为什么你的公司尽管通过了审计，但仍可能面临风险

在网络安全领域，合规常常被视为安全的代名词，但实则不然。许多企业陷入“勾选框合规”的陷阱，忽视了安全的本质。CISO们发出警示：合规只是安全的基线，而非最终目标。那么，如何从合规思维转向更具韧性的安全思维呢?

对于许多CISO来说，合规可能感觉像是一种必要的恶，并带来一种虚假的安全感。虽然ISO 27001、SOC 2和PCI DSS等框架提供了结构化的指南，但它们并不自动等同于强大的网络安全。挑战在哪里呢?许多企业专注于勾选合规选项，而不是确保其控制措施的有效性。

问题不在于合规本身，而在于心态。安全团队常常为了通过审计而匆忙准备，一旦文件签署完毕，就一切如常。事实是，监管的勾选标记并不能阻止勒索软件攻击、内部威胁或供应链妥协。实际上，近年来一些最高调的数据泄露事件就发生在那些技术上合规但远非安全的企业身上。

每位CISO都应该问一个关键问题：“如果明天合规要求消失了，我的公司还会安全吗?”

“合规是衡量特定要求进展的有用工具，但它不是安全方面的终点线。它是一个容易谈论的话题，因为与合规相关的事情总是出现在新闻中——我从未读过一篇文章或看过一份报告(在主流、非技术媒体中)谈论NIST 800-53或CIS关键安全控制等框架。当发生数据泄露时，报告关注的是被窃取或访问的记录或数据数量，或隐私侵犯(即HIPAA)。通常不会提及MITRE ATT&CK框架和泄露期间使用的战术、技术和程序(TTPs)，”Fortra的首席安全和风险官Chris Reffkin告诉记者。

合规陷阱：公司出错的地方

CISO们知道安全和合规不是一回事，但高管和董事会成员并不总是这么看。这就是企业陷入“勾选框合规”陷阱的地方：

一次性安全：许多公司将合规视为一年一度的事件，而非持续的过程。这会在审计之间留下安全控制降级或未受监控的空白期。

过度依赖第三方审计师：通过外部审计并不意味着你的安全就坚不可摧。一些审计师只验证文档，而不是测试实际有效性。

拘泥于法律条文，而非法律精神：仅仅因为一家公司技术上符合法规要求，并不意味着它就安全。例如，实施多因素认证(MFA)但允许容易绕过的推送疲劳攻击，这不是真正的安全，而是合规作秀。

忽视人为因素：合规框架通常强调技术控制，但大多数数据泄露仍涉及人为错误。很少强制要求安全意识培训和真正的行为改变，导致安全文化薄弱。

缺乏持续监控和适应：合规规则通常是静态的，而威胁却在不断演变。如果一个企业只是做要求做的事情，而不是主动调整安全措施，那么它已经落后了。

Reffkin解释说，关于如何最好地将合规与“良好的安全实践”相结合的建议将取决于你的企业、其威胁状况、风险承受能力和业务性质。然而，他建议了三件事：

• 首先，与你的网络保险承运商交谈。大多数承运商都有不错的诊断评估来评估潜在被保险实体面临的网络威胁潜在暴露(即风险)。而且作为额外福利，保险公司基于概率和潜在暴露来提出问题，因为这是他们评估风险并最终赚钱的方式。
• 其次，利用现有的安全标准，看看你的安全和IT能力如何对齐(例如CIS、CSF等)。一般来说，所有安全标准都会映射到大多数合规和监管框架，因此你将能够看到合规与更以安全为中心的框架之间的差距。
• 第三，根据你的项目成熟度，聘请安全顾问进行评估。这可能包括对你的项目进行一般性的安全审查，或进行渗透测试或红队演练。如果你已经完成了工作并构建了一个项目，那么是时候独立测试它了。

CISO如何从合规思维转向韧性思维

1. 将合规视为安全的基线，而非最终目标

合规应被视为起点，而非终点。构建超出监管要求并适应新威胁的安全策略。

示例：不要仅仅因为PCI DSS要求就加密敏感数据，而要实施零信任原则来限制数据访问并减少暴露。

2. 实施持续的安全验证

定期测试和验证安全控制，超出合规检查的范围。这包括：

• 红队演练以模拟真实世界的攻击。
• 自动化安全测试(例如攻击路径模拟)。
• 行为监控以实时检测异常。

示例：不要仅仅为了合规而记录安全事件，而要积极使用SIEM和XDR在威胁造成损害之前进行威胁追踪。

3. 改变与董事会的合规对话

许多高管将“合规”等同于“安全”。CISO需要重新构建这些讨论，以突出真正的风险暴露，而不仅仅是监管状态。

示例：不要报告“我们100%符合SOC 2”，而要说“我们符合合规要求，但我们最大的安全漏洞是X、Y和Z。这是我们需要修复的地方。”

4. 将合规与业务风险对齐

法规的存在是为了减轻风险，但它们并不能涵盖所有风险。将合规工作与业务风险对齐，以确保安全投资提供保护。

示例：如果你的公司处理AI驱动的数据处理，合规框架可能不会涉及AI模型安全，但攻击者仍会将其作为目标。即使法规尚未要求，也要解决安全漏洞。

5. 将安全文化作为优先事项

安全意识培训不应是一项勾选框任务。不要进行一年一度的通用培训，而要专注于持续、引人入胜和适应性的安全教育。

示例：超越钓鱼模拟，实施基于行为的培训，根据员工反应和风险水平进行适应。