企业如何从连续安全监控中获益

尽管2013年美国出现政府关闭、债务上限、预算谈判和持续的政治作秀等状况，一个庞大而昂贵的政府项目已经在最近几周开始稳步部署。

不受实事影响，在收到1.5亿美元的初始分配资金后，美国总务管理局与国土安全局(DHS)已经开始部署被称为连续诊断和缓解(Continuous Diagnostics and Mitigation，CDM)的项目。对于这个项目，很多不隶属于政府的实体更为熟悉的名字是连续安全监控，该项目的目标是利用最新技术和标准化政策，对联邦政府最重要的网络资源部署连续监控。

企业可以从政府的工作中学习到很多经验。本文中让我们进一步深入这个连续安全监控的概念，并探讨你的企业如何可以从这种部署中获益。

CDM和CSM含义

CDM项目是一种采购协议，它帮助几十家私营联邦政府机构采购产品来部署连续安全监控(CSM)，以融入DHS设计的架构。虽然该协议有60亿美元的上限，个别机构仍然需要根据协议自己筹集资金来购买产品。

简单地说，CSM是指不断检查企业中最重要的网络资源。这个术语中使用的“连续”的含义是，某些资产将被全天候监控，当发生任何异常情况时，预警机制将会通知系统管理员。虽然事实上，CSM已经存在了相当一段时间了，但直到最近才出现专门的术语。

多年来，企业的网络安全策略是通过部署各种入侵防御/检测系统(IDS/IPS)与某种日志记录机制来监控和保护网络。然而，随着安全专业人员和企业网络的不断进步，企业开始构建和部署更全方位的解决方案。到现在，不仅仅是联邦政府，很多企业都开始倡导和支持成熟的CSM解决方案。

通过CDM项目，DHS的重点是让政府机构部署六步CSM过程：安装和更新网络扫描传感器、自动化搜索已知系统漏洞、收集扫描结果、会审和分析结果、缓解最大或最严重的漏洞，以及报告进展情况。其目的是让私营机构在72小时传感器部署中充分诊断其网络。

虽然这一项目是否会成功还有待观察，但这是受大型购买协议支持的“雄心勃勃”的项目。如果成功的话，这将显著帮助联邦政府机构提高信息安全性。SANS研究所的Alan Paller在描述该项目的潜力时表示，CDM“将会改造网络安全工具的蓝图，关键基础设施和其他企业将从中学习到的经验教训，帮助他们优化网络安全支出以及停止浪费更多钱购买高价位低效率工具。”

企业CSM：起步

那么，民营企业如何跟随政府的步伐来部署这种连续安全监控呢?虽然决策者可以从赛门铁克、Tenable、TripWire、FireMon等供应商选购各种商业监控产品，但事实上，大多数企业网络已经有一些必要的工具来开始部署CSM。然而，在讨论工具之前，让我们看看CSM规划过程的一个重要部分：设备分类。

在部署连续监控系统之前，企业必须决定哪些网络组件和网段应优先用于连续监控。部署传感器和解释结果的资源都很有限，所以企业应该采取基于风险的做法来部署CSM。首先应该从数据敏感度和/或任务关键性最高的关键资产开始。其中，包含关键资产数量最多的网络是CSM初始部署的首要目标。从那里，你可以继续使用基于风险的方法利用可用的资源扩大你的部署到其他网段。

企业CSM工具：利用你现有的设备

在考虑哪些现有工具可用于连续安全监控时，请注意，这些工具不能作为专用CSM系统的长期替代方案，而只是暂时替代。如果企业已经有IDS/IPS、漏洞管理产品、网络枚举解决方案和某种类型的网络日志记录机制，就已经可以部署一个简单的CSM系统。

当涉及IDS时，一个流行的开源工具是Sourcefire(现在已归思科公司所有)的Snort。这个广受欢迎的产品提供了非常灵活的规则管理系统，使你可以从社区更新，并补充你自己的自定义脚本规则来监控你的网络上的状况。

网络枚举

另外一个经常被忽略的CSM部分是网络枚举。对于现在企业网络内日益流行的携带自己设备到工作场所(BYOD)策略，这尤为重要。简单地说，你很难连续监控你不知道其存在的东西。虽然网络枚举工具有多种多样，我们知道一个非常受欢迎的易于使用的经过时间检验的开源工具是Nmap。市面上有很多针对Nmap的不同的图形用户界面，但Nmap的核心是一个命令行工具，很像Snort，具有很强的可编写脚本性。例如，如果系统管理员知道其内部网络IP范围是10.0.0.0/16，那么，为了定位该网络范围内的每台设备，他们应该键入以下命令：

nmap 10.0.0.0/16 >> mytextfile.txt

这个命令可以告诉Nmap工具定位给定子网内的每台设备，并输出节点信息到文本文件，这将帮助系统管理员更好地识别所有网络设备。

日志记录：没有它的话，CSM不会成功

对于连续安全监控，最后也许是最重要的方面是日志记录。日志提供了有关系统和网络上的活动的重要审计线索，使安全专业人员可以重新建构可能导致安全事故的事件。日志分析工具可以检测问题并找出不可能被发现的问题。例如，对于通过直接登录到敏感机器而没有产生网络流量的内部攻击，日志分析可能是唯一的安全信息来源。

与网络枚举工具一样，日志记录工具也是多种多样的，但可以肯定地说，现在企业中有一个非常流行(如果说不是最流行)的日志记录机制是Linux服务—syslog。由于syslog具有高度可编写脚本性，并且具有非常细粒度的数据收集水平，很多企业发现他们可以很容易地调整其日志记录功能来满足其特定需求。例如，如果系统管理员想发送所有Snort警报到syslog服务器，他们会浏览到etc/snort/snort.conf 并在配置文件末尾增加以下命令：

output alert_syslog:host=10.0.0.1:514, LOG_AUTH LOG_ALERT

上述命令的前提是，该syslog服务器的IP地址是10.0.0.1，并且它正在监听UDP端口514。当系统管理员配置警报来记录异常入站和/或出站连接、在本地网络中插入新设备或管理员认为值得警惕的其他网络事件时，这个命令特别有用，并具有高度可扩展性。

结论

连续安全监控正在联邦政府和私营部门内获得推动力。国土安全局的CDM举措为联邦政府用户提供了一个共同的框架，并概述了适合各行各业企业的部署方法。这个框架的可用性，以及CDM采购协议(各种安全监控工具)应该会推动联邦政府内的部署。并且，联邦政府的举措很可能会推动私营企业，在整个公共和专用网络内给安全基础设施部署带来一种新的紧迫感。