在網(wǎng)絡安全領域，合規(guī)常常被視為安全的代名詞，但實則不然。許多企業(yè)陷入“勾選框合規(guī)”的陷阱，忽視了安全的本質。CISO們發(fā)出警示：合規(guī)只是安全的基線，而非最終目標。那么，如何從合規(guī)思維轉向更具韌性的安全思維呢?

對于許多CISO來說，合規(guī)可能感覺像是一種必要的惡，并帶來一種虛假的安全感。雖然ISO 27001、SOC 2和PCI DSS等框架提供了結構化的指南，但它們并不自動等同于強大的網(wǎng)絡安全。挑戰(zhàn)在哪里呢?許多企業(yè)專注于勾選合規(guī)選項，而不是確保其控制措施的有效性。

問題不在于合規(guī)本身，而在于心態(tài)。安全團隊常常為了通過審計而匆忙準備，一旦文件簽署完畢，就一切如常。事實是，監(jiān)管的勾選標記并不能阻止勒索軟件攻擊、內部威脅或供應鏈妥協(xié)。實際上，近年來一些最高調的數(shù)據(jù)泄露事件就發(fā)生在那些技術上合規(guī)但遠非安全的企業(yè)身上。

每位CISO都應該問一個關鍵問題：“如果明天合規(guī)要求消失了，我的公司還會安全嗎?”

“合規(guī)是衡量特定要求進展的有用工具，但它不是安全方面的終點線。它是一個容易談論的話題，因為與合規(guī)相關的事情總是出現(xiàn)在新聞中——我從未讀過一篇文章或看過一份報告(在主流、非技術媒體中)談論NIST 800-53或CIS關鍵安全控制等框架。當發(fā)生數(shù)據(jù)泄露時，報告關注的是被竊取或訪問的記錄或數(shù)據(jù)數(shù)量，或隱私侵犯(即HIPAA)。通常不會提及MITRE ATT&CK框架和泄露期間使用的戰(zhàn)術、技術和程序(TTPs)，”Fortra的首席安全和風險官Chris Reffkin告訴記者。

合規(guī)陷阱：公司出錯的地方

CISO們知道安全和合規(guī)不是一回事，但高管和董事會成員并不總是這么看。這就是企業(yè)陷入“勾選框合規(guī)”陷阱的地方：

一次性安全：許多公司將合規(guī)視為一年一度的事件，而非持續(xù)的過程。這會在審計之間留下安全控制降級或未受監(jiān)控的空白期。

過度依賴第三方審計師：通過外部審計并不意味著你的安全就堅不可摧。一些審計師只驗證文檔，而不是測試實際有效性。

拘泥于法律條文，而非法律精神：僅僅因為一家公司技術上符合法規(guī)要求，并不意味著它就安全。例如，實施多因素認證(MFA)但允許容易繞過的推送疲勞攻擊，這不是真正的安全，而是合規(guī)作秀。

忽視人為因素：合規(guī)框架通常強調技術控制，但大多數(shù)數(shù)據(jù)泄露仍涉及人為錯誤。很少強制要求安全意識培訓和真正的行為改變，導致安全文化薄弱。

缺乏持續(xù)監(jiān)控和適應：合規(guī)規(guī)則通常是靜態(tài)的，而威脅卻在不斷演變。如果一個企業(yè)只是做要求做的事情，而不是主動調整安全措施，那么它已經(jīng)落后了。

Reffkin解釋說，關于如何最好地將合規(guī)與“良好的安全實踐”相結合的建議將取決于你的企業(yè)、其威脅狀況、風險承受能力和業(yè)務性質。然而，他建議了三件事：

• 首先，與你的網(wǎng)絡保險承運商交談。大多數(shù)承運商都有不錯的診斷評估來評估潛在被保險實體面臨的網(wǎng)絡威脅潛在暴露(即風險)。而且作為額外福利，保險公司基于概率和潛在暴露來提出問題，因為這是他們評估風險并最終賺錢的方式。
• 其次，利用現(xiàn)有的安全標準，看看你的安全和IT能力如何對齊(例如CIS、CSF等)。一般來說，所有安全標準都會映射到大多數(shù)合規(guī)和監(jiān)管框架，因此你將能夠看到合規(guī)與更以安全為中心的框架之間的差距。
• 第三，根據(jù)你的項目成熟度，聘請安全顧問進行評估。這可能包括對你的項目進行一般性的安全審查，或進行滲透測試或紅隊演練。如果你已經(jīng)完成了工作并構建了一個項目，那么是時候獨立測試它了。

CISO如何從合規(guī)思維轉向韌性思維

1. 將合規(guī)視為安全的基線，而非最終目標

合規(guī)應被視為起點，而非終點。構建超出監(jiān)管要求并適應新威脅的安全策略。

示例：不要僅僅因為PCI DSS要求就加密敏感數(shù)據(jù)，而要實施零信任原則來限制數(shù)據(jù)訪問并減少暴露。

2. 實施持續(xù)的安全驗證

定期測試和驗證安全控制，超出合規(guī)檢查的范圍。這包括：

• 紅隊演練以模擬真實世界的攻擊。
• 自動化安全測試(例如攻擊路徑模擬)。
• 行為監(jiān)控以實時檢測異常。

示例：不要僅僅為了合規(guī)而記錄安全事件，而要積極使用SIEM和XDR在威脅造成損害之前進行威脅追蹤。

3. 改變與董事會的合規(guī)對話

許多高管將“合規(guī)”等同于“安全”。CISO需要重新構建這些討論，以突出真正的風險暴露，而不僅僅是監(jiān)管狀態(tài)。

示例：不要報告“我們100%符合SOC 2”，而要說“我們符合合規(guī)要求，但我們最大的安全漏洞是X、Y和Z。這是我們需要修復的地方?！?/p>

4. 將合規(guī)與業(yè)務風險對齊

法規(guī)的存在是為了減輕風險，但它們并不能涵蓋所有風險。將合規(guī)工作與業(yè)務風險對齊，以確保安全投資提供保護。

示例：如果你的公司處理AI驅動的數(shù)據(jù)處理，合規(guī)框架可能不會涉及AI模型安全，但攻擊者仍會將其作為目標。即使法規(guī)尚未要求，也要解決安全漏洞。

5. 將安全文化作為優(yōu)先事項

安全意識培訓不應是一項勾選框任務。不要進行一年一度的通用培訓，而要專注于持續(xù)、引人入勝和適應性的安全教育。

示例：超越釣魚模擬，實施基于行為的培訓，根據(jù)員工反應和風險水平進行適應。