在網(wǎng)絡(luò)安全領(lǐng)域，合規(guī)常常被視為安全的代名詞，但實(shí)則不然。許多企業(yè)陷入“勾選框合規(guī)”的陷阱，忽視了安全的本質(zhì)。CISO們發(fā)出警示：合規(guī)只是安全的基線，而非最終目標(biāo)。那么，如何從合規(guī)思維轉(zhuǎn)向更具韌性的安全思維呢?

對(duì)于許多CISO來說，合規(guī)可能感覺像是一種必要的惡，并帶來一種虛假的安全感。雖然ISO 27001、SOC 2和PCI DSS等框架提供了結(jié)構(gòu)化的指南，但它們并不自動(dòng)等同于強(qiáng)大的網(wǎng)絡(luò)安全。挑戰(zhàn)在哪里呢?許多企業(yè)專注于勾選合規(guī)選項(xiàng)，而不是確保其控制措施的有效性。

問題不在于合規(guī)本身，而在于心態(tài)。安全團(tuán)隊(duì)常常為了通過審計(jì)而匆忙準(zhǔn)備，一旦文件簽署完畢，就一切如常。事實(shí)是，監(jiān)管的勾選標(biāo)記并不能阻止勒索軟件攻擊、內(nèi)部威脅或供應(yīng)鏈妥協(xié)。實(shí)際上，近年來一些最高調(diào)的數(shù)據(jù)泄露事件就發(fā)生在那些技術(shù)上合規(guī)但遠(yuǎn)非安全的企業(yè)身上。

每位CISO都應(yīng)該問一個(gè)關(guān)鍵問題：“如果明天合規(guī)要求消失了，我的公司還會(huì)安全嗎?”

“合規(guī)是衡量特定要求進(jìn)展的有用工具，但它不是安全方面的終點(diǎn)線。它是一個(gè)容易談?wù)摰脑掝}，因?yàn)榕c合規(guī)相關(guān)的事情總是出現(xiàn)在新聞中——我從未讀過一篇文章或看過一份報(bào)告(在主流、非技術(shù)媒體中)談?wù)揘IST 800-53或CIS關(guān)鍵安全控制等框架。當(dāng)發(fā)生數(shù)據(jù)泄露時(shí)，報(bào)告關(guān)注的是被竊取或訪問的記錄或數(shù)據(jù)數(shù)量，或隱私侵犯(即HIPAA)。通常不會(huì)提及MITRE ATT&CK框架和泄露期間使用的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)，”Fortra的首席安全和風(fēng)險(xiǎn)官Chris Reffkin告訴記者。

合規(guī)陷阱：公司出錯(cuò)的地方

CISO們知道安全和合規(guī)不是一回事，但高管和董事會(huì)成員并不總是這么看。這就是企業(yè)陷入“勾選框合規(guī)”陷阱的地方：

一次性安全：許多公司將合規(guī)視為一年一度的事件，而非持續(xù)的過程。這會(huì)在審計(jì)之間留下安全控制降級(jí)或未受監(jiān)控的空白期。

過度依賴第三方審計(jì)師：通過外部審計(jì)并不意味著你的安全就堅(jiān)不可摧。一些審計(jì)師只驗(yàn)證文檔，而不是測(cè)試實(shí)際有效性。

拘泥于法律條文，而非法律精神：僅僅因?yàn)橐患夜炯夹g(shù)上符合法規(guī)要求，并不意味著它就安全。例如，實(shí)施多因素認(rèn)證(MFA)但允許容易繞過的推送疲勞攻擊，這不是真正的安全，而是合規(guī)作秀。

忽視人為因素：合規(guī)框架通常強(qiáng)調(diào)技術(shù)控制，但大多數(shù)數(shù)據(jù)泄露仍涉及人為錯(cuò)誤。很少強(qiáng)制要求安全意識(shí)培訓(xùn)和真正的行為改變，導(dǎo)致安全文化薄弱。

缺乏持續(xù)監(jiān)控和適應(yīng)：合規(guī)規(guī)則通常是靜態(tài)的，而威脅卻在不斷演變。如果一個(gè)企業(yè)只是做要求做的事情，而不是主動(dòng)調(diào)整安全措施，那么它已經(jīng)落后了。

Reffkin解釋說，關(guān)于如何最好地將合規(guī)與“良好的安全實(shí)踐”相結(jié)合的建議將取決于你的企業(yè)、其威脅狀況、風(fēng)險(xiǎn)承受能力和業(yè)務(wù)性質(zhì)。然而，他建議了三件事：

• 首先，與你的網(wǎng)絡(luò)保險(xiǎn)承運(yùn)商交談。大多數(shù)承運(yùn)商都有不錯(cuò)的診斷評(píng)估來評(píng)估潛在被保險(xiǎn)實(shí)體面臨的網(wǎng)絡(luò)威脅潛在暴露(即風(fēng)險(xiǎn))。而且作為額外福利，保險(xiǎn)公司基于概率和潛在暴露來提出問題，因?yàn)檫@是他們?cè)u(píng)估風(fēng)險(xiǎn)并最終賺錢的方式。
• 其次，利用現(xiàn)有的安全標(biāo)準(zhǔn)，看看你的安全和IT能力如何對(duì)齊(例如CIS、CSF等)。一般來說，所有安全標(biāo)準(zhǔn)都會(huì)映射到大多數(shù)合規(guī)和監(jiān)管框架，因此你將能夠看到合規(guī)與更以安全為中心的框架之間的差距。
• 第三，根據(jù)你的項(xiàng)目成熟度，聘請(qǐng)安全顧問進(jìn)行評(píng)估。這可能包括對(duì)你的項(xiàng)目進(jìn)行一般性的安全審查，或進(jìn)行滲透測(cè)試或紅隊(duì)演練。如果你已經(jīng)完成了工作并構(gòu)建了一個(gè)項(xiàng)目，那么是時(shí)候獨(dú)立測(cè)試它了。

CISO如何從合規(guī)思維轉(zhuǎn)向韌性思維

1. 將合規(guī)視為安全的基線，而非最終目標(biāo)

合規(guī)應(yīng)被視為起點(diǎn)，而非終點(diǎn)。構(gòu)建超出監(jiān)管要求并適應(yīng)新威脅的安全策略。

示例：不要僅僅因?yàn)镻CI DSS要求就加密敏感數(shù)據(jù)，而要實(shí)施零信任原則來限制數(shù)據(jù)訪問并減少暴露。

2. 實(shí)施持續(xù)的安全驗(yàn)證

定期測(cè)試和驗(yàn)證安全控制，超出合規(guī)檢查的范圍。這包括：

• 紅隊(duì)演練以模擬真實(shí)世界的攻擊。
• 自動(dòng)化安全測(cè)試(例如攻擊路徑模擬)。
• 行為監(jiān)控以實(shí)時(shí)檢測(cè)異常。

示例：不要僅僅為了合規(guī)而記錄安全事件，而要積極使用SIEM和XDR在威脅造成損害之前進(jìn)行威脅追蹤。

3. 改變與董事會(huì)的合規(guī)對(duì)話

許多高管將“合規(guī)”等同于“安全”。CISO需要重新構(gòu)建這些討論，以突出真正的風(fēng)險(xiǎn)暴露，而不僅僅是監(jiān)管狀態(tài)。

示例：不要報(bào)告“我們100%符合SOC 2”，而要說“我們符合合規(guī)要求，但我們最大的安全漏洞是X、Y和Z。這是我們需要修復(fù)的地方。”

4. 將合規(guī)與業(yè)務(wù)風(fēng)險(xiǎn)對(duì)齊

法規(guī)的存在是為了減輕風(fēng)險(xiǎn)，但它們并不能涵蓋所有風(fēng)險(xiǎn)。將合規(guī)工作與業(yè)務(wù)風(fēng)險(xiǎn)對(duì)齊，以確保安全投資提供保護(hù)。

示例：如果你的公司處理AI驅(qū)動(dòng)的數(shù)據(jù)處理，合規(guī)框架可能不會(huì)涉及AI模型安全，但攻擊者仍會(huì)將其作為目標(biāo)。即使法規(guī)尚未要求，也要解決安全漏洞。

5. 將安全文化作為優(yōu)先事項(xiàng)

安全意識(shí)培訓(xùn)不應(yīng)是一項(xiàng)勾選框任務(wù)。不要進(jìn)行一年一度的通用培訓(xùn)，而要專注于持續(xù)、引人入勝和適應(yīng)性的安全教育。

示例：超越釣魚模擬，實(shí)施基于行為的培訓(xùn)，根據(jù)員工反應(yīng)和風(fēng)險(xiǎn)水平進(jìn)行適應(yīng)。