何为SCA？听听一枚产品汪的纯干货分享

5. Tripwire

资料来源：Tripwire官网

根据法规遵从性要求, 减少攻击表面的主动配置硬化。减少审核准备时间和成本, 并提供审核报告和符合性证明。Tripwire拥有最大和最广泛的支持策略和平台的库, 其中包含800多个策略, 并涵盖了一系列平台 OS 版本和设备。Tripwire企业经常更新, 以确保您始终有您需要的覆盖范围。

关键配置错误需要立即纠正措施。Tripwire自动化并引导您快速修复不兼容的系统和安全错误。您可以通过与 SIEMs、IT GRC 和更改管理系统的集成来自动化工作流。调查和根本原因特征和比较快速地告诉您需要知道的：什么改变了, 如何改变的, 什么时候改变的和由谁改变的。

在对各个厂商提供的功能有所了解后，接下来对SCA的主要使用场景进行探讨，分成两个方面：传统应用场景和新技术应用场景。

传统应用场景包括合规，脆弱性管理。新技术应用场景比如工控，物联网（包括IOT），云平台，容器，区块链，以及Cloud Security Posture Management (CSPM)(配置检查+CWPP)中，以下是具体介绍。

三 、SCA的应用场景

1.传统场景下的应用

1）合规中的SCA

合规并不是仅满足法律法规的要求，而是要在遵循法律法规的基础上，关注各种规则、规范，同时协调好各方面的关系。合规中的SCA可以通过选择对应的模板——进行对比分析——给出符合性结果——根据结果得出一个是否合规的结论，也包括整改方案。

国内信息安全领域常用的规范是等级保护。等级保护是《信息安全技术 网络安全等级保护基本要求》的简称，定义为对信息和信息系统分等级实行的安全保护和对信息系统中使用的信息安全产品实行的按等级管理。公安部也根据等保规范，制定了等保测评要求，等保1.0和等保2.0中涉及到SCA的部分要求对比如下：

国外也有许多规范，比如NIST,PCI DSS等，其中涉及到SCA的管理条例如下：

2）脆弱性管理中的SCA

系统脆弱性由安全基线来评估，系统实现层中的安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构成，这些检查项的覆盖面、有效性成为了基线安全实现的关键,如下图所示：

安全配置核查，也就是我们的SCA，主要的检查范围是由人为疏忽造成的配置问题，主要包括了账号、口令、授权、日志、IP通信等方面内容。安全配置与系统的相关性非常大，同一个配置项在不同业务环境中的安全配置要求是不一样的，如在WEB系统边界防火墙中需要开启HTTP通信，但一个WAP网关边界就没有这样的需求，因此在设计系统安全基线的时候，安全配置是一个关注的重点。

2.新技术中的应用

1）物联网（IOT）中的SCA

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!