合规不等于安全

原创

mob604756ebed9f 2021-04-12 14:45:39 ©著作权

©著作权归作者所有：来自51CTO博客作者mob604756ebed9f的原创作品，请联系作者获取转载授权，否则将追究法律责任

合规不等于安全

atp7bkil 嘶吼专业版

检查清单上的复选框并不会使你的系统安全!右边的图像值得信任:getadvanced.net

如果你曾经在信息安全行业工作过，那么你可能听说过一句老话:“合规并不等于安全! ! ! ”。

你要知道这是事实。攻击者真的不在乎你是否已经勾选了风险管理框架(COBIT，NIST RMF，CIS Top 20，等等)中的所有检查表的检查项。事实上，这位作者的观点是，这句话值得重复，也许整个华盛顿地区的演讲者都应该把它打破成一个连续的循环，国家政策和法律就是在这个循环中产生的。

原因如下: 政府和许多公司仍然认为网络安全就是合规。他们失去了服从，不能思考过去。许多这样的组织都非常“肥胖” ，因为他们规模庞大，而且他们负责的互联网连接系统数量庞大。由于这个原因以及缺乏合格的网络安全专业人员，我发现这些组织往往只能做最低限度的工作来维持生计，即使其中许多组织能够承担得起做得更好。他们不认为这是一个明智的商业投资，以加强他们的网络防御和准备。

这和人们在洪水区建造新家时可能使用的逻辑是一样的... ... 这根本说不通。另一方面，一些组织在最先进的网络安全解决方案上花费了大量资金，但最终还是遭到了破坏。这表明没有简单的、复制粘贴的网络安全解决方案。这很复杂，这就是为什么安全专业人员会得到大笔的报酬，去找出并实现复杂的安全解决方案，以解决棘手的问题。

合规只是强大安全计划的一部分。

注意：只是简单地勾选框，写上几百页关于一个系统的文档，然后认为你的系统是安全的，这是不够的。

这是美国组织不断遭到中国和俄罗斯等对手攻击的最大原因之一。你太容易让对手破坏你的网络了。是的，网络安全是昂贵的。每个人都知道!但是你知道什么东西更贵吗?没有……想想吧!很有趣吧?执行程序，并尝试真正关心安全问题。

企业行政人员及策略专家

在许多组织中，CISO 在高管席位上没有一席之地

尽管看起来很奇怪，但有些从事网络安全工作的人只不过是政策专家，对加强和保护信息系统的技术方面几乎一无所知。现在请注意，我用了“网络安全”这个词来代替信息安全(InfoSec)，后者通常表示信息安全的政府或军方意味。然而，这种令人震惊的信息不仅在政府和支持政府的国防工业基地(DIB)中普遍存在，而且在美国企业中也很猖獗。纵观历史，我们有一些没有技术背景的人，或者在很长一段时间内没有在技术部门工作过的人，他们正在做出重要的安全决策。这是灾难的处方，需要改变。这是一种通过隐藏实现的安全形式，因为这些组织认为他们在遭遇惨败时做得很正确。

通过合规但仍遭黑客攻击的公司

一个精心制作的钓鱼邮件是所有绕过你的组织的安全控制

让我们以最近的塔吉特公司为例。塔吉特公司成功通过了 Trustwave 对支付卡行业数据安全标准(PCI DSS)合规情况的审计，然后在2013年遭受了骇人听闻的数据泄露，损害了7000万客户的个人身份信息和4000万客户的信用卡号码(Lacy & de Metz，2014)。任何处理信用卡交易的零售商都必须遵守 PCI DSS。因此，Trustwave 被 Trustmark National Bank 和 Green Bank 起诉。哦，我们编织了一张多么复杂的网啊。

攻击者不仅侵入了网络，而且还在“ Trustwave 的监控下，在被第三方发现并报告给 Target 之前，积极地利用网络近三个星期”(Schwartz，2014)。Target 将网络入侵监控服务外包给 Trustwave 作为托管安全服务提供商(MSSP)。

这个案例是合规如何不能保证安全的经典例子。

人们也想知道 Target 是否完成了 Trustwave PCI DSS 合规审计的在线问卷调查，或者是否是由真正的 Trustwave 审计师亲自做的？如果审计是通过回答在线问卷进行自我管理的，那么 Target 很可能无法如实或准确地回答问题，无论是有意为之，还是由于其 CIO / CISO 的技术不称职。无论哪种方式，它都证明了合规等同于安全的谬误，这是政府、公司、组织和安全专业人员应该一直注意的事情。你正在做的事情，所有的合规性文档，真的有助于系统的安全吗? 事实上，它影响了你加强和保护它们的能力吗？

网络安全是个神话

网络安全是个神话？好吧。这很公平，虽然不完全是这样，但是有时候在这个数据泄露的时代，情况确实是这样的。你和你的组织可以采取一些步骤来加强系统，这将有助于保护他们不受黑客入侵的影响。然而，特别是计算机和网络长期存在的问题仍然存在，而且一直存在，因为有太多不同的攻击载体和攻击面，几乎不可能进行防御。

来源:imgflip.com

65,535个 TCP 和另外65,535个 UDP 端口(总共131,070个入口端口)中的每个端口如果没有被防火墙正确关闭并且必须被监视，每个应用程序(浏览器、微软 Office、 Adobe 等)也可能被攻破，然后还有操作系统和互联网协议也可能被攻破。哦，我们不要忘记那些带有恶意链接的电子邮件，或者在许多网站上发现的恶意链接，这些链接也可能导致危害。用户是最大的风险，但令人惊讶的是，许多组织并不要求对其雇员进行强制性的网络安全培训。不存在违约的可能性很小。

事实上，有人说过，“世界上只有两种公司，一种知道自己被黑客攻击，另一种不知道。”

这句话说得太对了。如果一个公司规模很大，拥有有大量的信息或资金丰富，攻击者极有动机侵入这些公司。攻击者只需要一次运气就能进入你的系统，而网络安全防御者每次都必须正确无误，在闰年的 24/7/366 天里。如果你是一个赌徒，那么这些赔率都不是很高。事实上，这简直就是电影情节中的一个不可能完成的任务562。

网络安全行业拥有许多技术娴熟、知识渊博的网络安全专家，但当你雇佣他们，告诉他们要负责75个不同规模的架构、软件基线并且操作系统类型的不同系统时，保护这么多不同的计算机和网络组件不仅是一项艰巨的任务，而且根本不可能完成。仅仅更新许多系统或局域网上的软件补丁就是一个挑战，因为软件供应商发布新补丁的频率和安全专业人员不得不应对的竞争需求，更不用说不能暂时降低生产系统，这将影响业务运营。然后还有网络硬件组件的固件更新、安全扫描、系统事件日志审查等等。

保护网络是一项艰巨的任务，特别是当组织的网络安全人员太少，领导层不支持他们，不给他们足够的预算来雇佣足够的合格员工，实施安全控制和工具，或者不给他们在决策者席位的时候。也许狗试图击退狼群的比喻更能反映这里的情况。狗会英勇地保护自己、主人或领地，但最终，狗会被狼撕成碎片。除了这个类比，狗是唯一的网络安全专业人员，正在与黑客大军作战，甚至是高级持续性威胁（APT）组织！伙计们，不管他们有多优秀，他 / 她都没有机会。成功的可能性很小。同样，这也是隐晦式安全的一种形式。这是一种妄想。

事实上，我甚至可以说，为半吊子的网络安全工作人员和程序支付报酬，同时尽最少的努力满足合规要求，并购买最少数量的安全工具的整个概念，根据定义，就是“隐晦式安全” 这是企业高管们的替罪羊计划，所以当出现数据泄露时，因为我们都知道会出现这种情况，企业高管们可以指出这样一个事实，即他们已经在网络安全上花费了数十万甚至数百万美元，他们遵循了 NIST 的网络安全框架(CSF) ，但他们仍然被黑了！当然，他们做到了。他们只做最低限度的防御措施..。

因此，他们会把矛头指向CISO和他们的安全专家团队(即如果他们已经花钱雇了一个安全专家团队，更不用说雇一个CISO了)。这一定是安全团队的错!!把他们所有这些都炒鱿鱼了!唉，这些可怜的笨蛋应该做什么呢?只能哭出一条河!我一点也不同情这种愚蠢的行为，也不同情诸如Equifax、花旗银行或其他一些近期的机构。如果你发现自己在这样的组织中从事网络安全专业工作，你可能会考虑到其他地方找工作。然后，官员们对中国、俄罗斯、朝鲜或伊朗等其他国家通过计算机网络间谍活动窃取知识产权和数十亿美元的研发资金表示不满。他们是怎么做到的呢?

傻瓜，那些重要的数据本来就不应该连接到互联网上，更不用说连接到云端了！他们急于将所有事情外包给云计算，以节省数以百万计的 IT 基础设施和人力资源，他们没有考虑到云计算安全性的长期影响和云服务日益增加的成本。一开始看起来便宜而且好得多的东西不会一直这样下去。等到合同续约的时候，你的法律团队是否删除了服务法律协议(SLA)上的细则？那是什么？没有SLA？祝你玩得开心。

除了合规检查，我们还能做什么？

来源:doculynx.com

网络安全不仅仅是做最基本的事情和遵循风险管理框架的最佳实践，还有更多的事情要做。即使有像NIST风险管理框架(RMF)这样的健壮的合规框架，任何实施它的组织仍然有改进的空间。你真的认为实施CIS前20项控制措施将会完全保护你的系统吗?作为一个安全专家，你真的相信吗?当然，这比大多数组织所做的要好，但是你肯定可以添加一些改进，对吗?将一个系统的安全级别成熟到满足合规的程度，然后在它被授权用于生产之后放弃它，这是不够的。你必须像培育工厂一样培育这个系统，为它提供软件更新和完善的系统配置设置，监控它，报告它的进展以授权官员。这不仅仅是为了满足最低的合规门槛，然后将我们的注意力转移到其他项目上。只要这些系统处于开机状态、连接到互联网并处理信息，就应该而且需要不断地对它们进行监视和更新。在NIST RMF中，这被称为第6步，持续监控。几乎没人能正确理解。

我不得不相信，安全专业人员要么被他们的组织领导束缚住手脚，要么完全无能为力，每当我遇到这种情况时，他们只是尽了最小的努力来实现合规性。为什么还要这么做呢?这也许是我应该说的，但我没有。相反，它们通常无法通过评估，即使根据合规，它们必须遵守“X”数量的合规法律。对不通过评估和不遵守网络安全要求的严厉惩罚还不是真正的事情。与其指责他们的网络安全战略，我们宁愿在政治上是正确的，他们给了他们“健康”的目标。“这是你改正缺点的另一个机会，几个月后我们会回来检查你的表现。”与此同时，黑客们正在你的网络上大干一场……

与其因为任何原因而裁剪出“不适用”的安全控制，也许你应该花时间和金钱来实现所有实际上可行的控制，同时不妨碍你的业务运营能力。对手希望你在安全实现中采用捷径的防御方式，是的！也许捷径并不是答案... 只是一个想法。不要通过雇佣隐晦式安全来使网络犯罪者的工作变得更容易！