合规不利于安全的五种情形

秦安战略
军事专家,信息安全方向博士。  来自北京市
符合规定要求与提供能够实际缓解风险的真正安全其实并不完全一致。只专注合规反而有害安全实现。 IT安全

符合规定要求与提供能够实际缓解风险的真正安全其实并不完全一致。只专注合规反而有害安全实现。

IT安全行业里大多数人都知道,合规不等同于安全。合规是审计性质的文书工作,需对照清单一条一条查对审核。安全则是技术性的现实世界网络安全,需切实减小风险。合规就是 “你有没有能够及时应用关键修复的补丁管理项目——有还是没有?” 安全则是弄清何时该应用哪些补丁,打上这些补丁,然后再次核实补丁已经应用上了。合规助你通过审计,安全实际护你左右。

二者貌似追寻同一个目标:减少网络安全风险。但合规对此目标的贡献实在虚无缥缈,令人不禁怀疑到底有没有在减小现实风险。原因如下:

一、合规是二元的

安全风险显然不是二元的,但合规是。合规就是只准回答 “是或否” 的一系列二元问题。你做或没做某某事项?没给创新思维或更强大的安全留下太多空间。举个例子,大多数合规规定要求至少8个字符的复杂密码。即便20个字符的非复杂密码无疑更难破解也更容易使用,在大多数公司企业里你却不能这么设。

另一个例子,大多数规定要求设置用户账户锁定策略:密码输入错误次数达到预设阈值即锁定账户。如果已经要求了足够长的密码,那其实无需账户锁定策略风险也不会太高。

增加密码默认强度不能免除账户锁定策略的要求。但某些情况下,账户锁定策略反而会增加拒绝服务事件的风险。密码猜解蠕虫往往会尝试100个随机密码,极有可能导致目标用户账户被锁定。黑客也可以对在线门户网站发起密码猜解攻击,令网站用户无法登录。

二、合规相关性不高

社会工程和网络钓鱼占了所有恶意网络攻击根源的70%到90%,但你很难在合规指南中找到一条以上有关安全意识培训和社会工程的条款。漏洞修复是第二号问题,导致了20%到40%的网络入侵事件,合规指南中通常有多个章节是关于漏洞修复的。数据存储加密很难挡住多少攻击,但往往有连篇累牍的合规建议和指南。

如果根据合规规定中特定主题的章节长度来构建防御,那你可能会觉得加密是重中之重。但规定可不是风险衡量指标,如果不得不符合200条对降低风险没什么实际帮助的规定,反而会干扰实施那一条具有最大影响的措施。

三、规定变化缓慢

在纳入新安全建议的步伐上,所有监管规定都行动迟缓。合规文档中充斥着防火墙、隔离区和软盘这些老生常谈,没多少东西是关于如何更好地保护云交互、多因子身份验证、勒索软件、量子计算、密码重用、第三方供应商风险、民族国家攻击和供应链管理的。这世界变化快,IT安全领域发展变化更快,但监管规定却变化缓慢。

四、合规高于一切

当安全与合规狭路相逢,合规总能胜出。CEO和老板们有责任确保公司达成所有合规目标。他们不会听你解释为什么你的密码因为比合规指南要求的更健壮而需提交审计异议,因为这与现行大多数规定不相符合。确保合规清单上条目被勾选的每一秒,都是真正的计算机安全被无视的时光。

五、都在做戏

最讽刺的来了。大家都知道合规就是个大骗局。每个人都心知肚明。比如说,几乎每个监管规定都要求用户做关键系统备份,并定期加以测试。不知怎么回事,几乎每次合规审计中,被审计对象都宣称做到了这条要求。但实际上几乎没人这么做,无数起成功的勒索软件攻击就是明证。

没错,大多数公司企业确实备份了关键系统,但几乎没人会测试从这些备份数据倒推到底能不能成功恢复系统。谁有这测试时间?谁有那么多充足的人手来实际负责这件事?管理层就没给IT团队做这事儿的资源。他们问都不问,压根儿不关心,直到为时已晚……可能99%的IT团队自公司成立以来都没做过几次备份测试,但几乎每次合规审计,审计与被审计双方都默契认同做了备份测试。与此异曲同工的还有控制措施的定期测试。每个人都宣称在做,但几乎没人有做过。

再举一个非常明显的例子。所有条例都规定要及时打上全部重要/关键补丁(不管这里的 “及时” 到底指的是几小时还是几周之内吧)。但实际操作中连打全补丁的都凤毛麟角,就更别说“及时打全补丁”了。比如漏洞常曝且长存的思科路由器。

完全修复的服务器也近乎为零。每个人都觉得服务器已经完全修复了,但实际上指的只是打上了全部微软补丁,甚至微软补丁打没打全都不一定。即便操作系统补丁打上了,服务器管理软件却仍然是过时的。有些底层视频编码器堪称老旧。一些服务器管理工具年代久远。所谓过时、老旧、年代久远,意味着包含公开已知漏洞——可被远程利用来接管服务器的那种。

要不然就是告诉审计员99%的漏洞都给补上了,而且还能拿出报告加以证明。但没告诉审计员的是:没有修复的那1%的漏洞,正是最有可能被恶意黑客利用的那些。无数公司企业都这么做的:合规报告中宣称已完全修复,但实际上漏洞一直都在

另一个常见的合规谎言是关于日志审查的。每个规定都要求定期审查所有日志。有些规定甚至要求每天审查。但IT部门有时候甚至根本不知道日志都在哪儿,更别说找出这些日志并加以定期审查了。电脑上一般保存有几十种日志,大多数都包含与安全或应用相关的信息。大多数电脑上被挑出来审查的日志能有少数几种都算好的了,绝大部分的日志文件从未被找到,也从未被审查

没人定期审查什么日志。这不难想象。一堆人每天一条一条筛查防火墙日志?开玩笑!没人有这时间。所以,大多数人声称的每天定期审查日志,其实指的是挑几台电脑上的部分日志丢给自治系统自动审查,找出预定义的关键事件后等他们来发出警报。注意:是某些设备上的某些日志。定期审查所有日志文件不过是没什么用的白日梦。但我们所有人都认同这一说法。

合规审计中,被审计的团队很清楚自己的网络充满了各种各样的安全漏洞。他们认为自己的环境就是个纸牌塔,只要审计员 (或攻击者) 抽中正确的那张,一切玩完。所以被审计团队会试图引导审计员,让他们避开已知漏洞。他们祈祷在审计员问出关键问题前就审计结束,或者,上帝保佑,审计员只看报告不做实际控制措施测试。

审计员知道这是怎么回事儿。他们只是试图做好自己的工作,不让客户讨厌他们。他们觉得只要发现些小问题可以写份报告,也就取得了一定的胜利,能够心安理得地拿走审计薪金了。人们都认为只有找出一些错漏,才能证明审计的钱花得值。

无论如何,这就是场双方默契的表演。

合规妨碍安全的理由还有很多,比如大量时间精力浪费在满足略有不同的多个合规要求上。或者某些指南过于详细,而其他规定又过于宽泛。合规最大的问题就在于,没有跟进真正应该减小的底层网络安全风险。没尊崇真正的安全实现真是件令人悲伤的事。当合规与安全冲突时,只要安全能偶尔胜出,情况都会更好些。

延申阅读:安全、合规、IT运营面临的5大主要挑战

nana 安全牛 2016-06-03

鉴于如今不断进化的威胁态势,公司企业希望采取积极主动的威胁应对方式,创建持续合规的环境,拥有响应良好的IT运营过程,是无可厚非的。谁不想减小风险暴露面和攻击界面?谁不想能检测并响应高级威胁?谁不想降低安全运营开销?

现实却是:各种各样的压力阻碍着公司企业实现这些目标,而且这些压力还不会很快消失。多家商业及公共机构的安全实践负责人和高管,就最优化安全及合规项目,综合出了5条必须应对的挑战。

挑战 #1:数据泄露那为人所知的影响

看起来无穷无尽不断登上新闻头条的数据泄露事件,让公司企业,包括高管和董事管理层,都意识到了安全的重要性,也感受到了可能成为下一个受害者的恐惧。

去年,《Tripwire》调查中82%的受访者认为自家公司会遭遇数据泄露。ISACA和RSA的联合调查也表明,78%的董事会如今对计算机安全十分在意。

这种高度关注,部分是由于计算机犯罪造成的损失。据美国战略与国际问题研究中心估计,计算机犯罪每年造成的损失高达4450亿美元。很不幸,随着公司企业处理和存储更多的信息,随着网络犯罪愈加流行且影响越来越大,这个数字也会水涨船高。

网络犯罪在频度、影响和复杂性上持续升级,公司企业无论规模和产业,均受其威胁。一起数据泄露或网络入侵事件,就可以致使公司企业损失客户、利润和信誉,遭遇运营持续性的伤害和数据完整性质疑。对某些公司而言,这些损失的程度可以从惨痛到完全不可恢复。

挑战 #2:技术缺口

引发数据泄露损失上升的驱动因素之一,就是持续升温的信息安全技术缺口问题。

上文提及的ISACA/RSA调查中,52.44%的受访者觉得自家公司员工中只有不到1/4是称职的。这些受访者同时指出,安全实践者理解业务的能力是最大的技术缺口。

该问题给公司企业带来了很严重的风险。如果安全实践者不能完全理解他们业务的本质,安全和业务负责人就无法看清每个资产在支持公司使命方面所起的作用。这意味着他们领会不到保护每个资产的相关业务重要性,而这将会影响到他们减少威胁缓解风险的能力。

而且,尽管业务纯熟的专业人士如今或许炙手可热,也掩盖不了信息安全从业者人数不足这个简单而残酷的事实。2014年的一项调查估测,全球安全专业人士岗位需求425万个,但只有225万名从业者活跃在这一领域。

技术缺口还给公司企业带来了双重风险。不仅仅是信息安全从业者短缺,有经验的管理人才更是稀缺。只要还想撑住自己的数据安全,公司企业必须直面招聘和技术缺口的挑战。

挑战 #3:终端爆炸式增长

很久以前,网络设计者仔细思考过以太网连上烤箱的前景。在当时,这只能是个笑谈,但如今,技术已经证明或者即将表明,所有事物都可以通过网络来连接、访问、提供服务,或者加以控制。联网设备及资产的大爆炸,引入了增量扩张问题,让大多数早期安全和合规模型及预测难堪重任。当前比以往任何时候都需要有经验的安全人士来护卫现代IT环境中五花八门的大量终端设备,而且未来这些设备还会只多不少。

这与1992年IT从业人士可以用杀毒软件抵御大多数数字威胁的情况不是一个级别的。但根据思科的报告,如今大约有229亿台终端运行在企业网络中,到2020年该数字还会翻个倍。要保护如此之多的设备,安全运营开销和公司企业确保每台设备合乎行业标准的投入,自然也会随之直线上升。

挑战 #4:数字-物理融合

终端数量在所有经济领域增殖,包括金融服务、零售、饮食、工业、电力、油/气、汽车、运输和公用事业公司。这些公司有责任维护关键国家基础设施,比如运输系统、电站和电力输送系统、耐用消费品,以及食品生产、加工和配送设施。也就是说,对他们终端的任何威胁,都有可能摧毁经济或造成破坏,包括对市民的物理伤害。

如果一家工业公司意识到工业控制系统(ICS)中存在漏洞,他们将会应用对策,进行硬件修复,确保在进行进一步动作前没有软件冲突。这是因为ICS里的硬件问题是十分重大的,会在高度优化和有限容错的生产体系中造成断电、减少工业输出和其他不良下游效应。

同时,企业还极关注隐私,有一套规则限制非特权用户访问信息。他们的信息安全项目大多用在了防范数据泄露的信息保密性上。

IT和OT曾经是分离的,但在物联网(IoT)和工业物联网(IIoT)背景下,我们开始见证企业和工业团队共同合作,无缝衔接服务的融合景象。我们有充分的理由认定,这俩在关键基础设施防护上也应结成良好同盟。

展望未来,为锻造建设性伙伴关系,在平衡优先级和探索安全利用方式的时候,公司企业需要将IT、IoT/IIoT中的所有系统和终端纳入考虑。

挑战 #5:飞速发展的安全和技术

如数字-物理融合所揭示的,威胁并不是均匀分布的。各家公司之间安全的形式和维度都不相同。这意味着“安全工具箱”式的解决方案或许是应对的一部分,但绝不是保持系统和数据安全的完整答案。

安全必须进化才能应对当今复杂的威胁态势。去年、前年的解决方案,需要相对于其当前的价值主张进行重新评估。其中一些技术和厂商伙伴关系会持续推进到未来,并有价值主张上的改善。其他则不会那么好运,若想继续生存下去提供价值,就需要作出极大的改变和适应。在提供商领域,我们目前正在见证沧海桑田般的转变:领域内老牌提供商已丧失了领头羊地位,新提供商顶替了他们的位置。无论如何,解决方案需要适应企业当前和未来的需要。总的来说,安全解决方案需要让公司企业更方便地相互共享威胁情报。

当然,这些改变会让公司企业难以在安全方面进行投入。毕竟,引导所有这些各不相同的数据包和配置选项,是件令人头疼的事。

因此,公司企业需要理清自身在安全上的具体需求,要识别出最需要保护的关键资产,找出搞定安全需求所必需的技术、人手和其他资源。

一个重要,或者说必不可少的基准点,是安全框架。大多数公司企业都需要采纳一个,就像所有商业和公共机构都遵守标准财务报告框架和协议一样。NIST、Gartner的PPDR、CIAS、ISO27001之类的公开安全框架都有效。框架一旦选定,根据公司及其所属商业生态系统的具体需求进行校准和调整便是必不可少的。所选框架的采纳应用,需要良好的计划、强力的投入(或许还有资金的重分配)、靠得住的合作伙伴、执行,以及时间。

结论

或许各人想法有异,但这5个挑战不会很快消失。公司企业需要将这些因素纳入考虑,拿出一个向前看的方案。他们需要准备好管理和缓解不断升级的安全,顺应这些趋势带来的运行风险。这一过程应该包括:

  • 按基于风险的定位,准确评估公司IT、IoT/IIoT相关需求;

    采纳并应用合适的基于标准的框架;

    创建或调整自身安全及合规架构;

    选择战略供应商/合作伙伴,他们的技术能力、战略愿景和商业活力要能支持你的架构,核心能力要能解决这些趋势带给公司的挑战;

    根据业务风险优先级发展和阶段性实现及部署安全合规计划;

    实现或扩展持续性监测、响应及校验项目。

    最后,有鉴于这些趋势,每家公司企业都需要扩展对于手头任务规模和复杂性的认知。这一认知会拓宽安全项目的范围,使之容纳进整体环境及用以缓解所面临风险的长期计划。

    采取务实的积极的方法态度对待网络安全和合规,是当前重中之重。

打开APP阅读更多精彩内容