终端安全求生指南（二）--软件发现

软件发现

发现准则：

A、***都会搭建***表面最脆弱的地方，例如老版本的SSH或者Apache；

B、什么是你不知道的，什么就会伤害你；删除/关闭你不需要的特殊软件包，清楚授权的实际使用情况，可有助你花费较少的授权费用；

C、缺乏备份将导致kinddom waslost;备份资产将有助于减少你的恢复开销。

BOOT CAMP

1、建立完整的资产列表：可以采用资产发现或者脆弱性管理工具，例如tripwire asset discovery or tripwire ip360,或者excel,免费的数据库记录安装在终端上的授权软件；

2、扫描你的网络：扫描开放的端口与服务；

3、终端角色扮演：明确终端角色，例如一台服务器不需要安全word，一个工作站不需要运行WEB服务，会计不需要visio；针对每个机构和商业单元，需要有一份针对硬件设备所需的授权的软件清单；

4、越少越安全：软件安装越少越安全。

ADVANCED TRAINING

5、文件完整性监控与安全配置管理：现在你有了准确的终端硬件以及安装其上面的软件清单，下一步就是确保授权更改；要到实现这个目标，你需监控终端来确保配置的完整以及减少针对已知良好状态的"drift"；抓住并补救未经授权的改变将会帮助你快速地识别破坏；一些产品，例如像tripwire enterprise，拥有牛逼的监视器依托于高级的能力，例如自动修复，详细的更改日志，依照合适的环境区别好与坏的改变；

6、白名单机制；一个非法端口将是最好地违反策略和最差的IOC；我们家的产品可以识别在终端上运行的端口和服务，并且监控正在使用的未授权的端口，你可以发起自动告警和修复功能，当一个未授权的服务出现并且运行；

7、异常处理：每个组织单位都有一些遗留的应用和一次性的资产名单，并且这些玩意儿不好保障其安全，针对这些东西，你需要有一个明确的清单，知晓哪些人拥有这些资产，并且他们是如果使用的；使用一些轻量级的安全防护手段去保障他们的安全也是非常必要的；

COMBAT READY

8、电网：目前你知道有哪些需要运行在你的每个资产类型，你可以开始识别未授权的应用，比如端口，未授权的应用，因此快速地找到他们是非常重要的，当你的终端检测方案识别一个未授权的应用，审查是非常重要的，因为他可能是破坏的一部分，好消息是，一旦你定义了授权软件，通过消除过程来定义未授权的软件要简单得多。

9、自动化：你的环境不是静态的，你日常需要更新你的终端软件清单使用完整性监视器和白名单文件来保证准确性。确保老旧的软件退役、针对新的软件进行细致的兼容性与政策复合性审查是明智的。当你的组织升级，你的终端、人数会发生改变，这些改变需要统一融合进一个能够分辨出好的设备和配置的基准线，这样可以帮助你识别坏点。

10、告警：开始加入告警当未授权软件在你的环境当中发现时，防护门，例如PALO ALTO网络的下一代防火墙，可以识别穿透防护门的应用。我们家的 IP360在盘点安装在终端上的应用上是非常牛X的；

11、一体化性：一旦你有个人的安全工具可以地为你效劳，通过你的安全堆栈找寻一些方法进行补充，一体化通过ITSM,SIEM,GRC,FIM可以使工作流自动化，保存有效的时间与资源，集成化可以让在不通安全控制之间进行信息关联变得可能，这将有助于提高威胁检测与响应的准确性与时效性；