像所有有趣的維恩圖一樣，“安全性”和“合規(guī)性”的概念有很多共同之處，但并不相同。網(wǎng)絡(luò)安全服務(wù)提供商RSA Security公司的首席技術(shù)官Ben Smith表示，這種區(qū)別不僅是一種練習(xí)，也是一種現(xiàn)實(shí)挑戰(zhàn)。

人們已經(jīng)看到，對合規(guī)性等同于安全性的過度依賴是許多公開報道的重大數(shù)據(jù)泄露事件的共同原因。一家大型零售商在采用了一種不太理想且成本更低的無線身份驗(yàn)證之后，對外泄露了9000多萬張信用卡和借記卡信息。美國一家州政府丟失了該州75%的納稅人敏感數(shù)據(jù)，然后抱怨美國聯(lián)邦政府沒有要求數(shù)據(jù)加密。

在網(wǎng)絡(luò)安全和合規(guī)性方面，藝術(shù)勝過科學(xué)

網(wǎng)絡(luò)安全和合規(guī)都是復(fù)雜的職能領(lǐng)域，通常是超負(fù)荷工作和人手不足的專業(yè)團(tuán)隊(duì)的責(zé)任。需要企業(yè)員工和他的同事在如何完成工作的問題上達(dá)成一致意見。

無論人們認(rèn)為網(wǎng)絡(luò)安全更像是一門藝術(shù)還是一門科學(xué)，關(guān)于網(wǎng)絡(luò)安全唯一明確的是，有保證的解決方案往往需要澄清。與其相反，合規(guī)性更像是光譜科學(xué)的一端，因?yàn)樽C明遵從規(guī)定的授權(quán)往往更像是一種非黑即白、幾乎沒有灰色地帶的活動。

跳出“復(fù)選框”思考問題

這種更直接的證明合規(guī)的性質(zhì)有時使它被輕蔑地描述為一種復(fù)選框練習(xí)，這往往是一種不公平的貶低，因?yàn)閺耐饪剖中g(shù)到飛機(jī)飛行之前的檢查再到安全檢查，檢查清單在非常關(guān)鍵的情況下被廣泛依賴。檢查表的可重復(fù)性可以更容易地驗(yàn)證或確認(rèn)企業(yè)是否遵守特定的規(guī)則或目標(biāo)，無論是由政府法規(guī)還是整個行業(yè)的通用標(biāo)準(zhǔn)。

一項(xiàng)關(guān)于清單有效性的醫(yī)學(xué)研究表明，清單可能存在脫節(jié)的地方：清單本身是一種工具，而不是目標(biāo)本身。在網(wǎng)絡(luò)安全領(lǐng)域，控制的檢查表及其推薦或需要的配置是工具，而不是目標(biāo)。合規(guī)性領(lǐng)域有時可能過于關(guān)注在評估階段避免特定控制的失敗，從而有可能錯過如何保護(hù)企業(yè)持有的數(shù)據(jù)這一更廣泛的目標(biāo)。

滿足不斷發(fā)展的安全標(biāo)準(zhǔn)

在過去的二十年，在試圖彌合安全性與合規(guī)性差距方面不斷改進(jìn)的一個標(biāo)準(zhǔn)是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)，該標(biāo)準(zhǔn)專為跨多個垂直領(lǐng)域處理信用卡的組織而設(shè)計。當(dāng)前版本于2022年初發(fā)布，直到2024年才生效，這可能是自從這一標(biāo)準(zhǔn)近20年前首次推出以來最主要的更新。

這次更新中的許多變化都是由現(xiàn)實(shí)世界的事件驅(qū)動的。過去最少7個字符的密碼現(xiàn)在最少達(dá)到12個字符。云計算和無服務(wù)器計算等最近的技術(shù)創(chuàng)新領(lǐng)域得到了更多的關(guān)注。通過NDR或XDR功能實(shí)現(xiàn)網(wǎng)絡(luò)可見性的重要性反映在網(wǎng)絡(luò)安全控制和檢測惡意軟件的需求中?！翱梢娦浴辈辉賰H僅是關(guān)于日志，它一直是環(huán)境中動作的跟蹤指示器。也許最重要的是，在這一修訂版中，鼓勵將安全性視為一個連續(xù)的過程，而不是某個時間點(diǎn)的驗(yàn)證度量。

有了這一最新的行業(yè)標(biāo)準(zhǔn)，就能認(rèn)識到當(dāng)今現(xiàn)實(shí)世界的挑戰(zhàn)，人們能指望永遠(yuǎn)不會聽到一個完全符合PCIDSS的企業(yè)在未來發(fā)生網(wǎng)絡(luò)安全漏洞嗎?當(dāng)然不能。

這就是應(yīng)該開始驅(qū)散迷霧的地方：當(dāng)從合規(guī)性的角度考慮標(biāo)準(zhǔn)和法規(guī)時，在將它們映射到安全問題時，它們應(yīng)該被視為絕對最低的限度。合規(guī)性通知安全性，特別是圍繞這兩個功能所需的技術(shù)控制，但是合規(guī)性從來沒有被設(shè)計用來取代安全性。

鼓勵和支持企業(yè)內(nèi)部的透明度

具有安全意識的企業(yè)在其安全成熟之旅中已經(jīng)進(jìn)一步弄清楚了這種區(qū)別。實(shí)現(xiàn)這一目標(biāo)的最快途徑是確保安全、合規(guī)、法律和高管之間圍繞可見性和風(fēng)險接受的對話得到積極鼓勵和支持。如果沒有這種持續(xù)和透明的溝通，“安全”很容易看起來像是在核對合規(guī)性——這是企業(yè)在安全之旅中不成熟的一個重要跡象。這似乎令人滿意，直到發(fā)生網(wǎng)絡(luò)攻擊，此時安全團(tuán)隊(duì)將站在對任何有缺陷的工具和實(shí)踐負(fù)責(zé)的前沿。

無論是行業(yè)還是政府實(shí)施的標(biāo)準(zhǔn)和法規(guī)，要跟上現(xiàn)實(shí)世界的發(fā)展，都一直是并將繼續(xù)面臨挑戰(zhàn)。安全團(tuán)隊(duì)生活在這個快速變化的世界中，而居心不良者通過創(chuàng)新來實(shí)現(xiàn)他們的目標(biāo)。

把安全性與合規(guī)性的關(guān)系想象成大多數(shù)人都經(jīng)歷過的重要的成年儀式：十幾歲的孩子第一次通過駕照程序，就像頒發(fā)駕照之前進(jìn)行的筆試和路考一樣，合規(guī)標(biāo)準(zhǔn)涵蓋了基本內(nèi)容，但并沒有完全考慮到司機(jī)可能遇到的交通擁堵、惡劣天氣等挑戰(zhàn)。標(biāo)準(zhǔn)是必不可少的，但不能涵蓋所有可能性——這正是事件響應(yīng)人員每天在網(wǎng)絡(luò)安全中所經(jīng)歷的。

不要成為那種把自己的帽子掛在“合規(guī)=安全”謬論上的企業(yè)。要意識到標(biāo)準(zhǔn)和規(guī)定是有用和重要的，但它們也可能過時。企業(yè)需要確保安全性和合規(guī)性團(tuán)隊(duì)定期溝通，并開展密切合作。企業(yè)至少每年審查和執(zhí)行事件應(yīng)變計劃，不要害怕在外部尋找精通安全性和合規(guī)性的合作伙伴，他們可以縮短識別差距所需的時間，并在正在進(jìn)行的風(fēng)險評估工作中提供有價值的指導(dǎo)。