您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

为什么合规性不等于网络安全

时间:2023-06-02 14:36:13  来源:  作者:企业网D1Net
网络安全和合规都是复杂的职能领域,通常是超负荷工作和人手不足的专业团队的责任。需要企业员工和他的同事在如何完成工作的问题上达成一致意见。

像所有有趣的维恩图一样,“安全性”和“合规性”的概念有很多共同之处,但并不相同。网络安全服务提供商RSA Security公司的首席技术官Ben Smith表示,这种区别不仅是一种练习,也是一种现实挑战。

人们已经看到,对合规性等同于安全性的过度依赖是许多公开报道的重大数据泄露事件的共同原因。一家大型零售商在采用了一种不太理想且成本更低的无线身份验证之后,对外泄露了9000多万张信用卡和借记卡信息。美国一家州政府丢失了该州75%的纳税人敏感数据,然后抱怨美国联邦政府没有要求数据加密。

在网络安全和合规性方面,艺术胜过科学

网络安全和合规都是复杂的职能领域,通常是超负荷工作和人手不足的专业团队的责任。需要企业员工和他的同事在如何完成工作的问题上达成一致意见。

无论人们认为网络安全更像是一门艺术还是一门科学,关于网络安全唯一明确的是,有保证的解决方案往往需要澄清。与其相反,合规性更像是光谱科学的一端,因为证明遵从规定的授权往往更像是一种非黑即白、几乎没有灰色地带的活动。

跳出“复选框”思考问题

这种更直接的证明合规的性质有时使它被轻蔑地描述为一种复选框练习,这往往是一种不公平的贬低,因为从外科手术到飞机飞行之前的检查再到安全检查,检查清单在非常关键的情况下被广泛依赖。检查表的可重复性可以更容易地验证或确认企业是否遵守特定的规则或目标,无论是由政府法规还是整个行业的通用标准。

一项关于清单有效性的医学研究表明,清单可能存在脱节的地方:清单本身是一种工具,而不是目标本身。在网络安全领域,控制的检查表及其推荐或需要的配置是工具,而不是目标。合规性领域有时可能过于关注在评估阶段避免特定控制的失败,从而有可能错过如何保护企业持有的数据这一更广泛的目标。

满足不断发展的安全标准

在过去的二十年,在试图弥合安全性与合规性差距方面不断改进的一个标准是支付卡行业数据安全标准(PCIDSS),该标准专为跨多个垂直领域处理信用卡的组织而设计。当前版本于2022年初发布,直到2024年才生效,这可能是自从这一标准近20年前首次推出以来最主要的更新。

这次更新中的许多变化都是由现实世界的事件驱动的。过去最少7个字符的密码现在最少达到12个字符。云计算和无服务器计算等最近的技术创新领域得到了更多的关注。通过NDR或XDR功能实现网络可见性的重要性反映在网络安全控制和检测恶意软件的需求中。“可见性”不再仅仅是关于日志,它一直是环境中动作的跟踪指示器。也许最重要的是,在这一修订版中,鼓励将安全性视为一个连续的过程,而不是某个时间点的验证度量。

有了这一最新的行业标准,就能认识到当今现实世界的挑战,人们能指望永远不会听到一个完全符合PCIDSS的企业在未来发生网络安全漏洞吗?当然不能。

这就是应该开始驱散迷雾的地方:当从合规性的角度考虑标准和法规时,在将它们映射到安全问题时,它们应该被视为绝对最低的限度。合规性通知安全性,特别是围绕这两个功能所需的技术控制,但是合规性从来没有被设计用来取代安全性。

鼓励和支持企业内部的透明度

具有安全意识的企业在其安全成熟之旅中已经进一步弄清楚了这种区别。实现这一目标的最快途径是确保安全、合规、法律和高管之间围绕可见性和风险接受的对话得到积极鼓励和支持。如果没有这种持续和透明的沟通,“安全”很容易看起来像是在核对合规性——这是企业在安全之旅中不成熟的一个重要迹象。这似乎令人满意,直到发生网络攻击,此时安全团队将站在对任何有缺陷的工具和实践负责的前沿。

无论是行业还是政府实施的标准和法规,要跟上现实世界的发展,都一直是并将继续面临挑战。安全团队生活在这个快速变化的世界中,而居心不良者通过创新来实现他们的目标。

把安全性与合规性的关系想象成大多数人都经历过的重要的成年仪式:十几岁的孩子第一次通过驾照程序,就像颁发驾照之前进行的笔试和路考一样,合规标准涵盖了基本内容,但并没有完全考虑到司机可能遇到的交通拥堵、恶劣天气等挑战。标准是必不可少的,但不能涵盖所有可能性——这正是事件响应人员每天在网络安全中所经历的。

不要成为那种把自己的帽子挂在“合规=安全”谬论上的企业。要意识到标准和规定是有用和重要的,但它们也可能过时。企业需要确保安全性和合规性团队定期沟通,并开展密切合作。企业至少每年审查和执行事件应变计划,不要害怕在外部寻找精通安全性和合规性的合作伙伴,他们可以缩短识别差距所需的时间,并在正在进行的风险评估工作中提供有价值的指导。



Tags:网络安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  Search: 网络安全  点击:(19)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27  Search: 网络安全  点击:(14)  评论:(0)  加入收藏
网络安全--域名过滤功能详解
路由器的域名过滤功能是一种网络安全机制,允许管理员控制局域网内的设备对互联网上特定域名(即网站)的访问。这一功能主要用于家长控制、企业网络管理或者其它需要限制网络使用...【详细内容】
2024-03-26  Search: 网络安全  点击:(5)  评论:(0)  加入收藏
如何使用免费网络安全工具Canary Tokens查明黑客何时访问了您的文件?
译者 | 布加迪审校 | 重楼担心您的个人文件被黑客窃取吗?Canary Tokens是一款免费且易于使用的工具,可以快速部署。如果黑客打开您的文件,它就会通知您。什么是Canary Tokens?Ca...【详细内容】
2024-03-26  Search: 网络安全  点击:(13)  评论:(0)  加入收藏
Sora来袭AI换脸门槛降低 网络安全公司何以应对新风险?
    本报记者 丁蓉    近期,中国香港警方披露了一起AI(人工智能)“多人换脸”诈骗案,涉案金额高达2亿港元。一家跨国公司香港分部的职...【详细内容】
2024-02-29  Search: 网络安全  点击:(38)  评论:(0)  加入收藏
注意网络安全!广州市消委会教您选购智能摄像头
近年来,智能家居技术和产业快速发展,智能摄像头不仅能实现录像功能,还能实现移动追踪侦测、自动巡检、人形侦测等功能,为人们提供了多种安防需求。为向消费者提供真实可用的商品...【详细内容】
2024-02-28  Search: 网络安全  点击:(38)  评论:(0)  加入收藏
深入解析Sysmon日志:增强网络安全与威胁应对的关键一环
在不断演进的网络安全领域中,保持对威胁的及时了解至关重要。Sysmon日志在这方面发挥了至关重要的作用,通过提供有价值的见解,使组织能够加强其安全姿态。Windows在企业环境中...【详细内容】
2024-01-16  Search: 网络安全  点击:(39)  评论:(0)  加入收藏
网络安全员怎么考?有什么要求?行业前景如何?
网络安全员是一种专门从事网络安全防护和管理的专业人员。他们的主要职责是保护网络系统免受各种威胁和攻击,确保网络的稳定运行和数据的安全。网络安全员需要对网络系统进行...【详细内容】
2024-01-16  Search: 网络安全  点击:(76)  评论:(0)  加入收藏
网络安全工程师需要考CISSP证书吗?
网络安全工程师是否需要考取CISSP证书,这主要取决于个人职业规划和市场需求。首先,CISSP证书是国际上公认的网络安全认证之一,拥有CISSP证书可以证明持有者在网络安全领域具备...【详细内容】
2024-01-15  Search: 网络安全  点击:(46)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03  Search: 网络安全  点击:(109)  评论:(0)  加入收藏
▌简易百科推荐
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  小嵩鼠    Tags:数据可视化   点击:(19)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27    51CTO  Tags:网络安全   点击:(14)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27    51CTO  Tags:渗透测试   点击:(26)  评论:(0)  加入收藏
如何保护你的电脑不受黑客攻击
在数字时代,网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生,使得我们的个人隐私和财产安全面临严重威胁。那么,如何保护你的电脑不受...【详细内容】
2024-02-04  佳慧慧    Tags:黑客攻击   点击:(50)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03    51CTO  Tags:网络安全威胁   点击:(109)  评论:(0)  加入收藏
终端设备通信网络安全防护方案
终端设备的网络安全是一个综合性问题,需要用户、组织和厂商共同努力,采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面:1. 强化用户身份...【详细内容】
2024-01-01  若水叁仟    Tags:网络安全   点击:(53)  评论:(0)  加入收藏
深入解析802.1X认证:网络安全的守护者
802.1X认证,对于很多人来说,可能只是一个陌生的技术名词。然而,在网络安全的领域中,它却扮演着守护者的角色。今天,我们就来深入解析802.1X认证,看看它是如何保护我们的网络安全的...【详细内容】
2023-12-31  韦希喜    Tags:网络安全   点击:(66)  评论:(0)  加入收藏
提升网络安全:ADSelfService Plus多重身份验证的关键
在当今数字化的时代,网络安全问题愈发突出,企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁,越来越多的组织开始采用多层次的安全措施,其中多重身份验证成为了关键...【详细内容】
2023-12-27  运维有小邓    Tags:网络安全   点击:(87)  评论:(0)  加入收藏
企业如何应对网络钓鱼攻击的激增?
随着我们进入数字时代,网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中,网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】
2023-12-19    千家网  Tags:钓鱼攻击   点击:(81)  评论:(0)  加入收藏
十四部门开展网络安全技术应用试点示范工作 面向13个重点方向
央广网北京12月18日消息 据工业和信息化部网站消息,工业和信息化部等十四部门印发通知,开展网络安全技术应用试点示范工作,试点示范内容面向13个重点方向。通知指出,适应数字产...【详细内容】
2023-12-18    央广网  Tags:网络安全   点击:(57)  评论:(0)  加入收藏
站内最新
站内热门
站内头条