SafeBreachCISO Avi Avivi 分享了他對為什么僅靠滿足網(wǎng)絡(luò)安全合規(guī)性是不夠的以及BAS工具如何提供幫助的觀點(diǎn)。

RMS泰坦尼克號的沉沒導(dǎo)致1,500多人喪生——這是完全可以預(yù)防的。機(jī)組人員已被警告有冰山，但仍以全速行駛，這是標(biāo)準(zhǔn)做法。他們只為大約一半的乘客提供足夠的救生艇，但他們遵守海事法。事實上，他們已經(jīng)超過了四艘船的最低要求。

向前邁進(jìn)了一個世紀(jì)——從海上悲劇到網(wǎng)絡(luò)安全災(zāi)難——SolarWinds2020 年的漏洞也是一個可以預(yù)防的想象失敗。許多組織今天仍在恢復(fù)，即使它們當(dāng)時完全符合聯(lián)邦風(fēng)險和授權(quán)管理計劃(FedRAMP)并錯誤地認(rèn)為它們是安全的。事實上，許多人認(rèn)為可以使他們更安全的安全補(bǔ)丁是特洛伊木馬，在實施時，它引入了一個后門，危害了數(shù)千個網(wǎng)絡(luò)。

現(xiàn)在，合規(guī)性本身并不是問題。這是一個很好的開始，表明一家公司正在達(dá)到安全成熟度的門檻，但這還不夠。框架對于幫助確保考慮安全計劃的所有方面也很重要。但同樣，它們只是一個開始，不會提供企業(yè)需要了解哪些安全控制和程序最適合其獨(dú)特案例的規(guī)范性指導(dǎo)。

專注于圣靈與書信

組織必須努力遵守合規(guī)框架的精神，而不是其文字。例如，在某個時候，它成為了運(yùn)行年度滲透測試的要求，但沒有提供太多關(guān)于你應(yīng)該如何進(jìn)行的規(guī)范。因此，只要一個組織以他們選擇的方式每年運(yùn)行一次滲透測試，他們在技術(shù)上就是合規(guī)的。但它們真的符合該框架的精神嗎？

如果您只遵循合規(guī)要求，盲點(diǎn)將不可避免地形成。框架最終會將您的注意力限制在您僅保護(hù)適用于合規(guī)性的環(huán)境子集的程度。因此，您可能完全合規(guī)——并有安全的錯覺——但容易受到合規(guī)未涵蓋的區(qū)域的任何攻擊。

將合規(guī)設(shè)置為您的BAS線

安全控制驗證是許多組織合規(guī)性要求的關(guān)鍵組成部分。但是對于測試控制的最佳方式存在不同的意見，包括應(yīng)該何時進(jìn)行、多久進(jìn)行一次以及哪些工具最有效地支持該過程。為確保您的安全計劃盡可能成熟，請將合規(guī)框架作為您的基準(zhǔn)，并以此為基礎(chǔ)。

法規(guī)是足以涵蓋各種企業(yè)的通用指南，但每個企業(yè)都有自己的挑戰(zhàn)。因此，時間點(diǎn)滲透測試或紅隊等合規(guī)監(jiān)管活動可能還不夠。這就是SafeBreach平臺等違規(guī)和攻擊模擬(BAS) 工具提供的自動化、持續(xù)安全驗證發(fā)揮作用的地方。SafeBreach使用戶能夠跨各種控制執(zhí)行有針對性的攻擊場景，以優(yōu)化其特定的配置集，查明其堆棧中的低效率，并為其業(yè)務(wù)的未來創(chuàng)建更強(qiáng)大的安全基礎(chǔ)。

查看下面我最近的網(wǎng)絡(luò)研討會的記錄，以了解更多關(guān)于合規(guī)性限制的信息，并在我提出將BAS集成為支持安全產(chǎn)品組合中合規(guī)性的實用方法的案例時聽取我的意見。希望我們能夠共同努力，超越合規(guī)性，更好地避免威脅（提防冰山）并彌補(bǔ)差距（增加更多的救生艇）。

審核編輯：劉清