5种合规方式会损害安全性 - 沐鸣平台资讯 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

5种合规方式会损害安全性

浏览次数:115日期:2019-06-03小编:沐鸣

  欢迎访问沐鸣娱乐注册网址,我们IT安全业务的大多数人都知道合规性与安全性不同。合规性是一种审计,文书工作,核对清单的心态。安全是一种战术性的,真实的网络安全,降低风险的心态。合规性是“您是否有及时应用关键补丁的补丁管理程序 - 是或否?”安全性正在确定应用哪些补丁以及何时应用这些关键补丁,然后重新验证这些补丁是否已应用。一个可以帮助您通过审核。另一个实际上可以保护你。


  据说两者都在为同一目标努力:降低网络安全风险。但合规是如此,更糟糕的是,我不确定它对减少真正的风险有多大帮助。以下是五个原因:


合规是二元的

  安全风险不是二元的,但合规性是关于二元问题和答案,是或否。你或你不是这样做的吗?它不允许有很多空间用于开箱即用的思维,甚至更强大,更好的安全性。例如,大多数合规性法规要求复杂的密码为八个字符或更长。尽管20个字符的非复杂密码难以破解且更易于使用,但您无法在大多数组织中使用它。


另一个例子是,大多数法规要求在密码输入错误一定次数后锁定用户帐户的策略。如果你需要足够长的密码,那么哟


  增加密码的默认强度不会使您无法启用帐户锁定。在某些情况下,帐户锁定策略会增加拒绝服务事件的风险。密码猜测蠕虫通常会尝试100个随机密码,这将锁定其目标客户的用户。或者黑客会猜测一个在线门户网站的密码,再次锁定这些用户。


2.合规性无关紧要

  社交工程和网络钓鱼是所有恶意攻击的70%到90%,但在任何监管指南中,您都很难找到关于安全意识培训或社会工程的句子。修补是第二个问题,目前导致20%到40%的妥协,并且它通常有多个段落专门用于它。存储加密可以阻止很少的攻击,但它通常会有一些建议。


  如果您根据特定主题的文本英寸数量阅读任何规则并为自己辩护,您会认为加密是您最大的担忧。法规并不是风险的衡量标准,但如果我必须遵守200项实际上降低风险的事情而不是那些会产生最大影响的事情,这似乎是一个不平衡的问题。


法规变化缓慢

  当出现新的安全建议时,所有法规都很难改变。在合规文档中,您会发现很多提到的三脚防火墙,DMZ和软盘。您将找不到有关如何更好地保护云交互,多因素身份验证,勒索软件,量子计算,密码重用,第三方供应商风险,民族国家攻击和供应链管理的大量信息。世界正在发生变化。 IT安全性正在发生变化,但对于法规而言并非如此。


合规始终胜利

  问题是,当安全性和合规性发生冲突时,合规性总会获胜。首席执行官和老板个人负责确保组织满足所有合规目标。他们不想听你解释为什么你必须提交审核例外,因为你的密码比合规指南所要求的更强大,更好,因为这样做会使你不符合大多数现行法规。每一秒都有人正在努力确保在合规性检查表上获得一个复选框,这是真正的计算机安全性没有被处理的第二个。


这都是谎言

  这是最大的踢球者。每个人都知道合规是一个很大的骗局。大家。让我举几个例子。每项法规都要求用户备份关键系统并定期对其进行测试。不知怎的,在我看过的每次合规性审计中,被审计的实体都说它就是这样做的。事实是,几乎没有人这样做,因为所有成功的勒索软件攻击都是揭示出来的。


  是的,大多数实体都会备份大多数关键系统,但几乎没有人会测试从这些备份中恢复是否可以成功恢复系统。谁有时间?谁有员工才能真正做到这一点?管理层并没有为IT提供资源。他们不会问这个问题。他们不关心它......直到为时已晚。我敢打赌,99%的IT世界从未测试过公司历史上的一些备份,但几乎所有的合规审计都让双方同意这样做。 “定期测试控件”也是如此。每个人都声称他们这样做,但很少有人这样做。


让我再举一个明显的例子。每一条规定都应及时应用所有关键补丁(无论何时及时)。在我32年的职业生涯中,我从来没有见过我检查过的单个实体完全修补过。我从未见过及时适当修补过的单个Cisco路由器。


  我从未见过单个服务器完全打补丁。每个人都认为他们已完全修补。它们的真正含义是应用了所有Microsoft补丁,即使这种情况也很少。即使应用了OS补丁,服务器管理软件也已过时。一些基础视频编码器已过期。他们安装的一些服务器管理工具已过时。过时了,我的意思是它们包含一个可以远程用来接管服务器的公开漏洞。


  或者他们告诉审核员他们已经99%修补,他们可以向他们展示报告以证明它。他们没有告诉审计员他们没有修补的1%是那些最有可能被恶意行为者利用的人。让我再说一遍,在我检查的数百家公司和数千台计算机中,没有一台完全修补过。然而,每个人都说它是在合规报告上完成的。


  让我给你另一个共同的合规谎言。每条法规都规定必须定期审查所有日志。有些规定每天说。 IT商店甚至不确定他们所有的日志在哪里,更不用说拿起它们并定期查看它们。普通计算机有几十个日志,其中大多数包含与安全性或应用程序相关的信息。我从来没有见过在大多数计算机上拾取的少量日志。大多数日志文件都没有被发现和未查看。


  没有人定期检查任何日志。你可以想象?人们每天都在逐步浏览防火墙日志?热闹甚至想到。没有人有时间。那么大多数人说他们每天定期查看日志真的意味着他们拿起一些计算机上的一些日志,他们让一些自治系统查看他们的日志文件,寻找预定义的关键事件并等待他们产生需要注意的警报。同样,这仅限于某些设备上的某些日志。任何人经常检查所有日志文件的想法都是无用的梦想。但我们都签了它。


  在我看过的每次合规性审计中,被审计团队都知道他们的网络充满了许多安全漏洞。他们认为他们的环境是一副纸牌,如果审核员(或攻击者)拉上正确的牌,那么整个事情就会崩溃。被审核的小组试图围绕所述孔导航审核员。他们祈祷审计在审计员提出正确的问题之前完成,或者上帝保佑,实际上是对控制进行测试。


  审计员知道这种情况正在发生。他们只是在努力完成自己的工作而不是让客户讨厌他们。他们觉得他们已经赢得了一些战斗并且如果他们拿出一些东西投入报告就赚了钱。如果他们至少找不到一些东西,没有人会觉得审计资金花得很好。


合规性的最大问题在于它没有足够接近它应该减少的潜在网络安全风险。

但总的来说,这是一个骗局。


  我可以想到为什么合规会损害安全性的更多原因,例如每个人都在努力协调满足多个合规性要求的努力,每个合规要求都略有不同。或者某些指南过于详细,其他指南几乎没有任何细节。合规性的最大问题在于它没有足够接近它应该减少的潜在网络安全风险。令人遗憾的是,我们没有获得更多的信誉来实现真正的安全性。如果安全性在合规性和安全性发生冲突时不时获胜,那将会更好。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有