很多安全性的任务在满足监管要求和降低风险方面并不一致。而一些专注于合规性的方法可能会破坏安全性。
从事IT安全业务的大多数人都知道合规性与安全性并不一样。合规性是一种审计、文书工作、核对清单的心态和措施,而安全性是一种战术性的、真实的网络安全、降低风险的心态和措施。合规性主要确定是否及时应用关键补丁管理程序,而安全性主要确定应用哪些补丁以及何时应用这些关键补丁,然后验证这些补丁是否已经应用。合规性可以帮助企业通过安全审核。安全性实际上可以为企业业务提供保护。
合规性与安全性的目标应该是一样的:降低网络安全风险。但是,合规性是如此的糟糕,以至于人们不确定它对降低实际风险有多大作用。以下是五个原因:
1. 合规性是二元性的
安全风险不是二元的,但合规性的问题和答案是二元性的,也就是“是或否”。企业是这样做的吗?例如,大多数合规性的法规要求用户设置8个字符或更长的复杂密码。尽管20个字符的非复杂密码难以破解且更易于使用,但大多数组织中都无法使用。
另一个例子是,大多数法规要求实施在密码输入错误一定次数后锁定用户账户的策略。如果密码足够长,那么不需要采用账户锁定策略,而且也会降低风险。
增加默认密码的强度不会使用户无法启用账户锁定。在某些情况下,账户锁定策略会增加拒绝服务事件的风险。猜测密码的蠕虫病毒通常会尝试采用100个随机密码,这将锁定其目标客户。或者黑客会破解一个在线门户网站的密码,并再次锁定网站中的用户。
2. 合规性无关紧要
社交工程和网络钓鱼行为占到所有恶意攻击行为的70%到90%,但在监管指南中,用户很难找到关于安全意识培训或社会工程的内容。没有打好补丁是第二个主要问题,导致20%到40%用户受到威胁。加密可以阻止一些攻击,但它通常需要一些建议。
还有一些用户认为加密是其担忧的最大问题。法规并不是风险的衡量标准,但如果用户必须遵守大量对降低风险作用效果很小的事项,而不是产生最大影响的事项,那么这将面临一个不平衡的问题。
3. 法规变化缓慢
当出台新的安全建议时,很多规章制度都很难改变。在合规性文档中,用户会发现很多会提到防火墙、隔离区和软盘。关于如何更好地保护云平台交互、多因素认证、勒索软件、量子计算、密码重用、第三方供应商风险、国家级攻击,以及供应链管理,用户需要很多安全信息。世界在不断变化。IT安全在不断变化,但对于法规而言并非如此。
4. 合规性总会获胜
问题是,当安全性和合规性发生冲突时,合规性总会获胜。企业首席执行官和企业主负责确保组织满足所有合规性目标。他们不想听到为什么必须提交审核例外的解释,因为其密码比合规性指南所要求的更强大、更好,因为这样做可能不符合大多数现行的合规性法规。很多企业正在努力确保合规性,并获得真正的安全性。
5. 骗局和谎言
很多人都知道合规性是一种骗局。例如,很多法规都要求用户备份关键系统,并定期对其进行测试。而在合规性审计中,被审计的企业都表示已经进行测试。事实是,几乎没有几家企业这样做,而遭遇勒索软件攻击之后,这种骗局才会揭穿。
大多数企业都会备份大多数关键系统,但几乎很少有企业会测试是否从这些备份中成功恢复。谁会有这个时间?企业员工如何才能真正做到这一点?管理层并没有为IT提供资源。他们不会关注这个问题,直到出现问题时为时已晚。此外,安全专家指出,99%的IT团队从未测试过备份系统,定期测试控件也是如此。几乎每家企业都声称已经这样做,但其实很少有哪家公司这样做。
例如,每条规定都应该及时更新所有关键补丁。但专家表示,很少有公司能够完全更新补丁。很多企业认为他们已完全更新了补丁,但真正含义是修补了所有的Microsoft补丁,其实即使更新了操作系统的所有补丁,服务器管理软件也已过时。一些视频编码器已过期,安装的一些服务器管理工具也已过时。这意味着它们可能包含通过远程接管服务器的漏洞。
很多企业告诉安全审计人员,更新了99%的补丁,甚至可以展示报告来证明这一点。但他们不了解的是,还没有更新的1%补丁最有可能被恶意攻击者利用。而安全专家指出,在其审查过的数百家公司和数千台计算机中,没有一台完全打好补丁。然而,几乎每个人都说这是按照合规性报告来完成的。
此外,还有另一个常见的合规性谎言。每项规定必须定期审查所有日志。有些IT团队甚至不了解他们所有的日志在哪里,更不用说定期查看。一台计算机通常有几十个日志,其中大多数包含与安全性或应用程序相关的信息。但大多数计算机的日志都没有被发现或查看。
很少有人定期检查任何日志,也很少有人每天浏览防火墙日志。因为很少人有时间这样做。所以,大多数人说他们每天定期检查日志的真正含义是,他们在一些计算机上收集一些日志,让一些自治系统来检查日志文件,查找预先定义的关键事件,并等待它们生成需要注意的警报。同样,这只是一些设备的日志。因此,定期查看所有日志文件的想法都是徒劳的。
安全专家表示,在其开展的每次合规性审计中,被审计的团队都知道网络充满了许多安全漏洞,但却认为其网络环境就像一副纸牌,如果审核员(或攻击者)可能正好抽中了那一张牌,导致出现漏洞。而被审计的企业试图让审计员绕过上述漏洞,他们甚至祈祷在审计员发现问题之前完成审计。
审计员知道这种情况正在发生。他们只是在努力完成自己的工作而不是让客户讨厌他们。他们认为已经获得了一些胜利,并且如果他们找出一些漏洞并写进报告,就会获得报酬。但他们如果找不到一些漏洞的话,可能有人会觉得没有必要花费审计资金。但总的来说,这种审计可能是一个骗局。
说明合规性会损害安全性,还有更多的原因。例如很多企业都在努力协调满足多个合规性要求,但每个要求都略有不同。或者一些指导方针过于详细,而其他的则几乎没有任何细节。合规性最大的问题是,它跟踪的网络安全风险还不够接近潜在风险。遗憾的是,并没有哪个企业因为实现真正的安全性而得到更多的赞扬。当合规性和安全性发生冲突时,如果安全性总是获胜的话,那么这种情况将会更好。