很多安全性的任務在滿足監(jiān)管要求和降低風險方面并不一致。而一些專注于合規(guī)性的方法可能會破壞安全性。

從事IT安全業(yè)務的大多數(shù)人都知道合規(guī)性與安全性并不一樣。合規(guī)性是一種審計、文書工作、核對清單的心態(tài)和措施，而安全性是一種戰(zhàn)術性的、真實的網(wǎng)絡安全、降低風險的心態(tài)和措施。合規(guī)性主要確定是否及時應用關鍵補丁管理程序，而安全性主要確定應用哪些補丁以及何時應用這些關鍵補丁，然后驗證這些補丁是否已經(jīng)應用。合規(guī)性可以幫助企業(yè)通過安全審核。安全性實際上可以為企業(yè)業(yè)務提供保護。

合規(guī)性與安全性的目標應該是一樣的：降低網(wǎng)絡安全風險。但是，合規(guī)性是如此的糟糕，以至于人們不確定它對降低實際風險有多大作用。以下是五個原因：

1. 合規(guī)性是二元性的

安全風險不是二元的，但合規(guī)性的問題和答案是二元性的，也就是“是或否”。企業(yè)是這樣做的嗎?例如，大多數(shù)合規(guī)性的法規(guī)要求用戶設置8個字符或更長的復雜密碼。盡管20個字符的非復雜密碼難以破解且更易于使用，但大多數(shù)組織中都無法使用。

另一個例子是，大多數(shù)法規(guī)要求實施在密碼輸入錯誤一定次數(shù)后鎖定用戶賬戶的策略。如果密碼足夠長，那么不需要采用賬戶鎖定策略，而且也會降低風險。

增加默認密碼的強度不會使用戶無法啟用賬戶鎖定。在某些情況下，賬戶鎖定策略會增加拒絕服務事件的風險。猜測密碼的蠕蟲病毒通常會嘗試采用100個隨機密碼，這將鎖定其目標客戶?；蛘吆诳蜁平庖粋€在線門戶網(wǎng)站的密碼，并再次鎖定網(wǎng)站中的用戶。

2. 合規(guī)性無關緊要

社交工程和網(wǎng)絡釣魚行為占到所有惡意攻擊行為的70%到90%，但在監(jiān)管指南中，用戶很難找到關于安全意識培訓或社會工程的內容。沒有打好補丁是第二個主要問題，導致20%到40%用戶受到威脅。加密可以阻止一些攻擊，但它通常需要一些建議。

還有一些用戶認為加密是其擔憂的大問題。法規(guī)并不是風險的衡量標準，但如果用戶必須遵守大量對降低風險作用效果很小的事項，而不是產(chǎn)生大影響的事項，那么這將面臨一個不平衡的問題。

3. 法規(guī)變化緩慢

當出臺新的安全建議時，很多規(guī)章制度都很難改變。在合規(guī)性文檔中，用戶會發(fā)現(xiàn)很多會提到防火墻、隔離區(qū)和軟盤。關于如何更好地保護云平臺交互、多因素認證、勒索軟件、量子計算、密碼重用、第三方供應商風險、國家級攻擊，以及供應鏈管理，用戶需要很多安全信息。世界在不斷變化。IT安全在不斷變化，但對于法規(guī)而言并非如此。

4. 合規(guī)性總會獲勝

問題是，當安全性和合規(guī)性發(fā)生沖突時，合規(guī)性總會獲勝。企業(yè)首席執(zhí)行官和企業(yè)主負責確保組織滿足所有合規(guī)性目標。他們不想聽到為什么必須提交審核例外的解釋，因為其密碼比合規(guī)性指南所要求的更強大、更好，因為這樣做可能不符合大多數(shù)現(xiàn)行的合規(guī)性法規(guī)。很多企業(yè)正在努力確保合規(guī)性，并獲得真正的安全性。

5. 騙局和謊言

很多人都知道合規(guī)性是一種騙局。例如，很多法規(guī)都要求用戶備份關鍵系統(tǒng)，并定期對其進行測試。而在合規(guī)性審計中，被審計的企業(yè)都表示已經(jīng)進行測試。事實是，幾乎沒有幾家企業(yè)這樣做，而遭遇勒索軟件攻擊之后，這種騙局才會揭穿。

大多數(shù)企業(yè)都會備份大多數(shù)關鍵系統(tǒng)，但幾乎很少有企業(yè)會測試是否從這些備份中成功恢復。誰會有這個時間?企業(yè)員工如何才能真正做到這一點?管理層并沒有為IT提供資源。他們不會關注這個問題，直到出現(xiàn)問題時為時已晚。此外，安全專家指出，99%的IT團隊從未測試過備份系統(tǒng)，定期測試控件也是如此。幾乎每家企業(yè)都聲稱已經(jīng)這樣做，但其實很少有哪家公司這樣做。

例如，每條規(guī)定都應該及時更新所有關鍵補丁。但專家表示，很少有公司能夠完全更新補丁。很多企業(yè)認為他們已完全更新了補丁，但真正含義是修補了所有的Microsoft補丁，其實即使更新了操作系統(tǒng)的所有補丁，服務器管理軟件也已過時。一些視頻編碼器已過期，安裝的一些服務器管理工具也已過時。這意味著它們可能包含通過遠程接管服務器的漏洞。

很多企業(yè)告訴安全審計人員，更新了99%的補丁，甚至可以展示報告來證明這一點。但他們不了解的是，還沒有更新的1%補丁最有可能被惡意攻擊者利用。而安全專家指出，在其審查過的數(shù)百家公司和數(shù)千臺計算機中，沒有一臺完全打好補丁。然而，幾乎每個人都說這是按照合規(guī)性報告來完成的。

此外，還有另一個常見的合規(guī)性謊言。每項規(guī)定必須定期審查所有日志。有些IT團隊甚至不了解他們所有的日志在哪里，更不用說定期查看。一臺計算機通常有幾十個日志，其中大多數(shù)包含與安全性或應用程序相關的信息。但大多數(shù)計算機的日志都沒有被發(fā)現(xiàn)或查看。

很少有人定期檢查任何日志，也很少有人每天瀏覽防火墻日志。因為很少人有時間這樣做。所以，大多數(shù)人說他們每天定期檢查日志的真正含義是，他們在一些計算機上收集一些日志，讓一些自治系統(tǒng)來檢查日志文件，查找預先定義的關鍵事件，并等待它們生成需要注意的警報。同樣，這只是一些設備的日志。因此，定期查看所有日志文件的想法都是徒勞的。

安全專家表示，在其開展的每次合規(guī)性審計中，被審計的團隊都知道網(wǎng)絡充滿了許多安全漏洞，但卻認為其網(wǎng)絡環(huán)境就像一副紙牌，如果審核員(或攻擊者)可能正好抽中了那一張牌，導致出現(xiàn)漏洞。而被審計的企業(yè)試圖讓審計員繞過上述漏洞，他們甚至祈禱在審計員發(fā)現(xiàn)問題之前完成審計。

審計員知道這種情況正在發(fā)生。他們只是在努力完成自己的工作而不是讓客戶討厭他們。他們認為已經(jīng)獲得了一些勝利，并且如果他們找出一些漏洞并寫進報告，就會獲得報酬。但他們如果找不到一些漏洞的話，可能有人會覺得沒有必要花費審計資金。但總的來說，這種審計可能是一個騙局。

說明合規(guī)性會損害安全性，還有更多的原因。例如很多企業(yè)都在努力協(xié)調滿足多個合規(guī)性要求，但每個要求都略有不同?；蛘咭恍┲笇Х结樳^于詳細，而其他的則幾乎沒有任何細節(jié)。合規(guī)性大的問題是，它跟蹤的網(wǎng)絡安全風險還不夠接近潛在風險。遺憾的是，并沒有哪個企業(yè)因為實現(xiàn)真正的安全性而得到更多的贊揚。當合規(guī)性和安全性發(fā)生沖突時，如果安全性總是獲勝的話，那么這種情況將會更好。

新聞名稱：合規(guī)性損害安全性的5種方式
網(wǎng)址分享：http://chinadenli.net/news49/99749.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供用戶體驗、營銷型網(wǎng)站建設、網(wǎng)站策劃、動態(tài)網(wǎng)站、外貿網(wǎng)站建設、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)