合規(guī)性損害安全性的5種方式
很多安全性的任務(wù)在滿足監(jiān)管要求和降低風(fēng)險(xiǎn)方面并不一致。而一些專(zhuān)注于合規(guī)性的方法可能會(huì)破壞安全性。
從事IT安全業(yè)務(wù)的大多數(shù)人都知道合規(guī)性與安全性并不一樣。合規(guī)性是一種審計(jì)、文書(shū)工作、核對(duì)清單的心態(tài)和措施,而安全性是一種戰(zhàn)術(shù)性的、真實(shí)的網(wǎng)絡(luò)安全、降低風(fēng)險(xiǎn)的心態(tài)和措施。合規(guī)性主要確定是否及時(shí)應(yīng)用關(guān)鍵補(bǔ)丁管理程序,而安全性主要確定應(yīng)用哪些補(bǔ)丁以及何時(shí)應(yīng)用這些關(guān)鍵補(bǔ)丁,然后驗(yàn)證這些補(bǔ)丁是否已經(jīng)應(yīng)用。合規(guī)性可以幫助企業(yè)通過(guò)安全審核。安全性實(shí)際上可以為企業(yè)業(yè)務(wù)提供保護(hù)。
合規(guī)性與安全性的目標(biāo)應(yīng)該是一樣的:降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是,合規(guī)性是如此的糟糕,以至于人們不確定它對(duì)降低實(shí)際風(fēng)險(xiǎn)有多大作用。以下是五個(gè)原因:
1.合規(guī)性是二元性的
安全風(fēng)險(xiǎn)不是二元的,但合規(guī)性的問(wèn)題和答案是二元性的,也就是“是或否”。企業(yè)是這樣做的嗎?例如,大多數(shù)合規(guī)性的法規(guī)要求用戶設(shè)置8個(gè)字符或更長(zhǎng)的復(fù)雜密碼。盡管20個(gè)字符的非復(fù)雜密碼難以破解且更易于使用,但大多數(shù)組織中都無(wú)法使用。
另一個(gè)例子是,大多數(shù)法規(guī)要求實(shí)施在密碼輸入錯(cuò)誤一定次數(shù)后鎖定用戶賬戶的策略。如果密碼足夠長(zhǎng),那么不需要采用賬戶鎖定策略,而且也會(huì)降低風(fēng)險(xiǎn)。
增加默認(rèn)密碼的強(qiáng)度不會(huì)使用戶無(wú)法啟用賬戶鎖定。在某些情況下,賬戶鎖定策略會(huì)增加拒絕服務(wù)事件的風(fēng)險(xiǎn)。猜測(cè)密碼的蠕蟲(chóng)病毒通常會(huì)嘗試采用100個(gè)隨機(jī)密碼,這將鎖定其目標(biāo)客戶;蛘吆诳蜁(huì)破解一個(gè)在線門(mén)戶網(wǎng)站的密碼,并再次鎖定網(wǎng)站中的用戶。
2.合規(guī)性無(wú)關(guān)緊要
社交工程和網(wǎng)絡(luò)釣魚(yú)行為占到所有惡意攻擊行為的70%到90%,但在監(jiān)管指南中,用戶很難找到關(guān)于安全意識(shí)培訓(xùn)或社會(huì)工程的內(nèi)容。沒(méi)有打好補(bǔ)丁是第二個(gè)主要問(wèn)題,導(dǎo)致20%到40%用戶受到威脅。加密可以阻止一些攻擊,但它通常需要一些建議。
還有一些用戶認(rèn)為加密是其擔(dān)憂的最大問(wèn)題。法規(guī)并不是風(fēng)險(xiǎn)的衡量標(biāo)準(zhǔn),但如果用戶必須遵守大量對(duì)降低風(fēng)險(xiǎn)作用效果很小的事項(xiàng),而不是產(chǎn)生最大影響的事項(xiàng),那么這將面臨一個(gè)不平衡的問(wèn)題。
3.法規(guī)變化緩慢
當(dāng)出臺(tái)新的安全建議時(shí),很多規(guī)章制度都很難改變。在合規(guī)性文檔中,用戶會(huì)發(fā)現(xiàn)很多會(huì)提到防火墻、隔離區(qū)和軟盤(pán)。關(guān)于如何更好地保護(hù)云平臺(tái)交互、多因素認(rèn)證、勒索軟件、量子計(jì)算、密碼重用、第三方供應(yīng)商風(fēng)險(xiǎn)、國(guó)家級(jí)攻擊,以及供應(yīng)鏈管理,用戶需要很多安全信息。世界在不斷變化。IT安全在不斷變化,但對(duì)于法規(guī)而言并非如此。
4. 合規(guī)性總會(huì)獲勝
問(wèn)題是,當(dāng)安全性和合規(guī)性發(fā)生沖突時(shí),合規(guī)性總會(huì)獲勝。企業(yè)首席執(zhí)行官和企業(yè)主負(fù)責(zé)確保組織滿足所有合規(guī)性目標(biāo)。他們不想聽(tīng)到為什么必須提交審核例外的解釋?zhuān)驗(yàn)槠涿艽a比合規(guī)性指南所要求的更強(qiáng)大、更好,因?yàn)檫@樣做可能不符合大多數(shù)現(xiàn)行的合規(guī)性法規(guī)。很多企業(yè)正在努力確保合規(guī)性,并獲得真正的安全性。
5. 騙局和謊言
很多人都知道合規(guī)性是一種騙局。例如,很多法規(guī)都要求用戶備份關(guān)鍵系統(tǒng),并定期對(duì)其進(jìn)行測(cè)試。而在合規(guī)性審計(jì)中,被審計(jì)的企業(yè)都表示已經(jīng)進(jìn)行測(cè)試。事實(shí)是,幾乎沒(méi)有幾家企業(yè)這樣做,而遭遇勒索軟件攻擊之后,這種騙局才會(huì)揭穿。
大多數(shù)企業(yè)都會(huì)備份大多數(shù)關(guān)鍵系統(tǒng),但幾乎很少有企業(yè)會(huì)測(cè)試是否從這些備份中成功恢復(fù)。誰(shuí)會(huì)有這個(gè)時(shí)間?企業(yè)員工如何才能真正做到這一點(diǎn)?管理層并沒(méi)有為IT提供資源。他們不會(huì)關(guān)注這個(gè)問(wèn)題,直到出現(xiàn)問(wèn)題時(shí)為時(shí)已晚。此外,安全專(zhuān)家指出,99%的IT團(tuán)隊(duì)從未測(cè)試過(guò)備份系統(tǒng),定期測(cè)試控件也是如此。幾乎每家企業(yè)都聲稱已經(jīng)這樣做,但其實(shí)很少有哪家公司這樣做。
例如,每條規(guī)定都應(yīng)該及時(shí)更新所有關(guān)鍵補(bǔ)丁。但專(zhuān)家表示,很少有公司能夠完全更新補(bǔ)丁。很多企業(yè)認(rèn)為他們已完全更新了補(bǔ)丁,但真正含義是修補(bǔ)了所有的Microsoft補(bǔ)丁,其實(shí)即使更新了操作系統(tǒng)的所有補(bǔ)丁,服務(wù)器管理軟件也已過(guò)時(shí)。一些視頻編碼器已過(guò)期,安裝的一些服務(wù)器管理工具也已過(guò)時(shí)。這意味著它們可能包含通過(guò)遠(yuǎn)程接管服務(wù)器的漏洞。
很多企業(yè)告訴安全審計(jì)人員,更新了99%的補(bǔ)丁,甚至可以展示報(bào)告來(lái)證明這一點(diǎn)。但他們不了解的是,還沒(méi)有更新的1%補(bǔ)丁最有可能被惡意攻擊者利用。而安全專(zhuān)家指出,在其審查過(guò)的數(shù)百家公司和數(shù)千臺(tái)計(jì)算機(jī)中,沒(méi)有一臺(tái)完全打好補(bǔ)丁。然而,幾乎每個(gè)人都說(shuō)這是按照合規(guī)性報(bào)告來(lái)完成的。
此外,還有另一個(gè)常見(jiàn)的合規(guī)性謊言。每項(xiàng)規(guī)定必須定期審查所有日志。有些IT團(tuán)隊(duì)甚至不了解他們所有的日志在哪里,更不用說(shuō)定期查看。一臺(tái)計(jì)算機(jī)通常有幾十個(gè)日志,其中大多數(shù)包含與安全性或應(yīng)用程序相關(guān)的信息。但大多數(shù)計(jì)算機(jī)的日志都沒(méi)有被發(fā)現(xiàn)或查看。
很少有人定期檢查任何日志,也很少有人每天瀏覽防火墻日志。因?yàn)楹苌偃擞袝r(shí)間這樣做。所以,大多數(shù)人說(shuō)他們每天定期檢查日志的真正含義是,他們?cè)谝恍┯?jì)算機(jī)上收集一些日志,讓一些自治系統(tǒng)來(lái)檢查日志文件,查找預(yù)先定義的關(guān)鍵事件,并等待它們生成需要注意的警報(bào)。同樣,這只是一些設(shè)備的日志。因此,定期查看所有日志文件的想法都是徒勞的。
安全專(zhuān)家表示,在其開(kāi)展的每次合規(guī)性審計(jì)中,被審計(jì)的團(tuán)隊(duì)都知道網(wǎng)絡(luò)充滿了許多安全漏洞,但卻認(rèn)為其網(wǎng)絡(luò)環(huán)境就像一副紙牌,如果審核員(或攻擊者)可能正好抽中了那一張牌,導(dǎo)致出現(xiàn)漏洞。而被審計(jì)的企業(yè)試圖讓審計(jì)員繞過(guò)上述漏洞,他們甚至祈禱在審計(jì)員發(fā)現(xiàn)問(wèn)題之前完成審計(jì)。
審計(jì)員知道這種情況正在發(fā)生。他們只是在努力完成自己的工作而不是讓客戶討厭他們。他們認(rèn)為已經(jīng)獲得了一些勝利,并且如果他們找出一些漏洞并寫(xiě)進(jìn)報(bào)告,就會(huì)獲得報(bào)酬。但他們?nèi)绻也坏揭恍┞┒吹脑,可能有人?huì)覺(jué)得沒(méi)有必要花費(fèi)審計(jì)資金。但總的來(lái)說(shuō),這種審計(jì)可能是一個(gè)騙局。
說(shuō)明合規(guī)性會(huì)損害安全性,還有更多的原因。例如很多企業(yè)都在努力協(xié)調(diào)滿足多個(gè)合規(guī)性要求,但每個(gè)要求都略有不同;蛘咭恍┲笇(dǎo)方針過(guò)于詳細(xì),而其他的則幾乎沒(méi)有任何細(xì)節(jié)。合規(guī)性最大的問(wèn)題是,它跟蹤的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)還不夠接近潛在風(fēng)險(xiǎn)。遺憾的是,并沒(méi)有哪個(gè)企業(yè)因?yàn)閷?shí)現(xiàn)真正的安全性而得到更多的贊揚(yáng)。當(dāng)合規(guī)性和安全性發(fā)生沖突時(shí),如果安全性總是獲勝的話,那么這種情況將會(huì)更好。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷(xiāo)售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷(xiāo)售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專(zhuān)家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市