IT安全行业里大多数人都知道,合规不等同于安全。合规是审计性质的文书工作,需对照清单一条一条查对审核。安全则是技术性的现实世界网络安全,需切实减小风险。合规就是 “你有没有能够及时应用关键修复的补丁管理项目——有还是没有?” 安全则是弄清何时该应用哪些补丁,打上这些补丁,然后再次核实补丁已经应用上了。合规助你通过审计,安全实际护你左右。
二者貌似追寻同一个目标:减少网络安全风险。但合规对此目标的贡献实在虚无缥缈,令人不禁怀疑到底有没有在减小现实风险。原因如下:
一、合规是二元的
安全风险显然不是二元的,但合规是。合规就是只准回答 “是或否” 的一系列二元问题。你做或没做某某事项?没给创新思维或更强大的安全留下太多空间。举个例子,大多数合规规定要求至少8个字符的复杂密码。即便20个字符的非复杂密码无疑更难破解也更容易使用,在大多数公司企业里你却不能这么设。
另一个例子,大多数规定要求设置用户账户锁定策略:密码输入错误次数达到预设阈值即锁定账户。如果已经要求了足够长的密码,那其实无需账户锁定策略风险也不会太高。
增加密码默认强度不能免除账户锁定策略的要求。但某些情况下,账户锁定策略反而会增加拒绝服务事件的风险。密码猜解蠕虫往往会尝试100个随机密码,极有可能导致目标用户账户被锁定。黑客也可以对在线门户网站发起密码猜解攻击,令网站用户无法登录。
二、合规相关性不高
社会工程和网络钓鱼占了所有恶意网络攻击根源的70%到90%,但你很难在合规指南中找到一条以上有关安全意识培训和社会工程的条款。漏洞修复是第二号问题,导致了20%到40%的网络入侵事件,合规指南中通常有多个章节是关于漏洞修复的。数据存储加密很难挡住多少攻击,但往往有连篇累牍的合规建议和指南。
如果根据合规规定中特定主题的章节长度来构建防御,那你可能会觉得加密是重中之重。但规定可不是风险衡量指标,如果不得不符合200条对降低风险没什么实际帮助的规定,反而会干扰实施那一条具有最大影响的措施。
三、规定变化缓慢
在纳入新安全建议的步伐上,所有监管规定都行动迟缓。合规文档中充斥着防火墙、隔离区和软盘这些老生常谈,没多少东西是关于如何更好地保护云交互、多因子身份验证、勒索软件、量子计算、密码重用、第三方供应商风险、民族国家攻击和供应链管理的。这世界变化快,IT安全领域发展变化更快,但监管规定却变化缓慢。
四、合规高于一切
当安全与合规狭路相逢,合规总能胜出。CEO和老板们有责任确保公司达成所有合规目标。他们不会听你解释为什么你的密码因为比合规指南要求的更健壮而需提交审计异议,因为这与现行大多数规定不相符合。确保合规清单上条目被勾选的每一秒,都是真正的计算机安全被无视的时光。
五、都在做戏
最讽刺的来了。大家都知道合规就是个大骗局。每个人都心知肚明。比如说,几乎每个监管规定都要求用户做关键系统备份,并定期加以测试。不知怎么回事,几乎每次合规审计中,被审计对象都宣称做到了这条要求。但实际上几乎没人这么做,无数起成功的勒索软件攻击就是明证。
没错,大多数公司企业确实备份了关键系统,但几乎没人会测试从这些备份数据倒推到底能不能成功恢复系统。谁有这测试时间?谁有那么多充足的人手来实际负责这件事?管理层就没给IT团队做这事儿的资源。他们问都不问,压根儿不关心,直到为时已晚……可能99%的IT团队自公司成立以来都没做过几次备份测试,但几乎每次合规审计,审计与被审计双方都默契认同做了备份测试。与此异曲同工的还有控制措施的定期测试。每个人都宣称在做,但几乎没人有做过。
再举一个非常明显的例子。所有条例都规定要及时打上全部重要/关键补丁(不管这里的 “及时” 到底指的是几小时还是几周之内吧)。但实际操作中连打全补丁的都凤毛麟角,就更别说“及时打全补丁”了。比如漏洞常曝且长存的思科路由器。
完全修复的服务器也近乎为零。每个人都觉得服务器已经完全修复了,但实际上指的只是打上了全部微软补丁,甚至微软补丁打没打全都不一定。即便操作系统补丁打上了,服务器管理软件却仍然是过时的。有些底层视频编码器堪称老旧。一些服务器管理工具年代久远。所谓过时、老旧、年代久远,意味着包含公开已知漏洞——可被远程利用来接管服务器的那种。
要不然就是告诉审计员99%的漏洞都给补上了,而且还能拿出报告加以证明。但没告诉审计员的是:没有修复的那1%的漏洞,正是最有可能被恶意黑客利用的那些。无数公司企业都这么做的:合规报告中宣称已完全修复,但实际上漏洞一直都在。
另一个常见的合规谎言是关于日志审查的。每个规定都要求定期审查所有日志。有些规定甚至要求每天审查。但IT部门有时候甚至根本不知道日志都在哪儿,更别说找出这些日志并加以定期审查了。电脑上一般保存有几十种日志,大多数都包含与安全或应用相关的信息。大多数电脑上被挑出来审查的日志能有少数几种都算好的了,绝大部分的日志文件从未被找到,也从未被审查。
没人定期审查什么日志。这不难想象。一堆人每天一条一条筛查防火墙日志?开玩笑!没人有这时间。所以,大多数人声称的每天定期审查日志,其实指的是挑几台电脑上的部分日志丢给自治系统自动审查,找出预定义的关键事件后等他们来发出警报。注意:是某些设备上的某些日志。定期审查所有日志文件不过是没什么用的白日梦。但我们所有人都认同这一说法。
合规审计中,被审计的团队很清楚自己的网络充满了各种各样的安全漏洞。他们认为自己的环境就是个纸牌塔,只要审计员 (或攻击者) 抽中正确的那张,一切玩完。所以被审计团队会试图引导审计员,让他们避开已知漏洞。他们祈祷在审计员问出关键问题前就审计结束,或者,上帝保佑,审计员只看报告不做实际控制措施测试。
审计员知道这是怎么回事儿。他们只是试图做好自己的工作,不让客户讨厌他们。他们觉得只要发现些小问题可以写份报告,也就取得了一定的胜利,能够心安理得地拿走审计薪金了。人们都认为只有找出一些错漏,才能证明审计的钱花得值。
无论如何,这就是场双方默契的表演。
合规妨碍安全的理由还有很多,比如大量时间精力浪费在满足略有不同的多个合规要求上。或者某些指南过于详细,而其他规定又过于宽泛。合规最大的问题就在于,没有跟进真正应该减小的底层网络安全风险。没尊崇真正的安全实现真是件令人悲伤的事。当合规与安全冲突时,只要安全能偶尔胜出,情况都会更好些。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。