许多安全任务在满足法规要求和降低风险方面不一致。一些专注于合规性的方法可能会破坏安全性。
IT安全业务中的大多数人都知道合规性和安全性并不相同。合规性是一种审计,文书工作,核对清单心态和措施,安全性是一种战术性,现实世界的网络安全,降低风险的心态和措施。合规性主要确定是否及时应用关键修补程序管理过程,并且安全性主要确定应用哪些修补程序以及何时应用这些修补程序,然后验证是否已应用这些修补程序。合规性可以帮助公司通过安全审计。安全实际上可以保护您的业务。
网络安全/合规性
合规性和安全性的目标应该是相同的:降低网络安全风险。但是,合规性非常糟糕,以至于人们不确定能够做多少才能降低实际风险。这有五个原因:
合规是二元的
安全风险不是二元的,但合规性的问题和答案是二元的,即“是或否”。企业这样做吗?例如,大多数合规性法规要求用户设置8个字符或更长的复杂密码。尽管20个字符的非复杂密码难以破解且易于使用,但大多数组织都无法使用它们。
作为另一个例子,大多数法规要求在一定数量的错误密码输入之后锁定用户帐户的策略。如果密码足够长,则不需要帐户锁定策略,风险会降低。
增加默认密码的强度不会阻止用户启用帐户锁定。在某些情况下,帐户锁定策略会增加拒绝服务事件的风险。猜测密码的蠕虫通常会尝试使用100个随机密码,这将锁定其目标客户。或者黑客将破解在线门户的密码并再次锁定网站上的用户。
2.合规无关紧要
社交工程和网络钓鱼做法占所有恶意攻击的70%到90%,但在监管指导中,用户很难找到有关安全意识培训或社会工程的内容。未能修补是第二个主要问题,导致20%到40%的用户遭到入侵。加密可以阻止某些攻击,但通常需要一些建议。
还有一些人认为加密是最大的问题。法规不是风险的衡量标准,但如果用户必须遵守大量对风险降低影响不大的事情,而不是那些影响最大的事情,那么这将面临不平衡。法规变化缓慢
当引入新的安全建议时,许多法规很难改变。在合规性文档中,用户会发现许多提及防火墙,隔离区和软盘。用户需要大量有关如何更好地保护云平台交互,多因素身份验证,勒索软件,量子计算,密码重用,第三方供应商风险,国家级攻击和供应链管理的安全信息。世界在不断变化。 IT安全性不断变化,但不适用于法规。
合规总是会赢
问题是,当安全性和合规性发生冲突时,合规性总会赢得。企业首席执行官和企业主负责确保组织满足所有合规目标。他们不想听到为什么必须提交审核例外,因为他们的密码比合规指南要求的更强更好,因为它可能不符合大多数当前的合规性规定。许多公司正在努力确保合规性并获得真正的安全性。
5.骗局和谎言
很多人都知道合规是一种骗局。例如,许多法规要求用户备份关键系统并定期测试它们。在合规审计中,经审计的公司表示他们已经过测试。事实是,很少有公司这样做,而且这种骗局将在勒索软件攻击后暴露出来。
大多数组织备份最关键的系统,但很少有公司测试它们是否从这些备份中成功恢复。谁会有这个时间?企业员工如何才能真正做到这一点?管理层不为IT提供资源。在为时已晚之前,他们不会关注这个问题。此外,安全专家指出,99%的IT团队从未测试过备份系统,常规测试控制也是如此。几乎每家公司都声称已经这样做了,但实际上很少有公司这样做。
例如,每个规则都应及时更新所有关键补丁。但专家表示,很少有公司能够全面更新补丁。许多公司认为他们已经完全更新了补丁,但真正意义在于修复所有微软补丁,即使操作系统的所有补丁都已更新,服务器管理软件也已过时。某些视频编码器已过期,某些已安装的服务器管理工具已过时。这意味着它们可能包含远程接管服务器的漏洞。
许多公司告诉安全审核员他们已经更新了99%的补丁,甚至可以显示报告来证明它。他们不理解的是,未更新的1%补丁最有可能被恶意攻击者利用。安全专家指出,他们已经审查过的数百家公司和数千台计算机都没有完全修补。但是,几乎每个人都说这是根据合规报告完成的。
此外,还有另一个共同的合规谎言。每条规则都必须定期审核所有日志。有些IT团队甚至不知道他们所有日志的位置,更不用说定期检查它们了。计算机通常有几十个日志,其中大多数包含与安全性或应用程序相关的信息。但是找不到大多数计算机日志。很少有人定期检查任何日志,很少有人每天浏览防火墙日志。因为很少有人有时间这样做。因此,大多数人都说每天检查日志的真正含义是他们在某些计算机上收集日志,让一些自治系统检查日志文件,查找预定义的关键事件,并等待它们生成需要注意的警报。同样,这只是一些设备的日志。因此,定期查看所有日志文件的想法是徒劳的。
安全专家表示,在他们进行的每次合规性审计中,被审计团队都知道网络中充满了安全漏洞,但是如果审计员(或攻击者)可能刚刚接过卡并导致其网络环境就像一副卡片。一个漏洞。被审计公司试图让审计师规避上述漏洞,他们甚至祈祷在审计师发现问题之前完成审计。
审计员知道这种情况正在发生。他们只是试图完成工作,而不是让客户讨厌他们。他们认为他们已经取得了一些胜利,如果他们发现了一些漏洞并写在报告中,他们就会得到报酬。但如果他们找不到一些漏洞,有些人可能会觉得没有必要花费审计资金。但总的来说,这种审计可能是骗局。
说明合规性会危及安全性,并且有更多原因。例如,许多公司都在努力满足多个合规性要求,但每个要求都略有不同。或者某些指南过于详细,而其他指南几乎没有细节。最符合要求的问题是它跟踪的网络安全风险与潜在风险不够接近。不幸的是,没有一家公司因实现真正的安全而获得更多赞誉当安全和安全冲突时,如果安全总是获胜,那么这种情况会更好。