合規不利於安全的五種情形
nana 安全牛 今天
符合規定要求與提供能夠實際緩解風險的真正安全其實並不完全一致。只專注合規反而有害安全實現。
it安全行業裡大多數人都知道,合規不等同於安全。合規是審計性質的文書工作,需對照清單一條一條查對審核。安全則是技術性的現實世界網路安全,需切實減小風險。合規就是 「你有沒有能夠及時應用關鍵修復的補丁管理專案——有還是沒有?」 安全則是弄清何時該應用哪些補丁,打上這些補丁,然後再次核實補丁已經應用上了。合規助你通過審計,安全實際護你左右。
二者貌似追尋同乙個目標:減少網路安全風險。但合規對此目標的貢獻實在虛無縹緲,令人不禁懷疑到底有沒有在減小現實風險。原因如下:
一、合規是二元的
安全風險顯然不是二元的,但合規是。合規就是只准回答 「是或否」 的一系列二元問題。你做或沒做某某事項?沒給創新思維或更強大的安全留下太多空間。舉個例子,大多數合規規定要求至少8個字元的複雜密碼。即便20個字元的非複雜密碼無疑更難破解也更容易使用,在大多數公司企業裡你卻不能這麼設。
另乙個例子,大多數規定要求設定使用者賬戶鎖定策略:密碼輸入錯誤次數達到預設閾值即鎖定賬戶。如果已經要求了足夠長的密碼,那其實無需賬戶鎖定策略風險也不會太高。
二、合規相關性不高
社會工程和網路釣魚佔了所有惡意網路攻擊根源的70%到90%,但你很難在合規指南中找到一條以上有關安全意識培訓和社會工程的條款。漏洞修復是第二號問題,導致了20%到40%的網路入侵事件,合規指南中通常有多個章節是關於漏洞修復的。資料儲存加密很難擋住多少攻擊,但往往有連篇累牘的合規建議和指南。
如果根據合規規定中特定主題的章節長度來構建防禦,那你可能會覺得加密是重中之重。但規定可不是風險衡量指標,如果不得不符合200條對降低風險沒什麼實際幫助的規定,反而會干擾實施那一條具有最大影響的措施。
三、規定變化緩慢
在納入新安全建議的步伐上,所有監管規定都行動遲緩。合規文件中充斥著防火牆、隔離區和軟盤這些老生常談,沒多少東西是關於如何更好地保護雲互動、多因子身份驗證、勒索軟體、量子計算、密碼重用、第三方**商風險、民族國家攻擊和**鏈管理的。這世界變化快,it安全領域發展變化更快,但監管規定卻變化緩慢。
四、合規高於一切
當安全與合規狹路相逢,合規總能勝出。ceo和老闆們有責任確保公司達成所有合規目標。他們不會聽你解釋為什麼你的密碼因為比合規指南要求的更健壯而需提交審計異議,因為這與現行大多數規定不相符合。確保合規清單上條目被勾選的每一秒,都是真正的計算機安全被無視的時光。
五、都在做戲
最諷刺的來了。大家都知道合規就是個大**。每個人都心知肚明。比如說,幾乎每個監管規定都要求使用者做關鍵系統備份,並定期加以測試。不知怎麼回事,幾乎每次合規審計中,被審計物件都宣稱做到了這條要求。但實際上幾乎沒人這麼做,無數起成功的勒索軟體攻擊就是明證。
沒錯,大多數公司企業確實備份了關鍵系統,但幾乎沒人會測試從這些備份資料倒推到底能不能成功恢復系統。誰有這測試時間?誰有那麼多充足的人手來實際負責這件事?管理層就沒給it團隊做這事兒的資源。他們問都不問,壓根兒不關心,直到為時已晚……可能99%的it團隊自公司成立以來都沒做過幾次備份測試,但幾乎每次合規審計,審計與被審計雙方都默契認同做了備份測試。與此異曲同工的還有控制措施的定期測試。每個人都宣稱在做,但幾乎沒人有做過。
再舉乙個非常明顯的例子。所有條例都規定要及時打上全部重要/關鍵補丁(不管這裡的 「及時」 到底指的是幾小時還是幾周之內吧)。但實際操作中連打全補丁的都鳳毛麟角,就更別說「及時打全補丁」了。比如漏洞常曝且長存的思科路由器。
要不然就是告訴審計員99%的漏洞都給補上了,而且還能拿出報告加以證明。但沒告訴審計員的是:沒有修復的那1%的漏洞,正是最有可能被惡意黑客利用的那些。無數公司企業都這麼做的:合規報告中宣稱已完全修復,但實際上漏洞一直都在。
另乙個常見的合規謊言是關於日誌審查的。每個規定都要求定期審查所有日誌。有些規定甚至要求每天審查。但it部門有時候甚至根本不知道日誌都在哪兒,更別說找出這些日誌並加以定期審查了。電腦上一般儲存有幾十種日誌,大多數都包含與安全或應用相關的資訊。大多數電腦上被挑出來審查的日誌能有少數幾種都算好的了,絕大部分的日誌檔案從未被找到,也從未被審查。
沒人定期審查什麼日誌。這不難想象。一堆人每天一條一條篩查防火牆日誌?開玩笑!沒人有這時間。所以,大多數人聲稱的每天定期審查日誌,其實指的是挑幾台電腦上的部分日誌丟給自治系統自動審查,找出預定義的關鍵事件後等他們來發出警報。注意:是某些裝置上的某些日誌。定期審查所有日誌檔案不過是沒什麼用的白日夢。但我們所有人都認同這一說法。
合規審計中,被審計的團隊很清楚自己的網路充滿了各種各樣的安全漏洞。他們認為自己的環境就是個紙牌塔,只要審計員 (或攻擊者) 抽中正確的那張,一切玩完。所以被審計團隊會試圖引導審計員,讓他們避開已知漏洞。他們祈禱在審計員問出關鍵問題前就審計結束,或者,上帝保佑,審計員只看報告不做實際控制措施測試。
審計員知道這是怎麼回事兒。他們只是試圖做好自己的工作,不讓客戶討厭他們。他們覺得只要發現些小問題可以寫份報告,也就取得了一定的勝利,能夠心安理得地拿走審計薪金了。人們都認為只有找出一些錯漏,才能證明審計的錢花得值。
無論如何,這就是場雙方默契的表演。
合規妨礙安全的理由還有很多,比如大量時間精力浪費在滿足略有不同的多個合規要求上。或者某些指南過於詳細,而其他規定又過於寬泛。合規最大的問題就在於,沒有跟進真正應該減小的底層網路安全風險。沒尊崇真正的安全實現真是件令人悲傷的事。當合規與安全衝突時,只要安全能偶爾勝出,情況都會更好些。
永恆不變的內容營銷不利於seo
永恆不變的內容營銷不利於seo 如今,內容營銷已是企業網路營銷策略的核心,不管是搜尋營銷,社會化 營銷,還是移動網際網路的營銷,變得只是媒介的載體 傳播的路徑,不變的是內容。做內容營銷離不開seo優化 小明seo 所以說,網際網路營銷本質上都是內容營銷,那我們怎樣能讓內容營銷的效果最大化呢?今天,小...
證通的態勢感知 立足合規,打造適應性安全
threatbook較真之作第二期,看看作為金融科技企業的證通股份 以下簡稱 證通 如何理解網路安全?合規 管理 構建 應急 安全問題千千萬,層出不窮。我們沒辦法給出這些問題的標準答案,但我們可以用case study的形式,讓你看看 別人家的安全 本期受訪者資料 黃凱,8年安全從業經驗,目前就職於...
利用VMware確保安全合規的虛擬環境 pdf格式
vmware vcenter configuration manager的策略驅動型自動化功能可深入檢測系統更改,並確定這些更改是否符合策略 基於行業或法規標準的預期行為及可接受的行為 或者這些更改是否會導致違規或安全漏洞。vmware vshield 虛擬化安全產品系列可提供多種安全功能,用於幫助...