SafeBreachCISO Avi Avivi 分享了他對為什么僅靠滿足網絡安全合規性是不夠的以及BAS工具如何提供幫助的觀點。
RMS泰坦尼克號的沉沒導致1,500多人喪生——這是完全可以預防的。機組人員已被警告有冰山,但仍以全速行駛,這是標準做法。他們只為大約一半的乘客提供足夠的救生艇,但他們遵守海事法。事實上,他們已經超過了四艘船的最低要求。
向前邁進了一個世紀——從海上悲劇到網絡安全災難——SolarWinds2020 年的漏洞也是一個可以預防的想象失敗。許多組織今天仍在恢復,即使它們當時完全符合聯邦風險和授權管理計劃(FedRAMP)并錯誤地認為它們是安全的。事實上,許多人認為可以使他們更安全的安全補丁是特洛伊木馬,在實施時,它引入了一個后門,危害了數千個網絡。
現在,合規性本身并不是問題。這是一個很好的開始,表明一家公司正在達到安全成熟度的門檻,但這還不夠??蚣軐τ趲椭_保考慮安全計劃的所有方面也很重要。但同樣,它們只是一個開始,不會提供企業需要了解哪些安全控制和程序最適合其獨特案例的規范性指導。
專注于圣靈與書信
組織必須努力遵守合規框架的精神,而不是其文字。例如,在某個時候,它成為了運行年度滲透測試的要求,但沒有提供太多關于你應該如何進行的規范。因此,只要一個組織以他們選擇的方式每年運行一次滲透測試,他們在技術上就是合規的。但它們真的符合該框架的精神嗎?
如果您只遵循合規要求,盲點將不可避免地形成。框架最終會將您的注意力限制在您僅保護適用于合規性的環境子集的程度。因此,您可能完全合規——并有安全的錯覺——但容易受到合規未涵蓋的區域的任何攻擊。
將合規設置為您的BAS線
安全控制驗證是許多組織合規性要求的關鍵組成部分。但是對于測試控制的最佳方式存在不同的意見,包括應該何時進行、多久進行一次以及哪些工具最有效地支持該過程。為確保您的安全計劃盡可能成熟,請將合規框架作為您的基準,并以此為基礎。
法規是足以涵蓋各種企業的通用指南,但每個企業都有自己的挑戰。因此,時間點滲透測試或紅隊等合規監管活動可能還不夠。這就是SafeBreach平臺等違規和攻擊模擬(BAS) 工具提供的自動化、持續安全驗證發揮作用的地方。SafeBreach使用戶能夠跨各種控制執行有針對性的攻擊場景,以優化其特定的配置集,查明其堆棧中的低效率,并為其業務的未來創建更強大的安全基礎。
查看下面我最近的網絡研討會的記錄,以了解更多關于合規性限制的信息,并在我提出將BAS集成為支持安全產品組合中合規性的實用方法的案例時聽取我的意見。希望我們能夠共同努力,超越合規性,更好地避免威脅(提防冰山)并彌補差距(增加更多的救生艇)。
審核編輯:劉清
-
BAS
+關注
關注
0文章
16瀏覽量
13043 -
網絡安全技術
+關注
關注
0文章
6瀏覽量
8278
原文標題:SafeBreach:網絡安全合規性一種尺寸并不適合所有人
文章出處:【微信號:哲想軟件,微信公眾號:哲想軟件】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論