合規性損害安全性的5種方式
很多安全性的任務在滿足監管要求和降低風險方面并不一致。而一些專注于合規性的方法可能會破壞安全性。
從事IT安全業務的大多數人都知道合規性與安全性并不一樣。合規性是一種審計、文書工作、核對清單的心態和措施,而安全性是一種戰術性的、真實的網絡安全、降低風險的心態和措施。合規性主要確定是否及時應用關鍵補丁管理程序,而安全性主要確定應用哪些補丁以及何時應用這些關鍵補丁,然后驗證這些補丁是否已經應用。合規性可以幫助企業通過安全審核。安全性實際上可以為企業業務提供保護。
合規性與安全性的目標應該是一樣的:降低網絡安全風險。但是,合規性是如此的糟糕,以至于人們不確定它對降低實際風險有多大作用。以下是五個原因:
1. 合規性是二元性的
安全風險不是二元的,但合規性的問題和答案是二元性的,也就是“是或否”。企業是這樣做的嗎?例如,大多數合規性的法規要求用戶設置8個字符或更長的復雜密碼。盡管20個字符的非復雜密碼難以破解且更易于使用,但大多數組織中都無法使用。
另一個例子是,大多數法規要求實施在密碼輸入錯誤一定次數后鎖定用戶賬戶的策略。如果密碼足夠長,那么不需要采用賬戶鎖定策略,而且也會降低風險。
增加默認密碼的強度不會使用戶無法啟用賬戶鎖定。在某些情況下,賬戶鎖定策略會增加拒絕服務事件的風險。猜測密碼的蠕蟲病毒通常會嘗試采用100個隨機密碼,這將鎖定其目標客戶。或者黑客會破解一個在線門戶網站的密碼,并再次鎖定網站中的用戶。
2. 合規性無關緊要
社交工程和網絡釣魚行為占到所有惡意攻擊行為的70%到90%,但在監管指南中,用戶很難找到關于安全意識培訓或社會工程的內容。沒有打好補丁是第二個主要問題,導致20%到40%用戶受到威脅。加密可以阻止一些攻擊,但它通常需要一些建議。
還有一些用戶認為加密是其擔憂的最大問題。法規并不是風險的衡量標準,但如果用戶必須遵守大量對降低風險作用效果很小的事項,而不是產生最大影響的事項,那么這將面臨一個不平衡的問題。
3. 法規變化緩慢
當出臺新的安全建議時,很多規章制度都很難改變。在合規性文檔中,用戶會發現很多會提到防火墻、隔離區和軟盤。關于如何更好地保護云平臺交互、多因素認證、勒索軟件、量子計算、密碼重用、第三方供應商風險、國家級攻擊,以及供應鏈管理,用戶需要很多安全信息。世界在不斷變化。IT安全在不斷變化,但對于法規而言并非如此。
4. 合規性總會獲勝
問題是,當安全性和合規性發生沖突時,合規性總會獲勝。企業首席執行官和企業主負責確保組織滿足所有合規性目標。他們不想聽到為什么必須提交審核例外的解釋,因為其密碼比合規性指南所要求的更強大、更好,因為這樣做可能不符合大多數現行的合規性法規。很多企業正在努力確保合規性,并獲得真正的安全性。
5. 騙局和謊言
很多人都知道合規性是一種騙局。例如,很多法規都要求用戶備份關鍵系統,并定期對其進行測試。而在合規性審計中,被審計的企業都表示已經進行測試。事實是,幾乎沒有幾家企業這樣做,而遭遇勒索軟件攻擊之后,這種騙局才會揭穿。
大多數企業都會備份大多數關鍵系統,但幾乎很少有企業會測試是否從這些備份中成功恢復。誰會有這個時間?企業員工如何才能真正做到這一點?管理層并沒有為IT提供資源。他們不會關注這個問題,直到出現問題時為時已晚。此外,安全專家指出,99%的IT團隊從未測試過備份系統,定期測試控件也是如此。幾乎每家企業都聲稱已經這樣做,但其實很少有哪家公司這樣做。
例如,每條規定都應該及時更新所有關鍵補丁。但專家表示,很少有公司能夠完全更新補丁。很多企業認為他們已完全更新了補丁,但真正含義是修補了所有的Microsoft補丁,其實即使更新了操作系統的所有補丁,服務器管理軟件也已過時。一些視頻編碼器已過期,安裝的一些服務器管理工具也已過時。這意味著它們可能包含通過遠程接管服務器的漏洞。
很多企業告訴安全審計人員,更新了99%的補丁,甚至可以展示報告來證明這一點。但他們不了解的是,還沒有更新的1%補丁最有可能被惡意攻擊者利用。而安全專家指出,在其審查過的數百家公司和數千臺計算機中,沒有一臺完全打好補丁。然而,幾乎每個人都說這是按照合規性報告來完成的。
此外,還有另一個常見的合規性謊言。每項規定必須定期審查所有日志。有些IT團隊甚至不了解他們所有的日志在哪里,更不用說定期查看。一臺計算機通常有幾十個日志,其中大多數包含與安全性或應用程序相關的信息。但大多數計算機的日志都沒有被發現或查看。
很少有人定期檢查任何日志,也很少有人每天瀏覽防火墻日志。因為很少人有時間這樣做。所以,大多數人說他們每天定期檢查日志的真正含義是,他們在一些計算機上收集一些日志,讓一些自治系統來檢查日志文件,查找預先定義的關鍵事件,并等待它們生成需要注意的警報。同樣,這只是一些設備的日志。因此,定期查看所有日志文件的想法都是徒勞的。
安全專家表示,在其開展的每次合規性審計中,被審計的團隊都知道網絡充滿了許多安全漏洞,但卻認為其網絡環境就像一副紙牌,如果審核員(或攻擊者)可能正好抽中了那一張牌,導致出現漏洞。而被審計的企業試圖讓審計員繞過上述漏洞,他們甚至祈禱在審計員發現問題之前完成審計。
審計員知道這種情況正在發生。他們只是在努力完成自己的工作而不是讓客戶討厭他們。他們認為已經獲得了一些勝利,并且如果他們找出一些漏洞并寫進報告,就會獲得報酬。但他們如果找不到一些漏洞的話,可能有人會覺得沒有必要花費審計資金。但總的來說,這種審計可能是一個騙局。
說明合規性會損害安全性,還有更多的原因。例如很多企業都在努力協調滿足多個合規性要求,但每個要求都略有不同。或者一些指導方針過于詳細,而其他的則幾乎沒有任何細節。合規性最大的問題是,它跟蹤的網絡安全風險還不夠接近潛在風險。遺憾的是,并沒有哪個企業因為實現真正的安全性而得到更多的贊揚。當合規性和安全性發生沖突時,如果安全性總是獲勝的話,那么這種情況將會更好。
