第16章 安全管理运营

Security operations includes foundational concepts and best practices.

安全运营包括基础概念和最佳实践。

本章不是单个技术点，而是把安全原则变成每天能执行的运营制度。

Security Operations 关注持续运行、资产保护、配置、变更和人员安全。

Resource protection ensures information and assets are securely provisioned.

资源保护确保信息和资产被安全供应。

资源从部署开始，到使用、维护、退役，都要按安全方式处理。

provisioning 和 lifecycle 是资源保护常见关键词。

Configuration management ensures systems are configured correctly.

配置管理确保系统被正确配置。

系统要有已知安全基线、文档和可重复配置。

CM 与 baselining、imaging、automation 相关。

Change management protects against outages from unauthorized changes.

变更管理防止未经授权变更造成中断。

变更要申请、评审、批准、测试、排期、实施和记录。

未经授权变更常导致停机、漏洞和责任不清。

Patch and vulnerability management controls keep systems up-to-date.

补丁和漏洞管理控制使系统保持更新。

已知问题要持续识别、排序、修复和复测。

patch management 与 vulnerability management 常交织。

Personnel safety concerns are essential in security operations.

人员安全是安全运营的重要元素。

数据和设备可以替换，人不能替换。安全设计不能牺牲人员生命安全。

personnel safety always high priority。

Due care and due diligence refer to reasonable ongoing protection.

尽职关怀和尽职调查指持续采取合理保护措施。

管理层要证明自己持续合理地保护组织资产。

due care/due diligence 与管理责任相关。

Periodic audits and reviews demonstrate due care and due diligence.

定期审计和审查能体现尽职关怀和尽职调查。

运营控制要能被检查、被记录、被改进。

安全运营不是一次性项目。

Need-to-know grants access only to data needed for work tasks.

需知原则只授予完成工作任务所需的数据访问。

有秘密级许可，不代表能看所有秘密级数据。还要工作确实需要。

Need-to-Know 重点保护 confidentiality。

Clearance does not automatically grant access to all data.

许可不会自动授予对所有数据的访问。

Sally 有 Secret clearance，也只能访问与岗位相关的 Secret 数据。

clearance + need-to-know 才能访问。

Least privilege grants only privileges necessary to perform tasks.

最小权限只授予完成任务所必需的权限。

权限包括数据读写，也包括执行系统任务的权利。

Least Privilege 既保护机密性，也保护完整性。

Least privilege relies on well-defined job descriptions.

最小权限依赖清晰的岗位描述。

不知道一个人职责是什么，就很难判断他需要哪些权限。

job description 是最小权限的前提。

Least privilege also applies to applications and processes.

最小权限也适用于应用和系统进程。

服务账号不该默认给全管理员权限。应用被攻陷时会继承账号权限。

service account + least privilege 是高频组合。

SoD ensures no single person has total control over a critical function.

职责分离确保没有单人完全控制关键功能。

审批和付款分给不同人，降低单人欺诈风险。

SoD 也叫 separation of duties。

Two-person control requires approval of two individuals.

双人控制要求两个人批准。

银行保险箱两把钥匙、关键决策两人批准，都是双人控制。

two-person control 又叫 two-man rule。

Split knowledge divides information among users.

知识分割把信息分给多个用户掌握。

把密码或关键材料拆开，单人无法独自完成敏感操作。

split knowledge = SoD + two-person control 的组合思路。

Job rotation means employees rotate through jobs.

岗位轮换指员工在不同岗位之间轮换。

别人接手你的工作，就能发现长期隐藏的异常或欺诈。

job rotation 提供 peer review 和 cross-training。

Job rotation provides peer review, reduces fraud, and enables cross-training.

岗位轮换提供同伴复核、减少欺诈并促进交叉培训。

组织不再过度依赖单个人，也降低单人长期作恶机会。

deterrent + detection mechanism。

Mandatory vacations help detect fraud and collusion.

强制休假有助于发现欺诈和串通。

一个人离岗一两周，别人接管职责，异常更容易暴露。

mandatory vacation 常用于金融等高欺诈风险环境。

PAM restricts access to privileged accounts or detects elevated privilege use.

PAM 限制特权账号访问或检测提升权限使用。

特权账号可以做高影响操作，必须限制、审批、监控和审计。

PAM = privileged account management。

Privileged accounts include administrator and elevated privilege accounts.

特权账号包括管理员和拥有提升权限的账号。

本地管理员、Domain Admin、Enterprise Admin、root、sudo 都是重点。

help desk 的有限特权账号也可能属于 privileged accounts。

Just-in-Time administration grants time-limited elevated privileges.

JIT 管理授予有时间限制的提升权限。

用户平时无高权限，真正需要时申请短时间票据，过期自动失效。

JIT 缩短攻击者可用票据和权限窗口。

Privileged account management monitors actions taken by privileged accounts.

特权账号管理监控特权账号采取的操作。

创建账号、改路由、改防火墙、访问日志都要被监控。

监控特权操作可威慑、发现滥用，也可发现 APT 行为。

Trusted employees can abuse privileges.

受信员工也可能滥用特权。

特权不等于不需要审计，越高权限越要可见可追踪。

PAM 与 least privilege、SoD、monitoring 联合使用。

Organizations use SLAs to specify availability and performance.

组织使用 SLA 指定可用性和性能。

SLA 可以写清正常运行时间、停机时间、响应时间和服务水平。

SLA 常含 penalties。

Organizations should have clear requirements with third parties.

组织与第三方合作时应明确自身需求。

不知道自己需要什么，就很难写出可执行的 SLA。

外包前先定义要求。

MOUs document the intention of two entities to work together.

MOU 记录两个实体合作的意向。

它比 SLA 不正式，通常不包含未履约的金钱惩罚。

MOU less formal than SLA。

It is not possible to replace people.

人是不可替代的。

火灾断电时，出口锁应该保障人员能逃生，而不是只保护设备。

personnel safety over physical assets。

Duress systems raise alarms when personnel are working alone.

胁迫系统在人员独自工作时可发出警报。

按钮、静默报警、暗号或特殊门禁码都可用于求救。

duress = distress call / silent alarm。

Travel presents unique risks to employees.

出差给员工带来独特风险。

设备丢失、恶意软件安装、免费 Wi-Fi 拦截、假冒酒店服务都要培训。

travel security 包含设备、数据、身份和网络风险。

Emergency management plans help respond to disasters.

应急管理计划帮助应对灾难。

人员遇到紧急情况时，要知道联系谁、怎么撤离、怎么报告。

emergency management 属于 personnel safety。

Training and awareness should address insider threat, social media, and 2FA fatigue.

培训意识应覆盖内部威胁、社交媒体和 2FA 疲劳。

安全运营中的人也需要持续训练，不只靠技术控制。

2FA fatigue 是现代意识培训点。

The data owner has ultimate organizational responsibility.

数据所有者承担最终组织责任。

通常是高级经理、部门负责人或业务负责人，对数据保护负责。

owner 负责最终责任，可委派任务但不转移责任。

Data custodians perform daily protection tasks.

数据保管者执行日常保护任务。

比如配置访问控制、执行备份、管理数据存储。

custodian 是执行者，不是最终所有者。

Asset management manages tangible and intangible assets.

资产管理管理有形和无形资产。

硬件软件是有形资产，专利、版权、商誉也是需要保护的无形资产。

tangible / intangible 都要进资产管理。

Inventories track hardware through the equipment life cycle.

清单跟踪硬件整个设备生命周期。

条码、序列号、型号、位置和负责人帮助追踪资产。

inventory 是资产管理基础。

A CMS helps with hardware asset management and configuration checks.

CMS 有助于硬件资产管理和配置检查。

它连接系统检查配置，也能确认系统仍在网络中。

CMS 主要目的仍是 configuration management。

Media is anything that can hold data.

介质是任何能够保存数据的载体。

磁带、光盘、USB、硬盘、SSD、手机、内存卡和打印件都算。

media 不只 backup tapes。

Sensitive media should be stored securely with strict access controls.

敏感介质应在严格访问控制下安全存储。

温湿度、物理安全、运输安全和加密都很重要。

介质管理保护 CIA。

USB flash drives risk malware infections and data theft.

USB 闪存有恶意软件感染和数据盗取风险。

可限制品牌、启用加密、集中管理、记录使用或禁止使用。

USB 控制是介质保护常见例子。

Organizations should keep at least two copies of backups.

组织应至少保留两份备份。

一份本地便于快速使用，一份异地防止灾难损毁主站点。

off-site backup storage 是灾难恢复基础。

Cloud resources outside the organization are outside direct control.

组织外部云资源不在组织直接控制之下。

方便不等于风险消失，反而要明确责任边界。

cloud outsourcing does not outsource responsibility。

Organizations should formally define requirements to store and process cloud data.

组织应正式定义云中存储和处理数据的要求。

要明确数据分类、位置、加密、访问控制、日志、保留和销毁要求。

云中敏感数据要求必须书面化。

Customers should manage encryption and control keys.

客户应管理加密并控制密钥。

客户控制密钥可降低供应商内部威胁，并支持加密擦除。

cryptographic erase = 删除密钥使数据不可访问。

SaaS provides fully functional applications via a browser.

SaaS 通过浏览器提供完整功能应用。

供应商负责最多，客户重点管理数据、身份和使用配置。

SaaS 中 CSP 责任最多。

PaaS provides a computing platform.

PaaS 提供计算平台。

供应商管理平台，客户管理应用代码、数据和部分配置。

PaaS 位于 SaaS 和 IaaS 之间。

IaaS provides servers, storage, and networking resources.

IaaS 提供服务器、存储和网络资源。

客户要管理操作系统、应用、数据、补丁和配置更多内容。

IaaS 中客户责任最多，CSP 责任最少。

Serverless lets customers focus on code logic while CSP manages platform.

无服务器让客户关注代码逻辑，平台由 CSP 管理。

底层仍有服务器，只是客户不直接管理服务器参数。

Serverless 也称 FaaS。

Elasticity dynamically responds to changing workload requirements.

弹性动态响应变化的工作负载需求。

负载升高自动增加资源，负载降低自动移除资源。

elasticity 通常自动；scalability 不一定自动。

Configuration management ensures systems are configured similarly and documented.

配置管理确保系统配置相似并被记录。

同类系统不应每台都不一样，否则很难排错、审计和防护。

CM = known and documented configurations。

Secure provisioning ensures resources are deployed securely.

安全供应确保资源被安全部署。

新系统上线前就要按基线配置，而不是上线后再慢慢补。

provisioning 与 baselining 相关。

Baselining ensures systems are deployed with a common baseline.

基线化确保系统使用通用基线部署。

基线是安全起点，包含补丁、配置、账号、服务和安全设置。

baseline = common secure starting point。

Imaging is a common baselining method.

镜像是常见基线化方法。

用标准镜像快速部署一致系统，减少手工差异。

imaging 与 baseline 常一起考。

Automation helps deploy configurations consistently.

自动化帮助一致部署配置。

脚本、配置管理工具和模板能减少人工误差。

automation 是 CM 的现代实践。

Configuration documentation identifies current configurations.

配置文档标识当前配置。

记录负责人、用途、当前配置和所有基线变化。

文档如果只在系统内，系统宕机时可能不可用。

Versioning tracks changes over time.

版本控制随时间跟踪变化。

用 1.0、1.1、2.0 或标签记录软件和配置变化。

无版本控制，变更破坏系统后难以定位。

CMS can verify systems are still on the network and turned on.

CMS 可验证系统仍在网络中并处于开机状态。

配置管理系统也能帮助硬件资产清单。

CMS 既支持 CM，也能辅助资产管理。

Change management reduces outages from unauthorized changes.

变更管理减少未经授权变更造成的中断。

许多事故不是攻击造成，而是没人控制的改动造成。

unauthorized change 是 outage 和 weakened security 来源。

Request the change.

提交变更请求。

说明目的、范围、影响、实施方案和回退方案。

change must start with documented request。

Experts review the change.

专家审查变更。

业务、安全、运维、合规等角色共同评估风险、成本和收益。

复杂变更可由 CAB 审查。

Experts approve or reject the change and document the response.

专家批准或拒绝变更并记录响应。

批准人、条件、原因和实施要求都要记录。

approval/rejection must be documented。

The change should be tested, preferably on a nonproduction server.

变更应被测试，最好在非生产服务器上测试。

先确认不会破坏功能、性能、兼容性和安全。

test before production implementation。

The change is scheduled to minimize impact.

变更应排期以最小化影响。

选择维护窗口或低峰时间，并通知相关方。

schedule and implement with least impact。

A rollback or backout plan returns the system to original condition.

回退计划把系统恢复到原始状态。

如果变更失败，要能快速恢复，避免长时间中断。

rollback/backout plan 是重要变更控制。

Changes should be documented.

变更应被文档化。

配置文档、版本记录、拓扑和 CMDB 都要反映变更。

change management 与 configuration documentation 互相依赖。

Patch management ensures appropriate patches are applied.

补丁管理确保适当补丁被应用。

不是看到补丁就直接上生产，而要评估、测试、批准、部署和验证。

patch management includes evaluate, test, approve, deploy。

Patch management applies to any device with an operating system.

补丁管理适用于任何带操作系统的设备。

不只工作站和服务器，路由器、交换机、防火墙、打印机也可能要打补丁。

network devices and appliances also need patching。

Patch Tuesday is the regular monthly patch release schedule.

补丁星期二是定期每月补丁发布时间。

固定发布时间便于管理员规划测试和部署。

Patch Tuesday / Update Tuesday 要能识别。

Attackers know many organizations do not patch right away.

攻击者知道许多组织不会马上打补丁。

补丁发布后，未及时修复的系统风险会上升。

Exploit Wednesday 表示补丁发布后的快速风险窗口。

Vulnerability management identifies, evaluates, and mitigates vulnerabilities.

漏洞管理识别、评估并缓解漏洞。

目标不是消灭所有漏洞，而是优先处理最大风险。

routine scans + periodic assessments 是常见组成。

Residual risk remains after applying a control.

残余风险是在应用控制后仍存在的风险。

管理层可以选择接受某些残余风险，但要记录和负责。

residual risk losses are management responsibility。

CVE provides a standard convention to identify vulnerabilities.

CVE 提供识别漏洞的标准约定。

补丁和漏洞工具常用 CVE 统一指代具体漏洞。

MITRE maintains CVE database。

Vulnerability assessments extend beyond technical scans.

漏洞评估超越技术扫描。

它也可包括审查和审计，发现配置、流程或业务层面的弱点。

scan 是技术发现，assessment 范围更广。