像所有有趣的維恩圖一樣,“安全性”和“合規(guī)性”的概念有很多共同之處,但并不相同。網絡安全服務提供商RSA Security公司的首席技術官Ben Smith表示,這種區(qū)別不僅是一種練習,也是一種現實挑戰(zhàn)。
人們已經看到,對合規(guī)性等同于安全性的過度依賴是許多公開報道的重大數據泄露事件的共同原因。一家大型零售商在采用了一種不太理想且成本更低的無線身份驗證之后,對外泄露了9000多萬張信用卡和借記卡信息。美國一家州政府丟失了該州75%的納稅人敏感數據,然后抱怨美國聯(lián)邦政府沒有要求數據加密。
(相關資料圖)
在網絡安全和合規(guī)性方面,藝術勝過科學網絡安全和合規(guī)都是復雜的職能領域,通常是超負荷工作和人手不足的專業(yè)團隊的責任。需要企業(yè)員工和他的同事在如何完成工作的問題上達成一致意見。
無論人們認為網絡安全更像是一門藝術還是一門科學,關于網絡安全唯一明確的是,有保證的解決方案往往需要澄清。與其相反,合規(guī)性更像是光譜科學的一端,因為證明遵從規(guī)定的授權往往更像是一種非黑即白、幾乎沒有灰色地帶的活動。
跳出“復選框”思考問題這種更直接的證明合規(guī)的性質有時使它被輕蔑地描述為一種復選框練習,這往往是一種不公平的貶低,因為從外科手術到飛機飛行之前的檢查再到安全檢查,檢查清單在非常關鍵的情況下被廣泛依賴。檢查表的可重復性可以更容易地驗證或確認企業(yè)是否遵守特定的規(guī)則或目標,無論是由政府法規(guī)還是整個行業(yè)的通用標準。
一項關于清單有效性的醫(yī)學研究表明,清單可能存在脫節(jié)的地方:清單本身是一種工具,而不是目標本身。在網絡安全領域,控制的檢查表及其推薦或需要的配置是工具,而不是目標。合規(guī)性領域有時可能過于關注在評估階段避免特定控制的失敗,從而有可能錯過如何保護企業(yè)持有的數據這一更廣泛的目標。
滿足不斷發(fā)展的安全標準在過去的二十年,在試圖彌合安全性與合規(guī)性差距方面不斷改進的一個標準是支付卡行業(yè)數據安全標準(PCIDSS),該標準專為跨多個垂直領域處理信用卡的組織而設計。當前版本于2022年初發(fā)布,直到2024年才生效,這可能是自從這一標準近20年前首次推出以來最主要的更新。
這次更新中的許多變化都是由現實世界的事件驅動的。過去最少7個字符的密碼現在最少達到12個字符。云計算和無服務器計算等最近的技術創(chuàng)新領域得到了更多的關注。通過NDR或XDR功能實現網絡可見性的重要性反映在網絡安全控制和檢測惡意軟件的需求中。“可見性”不再僅僅是關于日志,它一直是環(huán)境中動作的跟蹤指示器。也許最重要的是,在這一修訂版中,鼓勵將安全性視為一個連續(xù)的過程,而不是某個時間點的驗證度量。
有了這一最新的行業(yè)標準,就能認識到當今現實世界的挑戰(zhàn),人們能指望永遠不會聽到一個完全符合PCIDSS的企業(yè)在未來發(fā)生網絡安全漏洞嗎?當然不能。
這就是應該開始驅散迷霧的地方:當從合規(guī)性的角度考慮標準和法規(guī)時,在將它們映射到安全問題時,它們應該被視為絕對最低的限度。合規(guī)性通知安全性,特別是圍繞這兩個功能所需的技術控制,但是合規(guī)性從來沒有被設計用來取代安全性。
鼓勵和支持企業(yè)內部的透明度具有安全意識的企業(yè)在其安全成熟之旅中已經進一步弄清楚了這種區(qū)別。實現這一目標的最快途徑是確保安全、合規(guī)、法律和高管之間圍繞可見性和風險接受的對話得到積極鼓勵和支持。如果沒有這種持續(xù)和透明的溝通,“安全”很容易看起來像是在核對合規(guī)性——這是企業(yè)在安全之旅中不成熟的一個重要跡象。這似乎令人滿意,直到發(fā)生網絡攻擊,此時安全團隊將站在對任何有缺陷的工具和實踐負責的前沿。
無論是行業(yè)還是政府實施的標準和法規(guī),要跟上現實世界的發(fā)展,都一直是并將繼續(xù)面臨挑戰(zhàn)。安全團隊生活在這個快速變化的世界中,而居心不良者通過創(chuàng)新來實現他們的目標。
把安全性與合規(guī)性的關系想象成大多數人都經歷過的重要的成年儀式:十幾歲的孩子第一次通過駕照程序,就像頒發(fā)駕照之前進行的筆試和路考一樣,合規(guī)標準涵蓋了基本內容,但并沒有完全考慮到司機可能遇到的交通擁堵、惡劣天氣等挑戰(zhàn)。標準是必不可少的,但不能涵蓋所有可能性——這正是事件響應人員每天在網絡安全中所經歷的。
不要成為那種把自己的帽子掛在“合規(guī)=安全”謬論上的企業(yè)。要意識到標準和規(guī)定是有用和重要的,但它們也可能過時。企業(yè)需要確保安全性和合規(guī)性團隊定期溝通,并開展密切合作。企業(yè)至少每年審查和執(zhí)行事件應變計劃,不要害怕在外部尋找精通安全性和合規(guī)性的合作伙伴,他們可以縮短識別差距所需的時間,并在正在進行的風險評估工作中提供有價值的指導。