹又高興又惶恐，只能發(fā)奮學(xué)習(xí)，努力努力再努力！以下就是這段時間我對SCA的一些認識了，分享給大家，請大佬們多多指教。首先來看一下SCA的定義。

一、SCA的定義

Gartner把SCA定義為Security Configuration Assessment，翻譯過來是安全配置評估，對其的說明是：提供了遠程評估和驗證配置的功能，例如Windows域組策略中的密碼復(fù)雜性；經(jīng)常用于實現(xiàn)法規(guī)遵從性，例如PCI或內(nèi)部安全策略合規(guī)性。

從字面意思看Gartner把其定義為“功能”，這種“功能”的作用是進行“遠程評估”和“驗證配置”，雖然文中缺少“安全”兩字，但是從實例分析，以及佐以Gartner文中其他的價值、功能和廠商等介紹，我們可以認為屬于安全范疇。

而國內(nèi)常用的是安全配置核查，定義為對信息系統(tǒng)配置操作，例如操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、中間件等多類設(shè)備的檢查。

當(dāng)然一些互聯(lián)網(wǎng)廠商也將SCA用作Security Checklist Analysis的簡稱,定義為進行安全檢查、發(fā)現(xiàn)潛在危險、督促各項安全法規(guī)、制度、標(biāo)準(zhǔn)實施的一個較為有效的工具。

本文主要參照了前兩種方式來理解SCA。同時，Gartner給出了8個具有代表性的SCA廠商：Amazon，Tenable，Rapid7，BeyondTrust，Tripwire，IBM Bigfix，Tanium，Qualys，接下來對這幾個廠商進行更詳細的一個分析。

二、SCA的代表廠商及具體支持功能

以下挑了Gartner推薦中的5個廠商：BeyondTrust，Qualys，Rapid7，Tenable以及Tripwire，對其主要功能進行了綜合對比分析，參見下表（按首字母排序）：

從上表可知，Gartner認為一個標(biāo)準(zhǔn)的SCA至少需要以下幾大功能：

? 適用于盡可能多種類的操作系統(tǒng)，數(shù)據(jù)庫，中間件；

? 支持迅速響應(yīng)；

? 支持自動化配置檢查；

? 支持生成報表；

? 合規(guī)性遵從，比如：FISMA，STIG，HIPPA，CIS，SCAP。

那么每個廠商具體的SCA相關(guān)產(chǎn)品介紹又是什么，以下進行分別的介紹：

1.BeyondTrust

資料來源：BeyondTrust官網(wǎng)

Retina配置合規(guī)性模塊可以輕松地根據(jù)內(nèi)部策略或外部最佳實踐審核配置，同時集中報告以用于監(jiān)控和監(jiān)管目的。

主要特征

? 開箱即用的配置審核，報告和警報；

? 用于Windows操作系統(tǒng)的模板，以及用于FDCC，NIST，STIGS，USGCB和Microsoft應(yīng)用程序的模板；

? 審計和安全設(shè)置，用戶權(quán)限，日志記錄配置等的評估；

? 內(nèi)置報告并與Retina CS集成，用于增量，趨勢和其他分析；

? OVAL 5.6 SCAP認證的掃描引擎和解釋器。

Retina監(jiān)管報告模塊使您能夠有效地瀏覽復(fù)雜的法規(guī)遵從環(huán)境。該模塊通過將網(wǎng)絡(luò)的特定漏洞映射到相關(guān)的公司政策，政府法規(guī)和行業(yè)標(biāo)準(zhǔn)，超越了通用合規(guī)報告。

主要特征

? 與Retina CS和Retina配置合規(guī)性模塊無縫集成；

? PCI，HIPAA，SOX，GLBA，NIST，F(xiàn)ERC / NERC，MASS 201，ISO，COBiT，ITIL，HITRUST等法規(guī)的合規(guī)報告；

? 將漏洞和配置問題映射到控制目標(biāo)和任務(wù)；

? 合規(guī)性儀表板具有向下鉆取功能，可以立即一致地響應(yīng)合規(guī)性違規(guī)；

? 持續(xù)更新新發(fā)現(xiàn)的漏洞和監(jiān)管控制的變化。

2. Qualys

資料來源：Qualys官網(wǎng)

覆蓋面廣

Qualys SCA是Qualys漏洞管理的附加項, 可讓您根據(jù)Internet安全(CIS)基準(zhǔn)的中心評估、報告、監(jiān)視和修正與安全相關(guān)的配置問題。它支持操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序和網(wǎng)絡(luò)設(shè)備的最新的 CIS 基準(zhǔn)發(fā)布。

控制責(zé)任

Qualys SCA控制由Qualys安全專家在內(nèi)部開發(fā)和驗證, 并由 CIS 認證。這些控件針對性能、可伸縮性和準(zhǔn)確性進行了優(yōu)化。Qualys SCA可以在任何大小的 IT 環(huán)境中使用, 從小的到最大的。

易用性

SCA的CIS評估是通過基于web的用戶界面和從 Qualys 云平臺提供的, 從而實現(xiàn)集中化管理, 部署開銷最小。可以根據(jù)組織的安全策略選擇和自定義 CIS 控件。這就消除了與傳統(tǒng)的用于配置管理的軟件點產(chǎn)品相關(guān)的成本、資源和部署問題。

報告和儀表板

SCA 用戶可以安排評估, 自動創(chuàng)建可下載的配置問題報告, 并查看儀表板以提高其安全態(tài)勢。這就帶來了Qualys SCA 在領(lǐng)先基準(zhǔn)之后的安全最佳做法的自動化, 并讓保密團隊對數(shù)字業(yè)務(wù)安全采取主動的方法。

3. Rapid7

資料來源：Rapid7官網(wǎng)

滿足漏洞管理合規(guī)性要求：Nexpose使組織能夠始終遵守PCI DSS,NERC CIP,FISMA(USGCB/FDCC),HIPPAA/HITECH,Top20 CSC,DISA STIGS和風(fēng)險/漏洞/配置管理的CIS標(biāo)準(zhǔn)。與其他可能是網(wǎng)絡(luò)負擔(dān)多次掃描的解決方案不同，Nexpose的快速，統(tǒng)一的安全性和合規(guī)性評估通過為您提供完整的風(fēng)險和合規(guī)性狀態(tài)來提高安全計劃的性能。

4. Tenable

資料來源：Tenable官網(wǎng)

掃描功能：

? 覆蓋范圍：網(wǎng)絡(luò)設(shè)備的離線配置審核；

? 合規(guī)性：幫助滿足政府，監(jiān)管和企業(yè)掃描要求；

? 有助于對安全配置實施PCI DSS要求；

威脅：僵尸網(wǎng)絡(luò)/惡意，進程/反病毒審計；

? 配置審核：CERT,CIS,COBIT/ITIL,DISA STIG,FDCC,ISO,NIST,NSA,PCI。

5. Tripwire

資料來源：Tripwire官網(wǎng)

根據(jù)法規(guī)遵從性要求, 減少攻擊表面的主動配置硬化。減少審核準(zhǔn)備時間和成本, 并提供審核報告和符合性證明。Tripwire擁有最大和最廣泛的支持策略和平臺的庫, 其中包含800多個策略, 并涵蓋了一系列平臺 OS 版本和設(shè)備。Tripwire企業(yè)經(jīng)常更新, 以確保您始終有您需要的覆蓋范圍。

關(guān)鍵配置錯誤需要立即糾正措施。Tripwire自動化并引導(dǎo)您快速修復(fù)不兼容的系統(tǒng)和安全錯誤。您可以通過與 SIEMs、IT GRC 和更改管理系統(tǒng)的集成來自動化工作流。調(diào)查和根本原因特征和比較快速地告訴您需要知道的：什么改變了, 如何改變的, 什么時候改變的和由誰改變的。

在對各個廠商提供的功能有所了解后，接下來對SCA的主要使用場景進行探討，分成兩個方面：傳統(tǒng)應(yīng)用場景和新技術(shù)應(yīng)用場景。

傳統(tǒng)應(yīng)用場景包括合規(guī)，脆弱性管理。新技術(shù)應(yīng)用場景比如工控，物聯(lián)網(wǎng)（包括IOT），云平臺，容器，區(qū)塊鏈，以及Cloud Security Posture Management (CSPM)(配置檢查+CWPP)中，以下是具體介紹。

三、SCA的應(yīng)用場景

1.傳統(tǒng)場景下的應(yīng)用

1）合規(guī)中的SCA

合規(guī)并不是僅滿足法律法規(guī)的要求，而是要在遵循法律法規(guī)的基礎(chǔ)上，關(guān)注各種規(guī)則、規(guī)范，同時協(xié)調(diào)好各方面的關(guān)系。合規(guī)中的SCA可以通過選擇對應(yīng)的模板——進行對比分析——給出符合性結(jié)果——根據(jù)結(jié)果得出一個是否合規(guī)的結(jié)論，也包括整改方案。

國內(nèi)信息安全領(lǐng)域常用的規(guī)范是等級保護。等級保護是《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》的簡稱，定義為對信息和信息系統(tǒng)分等級實行的安全保護和對信息系統(tǒng)中使用的信息安全產(chǎn)品實行的按等級管理。公安部也根據(jù)等保規(guī)范，制定了等保測評要求，等保1.0和等保2.0中涉及到SCA的部分要求對比如下：

		等保1.0	等保2.0
網(wǎng)絡(luò)安全	邊界和關(guān)鍵網(wǎng)絡(luò)設(shè)備防護	登錄用戶身份鑒別	無變化
		登陸失敗處理（結(jié)束會話、限制非法登錄次數(shù)、登陸連接超時自動退出等）
		對設(shè)備遠程管理產(chǎn)生的鑒別信息進行保護
主機安全	身份鑒別	是否采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別	是否采用兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用動態(tài)口令、密碼技術(shù)或生物技術(shù)來實現(xiàn)
		是否重命名系統(tǒng)默認賬戶、修改賬戶的默認口令	是否重命名或刪除默認賬戶，修改默認賬戶的默認口令
		對系統(tǒng)中多余、過期的賬戶是否刪除，是否避免共享賬戶的存在	對系統(tǒng)中多余、過期的用戶是否刪除或停用，是否避免共享賬戶的存在
應(yīng)用安全	身份鑒別	是否對同一用戶應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別	是否采用兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用動態(tài)口令、密碼技術(shù)或生物技術(shù)來實現(xiàn)
		登陸用戶的口令最小長度、復(fù)雜度和更換周期是否限制
		是否根據(jù)安全策略設(shè)置了登錄失敗次數(shù)等參數(shù)	是否根據(jù)安全策略設(shè)置了登錄失敗次數(shù)等參數(shù)，多次登錄失敗后應(yīng)采取必要的保護措施
		驗證身份標(biāo)識和鑒別功能是否有效

國外也有許多規(guī)范，比如NIST,PCI DSS等，其中涉及到SCA的管理條例如下：

PCI DSS	2.2:Develop configuration standards for all system components
NIST 800-53 rev 4	CM-2:Baselinne configuration
	CM-6:Configuration settings
	CM-7:Least functionality
NIST Cybersecurity Framework	PR.IP-1:Baseline configurations are created and maintained
ISO/IEC 27002:2013	A.14.2.8:System security testing
	A.18.2.3:Technical compliance review

2）脆弱性管理中的SCA

系統(tǒng)脆弱性由安全基線來評估，系統(tǒng)實現(xiàn)層中的安全基線要求主要是由安全漏洞方面、安全配置方面等檢查項構(gòu)成，這些檢查項的覆蓋面、有效性成為了基線安全實現(xiàn)的關(guān)鍵,如下圖所示：

安全配置核查，也就是我們的SCA，主要的檢查范圍是由人為疏忽造成的配置問題，主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容。安全配置與系統(tǒng)的相關(guān)性非常大，同一個配置項在不同業(yè)務(wù)環(huán)境中的安全配置要求是不一樣的，如在WEB系統(tǒng)邊界防火墻中需要開啟HTTP通信，但一個WAP網(wǎng)關(guān)邊界就沒有這樣的需求，因此在設(shè)計系統(tǒng)安全基線的時候，安全配置是一個關(guān)注的重點。

2.新技術(shù)中的應(yīng)用

1）物聯(lián)網(wǎng)（IOT）中的SCA

通過對物聯(lián)網(wǎng)中的一些設(shè)備，比如攝像頭，智能恒溫器等的信息采集，可直接或間接地暴露用戶的隱私信息。如果生產(chǎn)商缺乏安全意識，很多設(shè)備缺乏加密、認證、訪問控制管理的安全措施，物聯(lián)網(wǎng)中的數(shù)據(jù)就會很容易被竊取或非法訪問，造成數(shù)據(jù)泄露。這種新型的信息網(wǎng)絡(luò)往往會遭受有組織的 APT 攻擊。

物聯(lián)網(wǎng)不同層次可能有著相同的安全需求，下表對物聯(lián)網(wǎng)可能涉及到的SCA相關(guān)問題的威脅和對策做了總結(jié)：

認證	威脅	物聯(lián)網(wǎng)環(huán)境中的部分訪問無認證或認證采用默認密碼、弱密碼。
	對策	一方面開發(fā)人員應(yīng)考慮在設(shè)計時確保用戶在首次使用系統(tǒng)時修改默認密碼，盡可能使用雙因素認證，對于敏感功能，需要再次進行認證等；另一方面作為用戶，應(yīng)該提高安全意識，采用強密碼并定期修改密碼。
訪問控制管理	威脅	未授權(quán)訪問
		安全配置長期不更新、不核查
	對策	身份和訪問管理、邊界安全（安全訪問網(wǎng)關(guān)）。
		持續(xù)的脆弱性和錯誤配置檢測清除。
物理安全	威脅	部署在遠端的缺乏物理安全控制的物聯(lián)網(wǎng)資產(chǎn)有可能被盜竊或破壞。
	對策	盡可能加入已有的物理安全防護措施。并非技術(shù)層面的問題，更應(yīng)作為標(biāo)準(zhǔn)的一部分進行規(guī)范。
設(shè)備保護和資產(chǎn)管理	威脅	設(shè)備的配置文件被修改。
		設(shè)備的數(shù)量巨大使得常規(guī)的更新和維護操作面臨挑戰(zhàn)。
	對策	定期審查配置。
		固件自動升級（over-the air （OTA））。
		定義對于物聯(lián)網(wǎng)設(shè)備的全生命周期控制。
日志和審計	威脅	對于威脅的檢測。
		行業(yè)安全標(biāo)準(zhǔn)的合規(guī)。
	對策	日志分析。
		合規(guī)性檢查。

2）工控中的SCA

根據(jù)工業(yè)網(wǎng)絡(luò)安全合規(guī)標(biāo)準(zhǔn)和國內(nèi)外的最佳實踐，通過常態(tài)化的工業(yè)網(wǎng)絡(luò)安全評估，查找突出問題和薄弱環(huán)境，排查安全隱患和安全漏洞，分析安全狀況和防護水平，有針對性地采取管理和技術(shù)防護措施，是提升工業(yè)企業(yè)網(wǎng)絡(luò)安全保障能力，切實保障網(wǎng)絡(luò)安全的有效途徑。在監(jiān)管機構(gòu)的安全檢查和工業(yè)企業(yè)自查過程中，復(fù)雜多樣的工業(yè)環(huán)境和數(shù)量巨大的評估對象都對評估人員的技術(shù)水平和工作量提出了很大的考驗。SCA在其中發(fā)揮的作用如下：

合規(guī)性評估	等保2.0
	工信部《工業(yè)控制系統(tǒng)信息安全防護指南》
	國能安全36號文--《電力監(jiān)控系統(tǒng)安全防護方案》
上位機設(shè)備信息配置核查	賬戶管理
	口令設(shè)置
	端口管理
	應(yīng)用程序管理
	網(wǎng)絡(luò)服務(wù)管理
	操作系統(tǒng)安全設(shè)置
	磁盤管理

3）容器中的SCA

Kubernetes（k8s）是自動化容器操作的開源平臺，這些操作包括部署，調(diào)度和節(jié)點集群間擴展。Kubernetes加快了容器部署，還讓用戶能夠管理大規(guī)模的多容器集群。它便于持續(xù)集成和持續(xù)交付，處理網(wǎng)絡(luò)、服務(wù)發(fā)現(xiàn)和存儲，還能夠在多云環(huán)境中執(zhí)行所有這些任務(wù)。Kubernetes中涉及到的配置問題及對策如下表：

服務(wù)密碼和API密鑰	Docker secrets加密/HashiCorp Vault加密/按Kubernetes配置文檔進行配置
配置了許多集群，驗證令牌自動提供了訪問Kubernetes API的機制	配置基于角色的訪問控制（RBAC）可以幫助降低風(fēng)險（也可能會被利用來提升權(quán)限）
限制受威脅的容器帶來的影響	調(diào)控容器訪問權(quán)的內(nèi)置控制機制，比如命名空間和網(wǎng)絡(luò)分段
限制受威脅的容器帶來的影響	限制可以在特權(quán)模式下運行的容器數(shù)量

除了認真遵循Kubernetes安全文檔外，確保Kubernetes安裝部署的最佳方法是，盡早將安全納入到部署的環(huán)境中，通過正確配置主動保護環(huán)境比數(shù)據(jù)泄密發(fā)生后試圖應(yīng)對要簡單得多，也省錢得多。另外，通過積極主動的監(jiān)控來充分利用高級的安全運維（SecOps）實踐，提供了保護日益Serverless的環(huán)境所需要的那種可見性。

（參考資料：Kubernetes不是銀彈：配置錯誤、爆炸半徑）

4) 云環(huán)境中的SCA

Dome9安全公司首席執(zhí)行官Zohar Alon表示：“配置錯誤導(dǎo)致了目前云中的大部分數(shù)據(jù)被盜和泄露事件?！?/p>

提供云服務(wù)的方式多樣化也導(dǎo)致這個問題更加嚴重。開發(fā)人員創(chuàng)建了虛擬服務(wù)器和容器，以便快速推出應(yīng)用程序，存儲數(shù)據(jù)。業(yè)務(wù)部門通過自己注冊來使用服務(wù)，個人用戶也是如此。但本地數(shù)據(jù)中心所采用的傳統(tǒng)配置管理方法并不適用于云服務(wù)。云平臺通常有自己的系統(tǒng)來監(jiān)視配置的更改。例如，AWS有AWS Cloud Trail和AWS Config。微軟的Azure云平臺有其運營管理套件。其他流行的SaaS云提供商沒有集中的管理工具，而是讓個人用戶負責(zé)自己的安全和共享設(shè)置。

云計算系統(tǒng)的配置核查對象如下表所示：

網(wǎng)絡(luò)和通信安全	網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、綜合網(wǎng)管系統(tǒng)、虛擬化網(wǎng)絡(luò)結(jié)構(gòu)、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、虛擬機監(jiān)視器、云管理平臺
設(shè)備和計算安全	主機、數(shù)據(jù)庫管理系統(tǒng)、終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、物理機、宿主機、虛擬機、虛擬機監(jiān)視器、云管理平臺、網(wǎng)絡(luò)策略控制器
應(yīng)用和數(shù)據(jù)安全	應(yīng)用系統(tǒng)、中間件、配置文件、業(yè)務(wù)數(shù)據(jù)、用戶隱私、鑒別信息、云應(yīng)用開發(fā)平臺、云計算服務(wù)對外接口、云管理平臺、鏡像文件、快照、數(shù)據(jù)存儲設(shè)備、數(shù)據(jù)庫服務(wù)器

講了這么多，請允許小妹夾帶點私貨吧（抱拳），給大家隆重介紹下我正在負責(zé)的產(chǎn)品——綠盟安全配置核查系統(tǒng)（NSFOCUS BVS），下面是它的詳細介紹。

四、綠盟安全配置核查系統(tǒng)

首先來看下NSFOCUS BVS的歷史，10年前，企業(yè)經(jīng)常忽略安全配置問題，從而給企業(yè)帶來了很大的隱患，就像修建了堅固的城墻，但是忘記關(guān)城墻上的小門，導(dǎo)致攻擊者可以輕松的破門而入，造成不必要的財產(chǎn)損失。

一些管理者意識到了安全配置核查的重要性，開始用人工的方式逐一設(shè)備登錄進行檢查，以減少這類問題。綠盟科技也為其提供了相應(yīng)的安全配置檢查服務(wù)，并從中積累了大量經(jīng)驗；但是面對大量的IT系統(tǒng)，這種檢查方式需要的人力成本很高，失誤風(fēng)險也極大。因此，在2008年，綠盟科技為某運營商客戶編寫了自動化安全檢查工具，在使用中獲得了客戶的高度評價，在移動行業(yè)迅速推廣開來，形成了今天的綠盟安全配置核查產(chǎn)品——NSFOCUS BVS。

這十年來，NSFOCUS BVS不僅通過了測評機構(gòu)的資質(zhì)認證，還根據(jù)國家信息安全等級保護管理辦法中等級保護定級、系統(tǒng)建設(shè)、等級測評、監(jiān)督檢查各個環(huán)節(jié)的要求，推出了綠盟科技等保專用規(guī)范，完善了產(chǎn)品操作功能，保障等級保護工作高效準(zhǔn)確執(zhí)行，并且根據(jù)2018年推出的等級保護2.0做了同步更新。在此基礎(chǔ)上，綠盟科技深耕不同行業(yè)，積累實踐了多個行業(yè)的安全配置經(jīng)驗，擁有完善的安全配置知識庫，覆蓋政府、金融、能源、運營商、互聯(lián)網(wǎng)等大型企業(yè)，能全面的指導(dǎo) IT 信息系統(tǒng)的安全配置及加固工作，保障安全運維過程。

NSFOCUS BVS 通過自動化的進行安全配置檢查，從而節(jié)省傳統(tǒng)的手動單點安全配置檢查的時間，并避免傳統(tǒng)人工檢查方式所帶來的失誤風(fēng)險，同時能夠出具詳細的檢測報告。它可以大大提高您檢查結(jié)果的準(zhǔn)確性和合規(guī)性，節(jié)省您的時間成本，讓檢查工作變得簡單，是您身邊專業(yè)的“安全配置專家”。

NSFOCUS BVS 采用模塊化設(shè)計，內(nèi)部整體工作架構(gòu)如下圖所示。

五、總結(jié)

SCA的介紹告一段落了，是不是對其有了一個全面的了解，同時，小妹在最后還是要送給大家一些干貨。以下是我收集的近幾年因為SCA問題引起的重大安全事件，分享給大家：

1.2017年，美國工業(yè)關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)泄露

德州電氣工程公司的Rsync服務(wù)器由于配置錯誤（一個端口配置為互聯(lián)網(wǎng)公開），大量客戶機密文件泄露，包括戴爾Dell、奧斯丁城City of Austin、甲骨文Oracle以及德州儀器Texas Instruments等等。泄露的數(shù)據(jù)除了暴露出客戶電氣系統(tǒng)的薄弱環(huán)節(jié)和故障點外，還揭露了政府運營的絕密情報傳輸區(qū)的具體位置和配置。更危險的是，PQE內(nèi)部密碼被明文保存在文件夾中，如果落入不法分子之手，就能輕易攻破公司的多個系統(tǒng)。

2.2016年, MBS數(shù)據(jù)泄露

知名數(shù)據(jù)庫及數(shù)據(jù)存儲服務(wù)提供商MBS，遭到黑客攻擊。其MongoDB數(shù)據(jù)庫由于默認配置,沒有啟用認證，導(dǎo)致5800萬商業(yè)用戶的重要信息泄露，包括名稱、IP地址、郵件賬號、職業(yè)、車輛數(shù)據(jù)、出生日期等信息。

3.2014年,某在線票務(wù)公司數(shù)據(jù)泄露

某在線票務(wù)公司大量用戶銀行卡信息泄露。泄露核心原因是安全支付的日志配置所引發(fā),并且觸發(fā)了遍歷下載。

根據(jù)OWASP的2017年報數(shù)據(jù)顯示,安全事件Top10當(dāng)中,安全配置問題排在了第六的位置，再一次強調(diào)了它的重要性。

資料來源：OWASP（2017年）

最最最后還是要總結(jié)一下：

安全配置合規(guī)性要求，是 IT 業(yè)務(wù)系統(tǒng)安全性的基本安全要求，對各行各業(yè)安全規(guī)范要求的落地、對等級保護要求的具體化，建立行之有效的檢測手段是安全管理人員面臨的最為重要和迫切的問題，也需要安全廠商積極提供自動化的解決方案，幫助運維人員面對網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的設(shè)備和軟件環(huán)境，快速、有效的檢查設(shè)備，進行自動化的安全檢查，制作風(fēng)險審核報告，并且最終識別那些與安全規(guī)范不符合的項目，以達到整改合規(guī)的要求。

通過對SCA的詳細了解，不禁要為SCA瘋狂打call。簡單粗暴的一句總結(jié)：把基礎(chǔ)做好才是真的好。也歡迎大家和我討論SCA相關(guān)問題，我們下一篇再會。

新聞名稱：何為SCA？聽聽一枚產(chǎn)品汪的純干貨分享
網(wǎng)站路徑：http://fisionsoft.com.cn/article/cocihsi.html

新聞中心

其他資訊