SafeBreachCISO Avi Avivi 分享了他對(duì)為什么僅靠滿足網(wǎng)絡(luò)安全合規(guī)性是不夠的以及BAS工具如何提供幫助的觀點(diǎn)。

RMS泰坦尼克號(hào)的沉沒(méi)導(dǎo)致1,500多人喪生——這是完全可以預(yù)防的。機(jī)組人員已被警告有冰山，但仍以全速行駛，這是標(biāo)準(zhǔn)做法。他們只為大約一半的乘客提供足夠的救生艇，但他們遵守海事法。事實(shí)上，他們已經(jīng)超過(guò)了四艘船的最低要求。

向前邁進(jìn)了一個(gè)世紀(jì)——從海上悲劇到網(wǎng)絡(luò)安全災(zāi)難——SolarWinds2020 年的漏洞也是一個(gè)可以預(yù)防的想象失敗。許多組織今天仍在恢復(fù)，即使它們當(dāng)時(shí)完全符合聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(FedRAMP)并錯(cuò)誤地認(rèn)為它們是安全的。事實(shí)上，許多人認(rèn)為可以使他們更安全的安全補(bǔ)丁是特洛伊木馬，在實(shí)施時(shí)，它引入了一個(gè)后門，危害了數(shù)千個(gè)網(wǎng)絡(luò)。

現(xiàn)在，合規(guī)性本身并不是問(wèn)題。這是一個(gè)很好的開(kāi)始，表明一家公司正在達(dá)到安全成熟度的門檻，但這還不夠?？蚣軐?duì)于幫助確保考慮安全計(jì)劃的所有方面也很重要。但同樣，它們只是一個(gè)開(kāi)始，不會(huì)提供企業(yè)需要了解哪些安全控制和程序最適合其獨(dú)特案例的規(guī)范性指導(dǎo)。

專注于圣靈與書(shū)信

組織必須努力遵守合規(guī)框架的精神，而不是其文字。例如，在某個(gè)時(shí)候，它成為了運(yùn)行年度滲透測(cè)試的要求，但沒(méi)有提供太多關(guān)于你應(yīng)該如何進(jìn)行的規(guī)范。因此，只要一個(gè)組織以他們選擇的方式每年運(yùn)行一次滲透測(cè)試，他們?cè)诩夹g(shù)上就是合規(guī)的。但它們真的符合該框架的精神嗎？

如果您只遵循合規(guī)要求，盲點(diǎn)將不可避免地形成?？蚣茏罱K會(huì)將您的注意力限制在您僅保護(hù)適用于合規(guī)性的環(huán)境子集的程度。因此，您可能完全合規(guī)——并有安全的錯(cuò)覺(jué)——但容易受到合規(guī)未涵蓋的區(qū)域的任何攻擊。

將合規(guī)設(shè)置為您的BAS線

安全控制驗(yàn)證是許多組織合規(guī)性要求的關(guān)鍵組成部分。但是對(duì)于測(cè)試控制的最佳方式存在不同的意見(jiàn)，包括應(yīng)該何時(shí)進(jìn)行、多久進(jìn)行一次以及哪些工具最有效地支持該過(guò)程。為確保您的安全計(jì)劃盡可能成熟，請(qǐng)將合規(guī)框架作為您的基準(zhǔn)，并以此為基礎(chǔ)。

法規(guī)是足以涵蓋各種企業(yè)的通用指南，但每個(gè)企業(yè)都有自己的挑戰(zhàn)。因此，時(shí)間點(diǎn)滲透測(cè)試或紅隊(duì)等合規(guī)監(jiān)管活動(dòng)可能還不夠。這就是SafeBreach平臺(tái)等違規(guī)和攻擊模擬(BAS) 工具提供的自動(dòng)化、持續(xù)安全驗(yàn)證發(fā)揮作用的地方。SafeBreach使用戶能夠跨各種控制執(zhí)行有針對(duì)性的攻擊場(chǎng)景，以優(yōu)化其特定的配置集，查明其堆棧中的低效率，并為其業(yè)務(wù)的未來(lái)創(chuàng)建更強(qiáng)大的安全基礎(chǔ)。

查看下面我最近的網(wǎng)絡(luò)研討會(huì)的記錄，以了解更多關(guān)于合規(guī)性限制的信息，并在我提出將BAS集成為支持安全產(chǎn)品組合中合規(guī)性的實(shí)用方法的案例時(shí)聽(tīng)取我的意見(jiàn)。希望我們能夠共同努力，超越合規(guī)性，更好地避免威脅（提防冰山）并彌補(bǔ)差距（增加更多的救生艇）。

審核編輯：劉清