在網(wǎng)絡(luò)安全領(lǐng)域,合規(guī)常常被視為安全的代名詞,但實則不然。許多企業(yè)陷入“勾選框合規(guī)”的陷阱,忽視了安全的本質(zhì)。CISO們發(fā)出警示:合規(guī)只是安全的基線,而非最終目標(biāo)。那么,如何從合規(guī)思維轉(zhuǎn)向更具韌性的安全思維呢?
對于許多CISO來說,合規(guī)可能感覺像是一種必要的惡,并帶來一種虛假的安全感。雖然ISO 27001、SOC 2和PCI DSS等框架提供了結(jié)構(gòu)化的指南,但它們并不自動等同于強大的網(wǎng)絡(luò)安全。挑戰(zhàn)在哪里呢?許多企業(yè)專注于勾選合規(guī)選項,而不是確保其控制措施的有效性。
問題不在于合規(guī)本身,而在于心態(tài)。安全團隊常常為了通過審計而匆忙準(zhǔn)備,一旦文件簽署完畢,就一切如常。事實是,監(jiān)管的勾選標(biāo)記并不能阻止勒索軟件攻擊、內(nèi)部威脅或供應(yīng)鏈妥協(xié)。實際上,近年來一些最高調(diào)的數(shù)據(jù)泄露事件就發(fā)生在那些技術(shù)上合規(guī)但遠非安全的企業(yè)身上。
每位CISO都應(yīng)該問一個關(guān)鍵問題:“如果明天合規(guī)要求消失了,我的公司還會安全嗎?”
“合規(guī)是衡量特定要求進展的有用工具,但它不是安全方面的終點線。它是一個容易談?wù)摰脑掝},因為與合規(guī)相關(guān)的事情總是出現(xiàn)在新聞中——我從未讀過一篇文章或看過一份報告(在主流、非技術(shù)媒體中)談?wù)揘IST 800-53或CIS關(guān)鍵安全控制等框架。當(dāng)發(fā)生數(shù)據(jù)泄露時,報告關(guān)注的是被竊取或訪問的記錄或數(shù)據(jù)數(shù)量,或隱私侵犯(即HIPAA)。通常不會提及MITRE ATT&CK框架和泄露期間使用的戰(zhàn)術(shù)、技術(shù)和程序(TTPs),”Fortra的首席安全和風(fēng)險官Chris Reffkin告訴記者。
合規(guī)陷阱:公司出錯的地方
CISO們知道安全和合規(guī)不是一回事,但高管和董事會成員并不總是這么看。這就是企業(yè)陷入“勾選框合規(guī)”陷阱的地方:
一次性安全:許多公司將合規(guī)視為一年一度的事件,而非持續(xù)的過程。這會在審計之間留下安全控制降級或未受監(jiān)控的空白期。
過度依賴第三方審計師:通過外部審計并不意味著你的安全就堅不可摧。一些審計師只驗證文檔,而不是測試實際有效性。
拘泥于法律條文,而非法律精神:僅僅因為一家公司技術(shù)上符合法規(guī)要求,并不意味著它就安全。例如,實施多因素認證(MFA)但允許容易繞過的推送疲勞攻擊,這不是真正的安全,而是合規(guī)作秀。
忽視人為因素:合規(guī)框架通常強調(diào)技術(shù)控制,但大多數(shù)數(shù)據(jù)泄露仍涉及人為錯誤。很少強制要求安全意識培訓(xùn)和真正的行為改變,導(dǎo)致安全文化薄弱。
缺乏持續(xù)監(jiān)控和適應(yīng):合規(guī)規(guī)則通常是靜態(tài)的,而威脅卻在不斷演變。如果一個企業(yè)只是做要求做的事情,而不是主動調(diào)整安全措施,那么它已經(jīng)落后了。
Reffkin解釋說,關(guān)于如何最好地將合規(guī)與“良好的安全實踐”相結(jié)合的建議將取決于你的企業(yè)、其威脅狀況、風(fēng)險承受能力和業(yè)務(wù)性質(zhì)。然而,他建議了三件事:
- 首先,與你的網(wǎng)絡(luò)保險承運商交談。大多數(shù)承運商都有不錯的診斷評估來評估潛在被保險實體面臨的網(wǎng)絡(luò)威脅潛在暴露(即風(fēng)險)。而且作為額外福利,保險公司基于概率和潛在暴露來提出問題,因為這是他們評估風(fēng)險并最終賺錢的方式。
- 其次,利用現(xiàn)有的安全標(biāo)準(zhǔn),看看你的安全和IT能力如何對齊(例如CIS、CSF等)。一般來說,所有安全標(biāo)準(zhǔn)都會映射到大多數(shù)合規(guī)和監(jiān)管框架,因此你將能夠看到合規(guī)與更以安全為中心的框架之間的差距。
- 第三,根據(jù)你的項目成熟度,聘請安全顧問進行評估。這可能包括對你的項目進行一般性的安全審查,或進行滲透測試或紅隊演練。如果你已經(jīng)完成了工作并構(gòu)建了一個項目,那么是時候獨立測試它了。
CISO如何從合規(guī)思維轉(zhuǎn)向韌性思維
1. 將合規(guī)視為安全的基線,而非最終目標(biāo)
合規(guī)應(yīng)被視為起點,而非終點。構(gòu)建超出監(jiān)管要求并適應(yīng)新威脅的安全策略。
示例:不要僅僅因為PCI DSS要求就加密敏感數(shù)據(jù),而要實施零信任原則來限制數(shù)據(jù)訪問并減少暴露。
2. 實施持續(xù)的安全驗證
定期測試和驗證安全控制,超出合規(guī)檢查的范圍。這包括:
- 紅隊演練以模擬真實世界的攻擊。
- 自動化安全測試(例如攻擊路徑模擬)。
- 行為監(jiān)控以實時檢測異常。
示例:不要僅僅為了合規(guī)而記錄安全事件,而要積極使用SIEM和XDR在威脅造成損害之前進行威脅追蹤。
3. 改變與董事會的合規(guī)對話
許多高管將“合規(guī)”等同于“安全”。CISO需要重新構(gòu)建這些討論,以突出真正的風(fēng)險暴露,而不僅僅是監(jiān)管狀態(tài)。
示例:不要報告“我們100%符合SOC 2”,而要說“我們符合合規(guī)要求,但我們最大的安全漏洞是X、Y和Z。這是我們需要修復(fù)的地方。”
4. 將合規(guī)與業(yè)務(wù)風(fēng)險對齊
法規(guī)的存在是為了減輕風(fēng)險,但它們并不能涵蓋所有風(fēng)險。將合規(guī)工作與業(yè)務(wù)風(fēng)險對齊,以確保安全投資提供保護。
示例:如果你的公司處理AI驅(qū)動的數(shù)據(jù)處理,合規(guī)框架可能不會涉及AI模型安全,但攻擊者仍會將其作為目標(biāo)。即使法規(guī)尚未要求,也要解決安全漏洞。
5. 將安全文化作為優(yōu)先事項
安全意識培訓(xùn)不應(yīng)是一項勾選框任務(wù)。不要進行一年一度的通用培訓(xùn),而要專注于持續(xù)、引人入勝和適應(yīng)性的安全教育。
示例:超越釣魚模擬,實施基于行為的培訓(xùn),根據(jù)員工反應(yīng)和風(fēng)險水平進行適應(yīng)。
