亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

像所有有趣的維恩圖一樣，“安全性”和“合規(guī)性”的概念有很多共同之處，但并不相同。網(wǎng)絡(luò)安全服務(wù)提供商RSA Security公司的首席技術(shù)官Ben Smith表示，這種區(qū)別不僅是一種練習(xí)，也是一種現(xiàn)實(shí)挑戰(zhàn)。

人們已經(jīng)看到，對(duì)合規(guī)性等同于安全性的過(guò)度依賴(lài)是許多公開(kāi)報(bào)道的重大數(shù)據(jù)泄露事件的共同原因。一家大型零售商在采用了一種不太理想且成本更低的無(wú)線(xiàn)身份驗(yàn)證之后，對(duì)外泄露了9000多萬(wàn)張信用卡和借記卡信息。美國(guó)一家州政府丟失了該州75%的納稅人敏感數(shù)據(jù)，然后抱怨美國(guó)聯(lián)邦政府沒(méi)有要求數(shù)據(jù)加密。

(資料圖片僅供參考)

在網(wǎng)絡(luò)安全和合規(guī)性方面，藝術(shù)勝過(guò)科學(xué)

網(wǎng)絡(luò)安全和合規(guī)都是復(fù)雜的職能領(lǐng)域，通常是超負(fù)荷工作和人手不足的專(zhuān)業(yè)團(tuán)隊(duì)的責(zé)任。需要企業(yè)員工和他的同事在如何完成工作的問(wèn)題上達(dá)成一致意見(jiàn)。

無(wú)論人們認(rèn)為網(wǎng)絡(luò)安全更像是一門(mén)藝術(shù)還是一門(mén)科學(xué)，關(guān)于網(wǎng)絡(luò)安全唯一明確的是，有保證的解決方案往往需要澄清。與其相反，合規(guī)性更像是光譜科學(xué)的一端，因?yàn)樽C明遵從規(guī)定的授權(quán)往往更像是一種非黑即白、幾乎沒(méi)有灰色地帶的活動(dòng)。

跳出“復(fù)選框”思考問(wèn)題

這種更直接的證明合規(guī)的性質(zhì)有時(shí)使它被輕蔑地描述為一種復(fù)選框練習(xí)，這往往是一種不公平的貶低，因?yàn)閺耐饪剖中g(shù)到飛機(jī)飛行之前的檢查再到安全檢查，檢查清單在非常關(guān)鍵的情況下被廣泛依賴(lài)。檢查表的可重復(fù)性可以更容易地驗(yàn)證或確認(rèn)企業(yè)是否遵守特定的規(guī)則或目標(biāo)，無(wú)論是由政府法規(guī)還是整個(gè)行業(yè)的通用標(biāo)準(zhǔn)。

一項(xiàng)關(guān)于清單有效性的醫(yī)學(xué)研究表明，清單可能存在脫節(jié)的地方：清單本身是一種工具，而不是目標(biāo)本身。在網(wǎng)絡(luò)安全領(lǐng)域，控制的檢查表及其推薦或需要的配置是工具，而不是目標(biāo)。合規(guī)性領(lǐng)域有時(shí)可能過(guò)于關(guān)注在評(píng)估階段避免特定控制的失敗，從而有可能錯(cuò)過(guò)如何保護(hù)企業(yè)持有的數(shù)據(jù)這一更廣泛的目標(biāo)。

滿(mǎn)足不斷發(fā)展的安全標(biāo)準(zhǔn)

在過(guò)去的二十年，在試圖彌合安全性與合規(guī)性差距方面不斷改進(jìn)的一個(gè)標(biāo)準(zhǔn)是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)，該標(biāo)準(zhǔn)專(zhuān)為跨多個(gè)垂直領(lǐng)域處理信用卡的組織而設(shè)計(jì)。當(dāng)前版本于2022年初發(fā)布，直到2024年才生效，這可能是自從這一標(biāo)準(zhǔn)近20年前首次推出以來(lái)最主要的更新。

這次更新中的許多變化都是由現(xiàn)實(shí)世界的事件驅(qū)動(dòng)的。過(guò)去最少7個(gè)字符的密碼現(xiàn)在最少達(dá)到12個(gè)字符。云計(jì)算和無(wú)服務(wù)器計(jì)算等最近的技術(shù)創(chuàng)新領(lǐng)域得到了更多的關(guān)注。通過(guò)NDR或XDR功能實(shí)現(xiàn)網(wǎng)絡(luò)可見(jiàn)性的重要性反映在網(wǎng)絡(luò)安全控制和檢測(cè)惡意軟件的需求中。“可見(jiàn)性”不再僅僅是關(guān)于日志，它一直是環(huán)境中動(dòng)作的跟蹤指示器。也許最重要的是，在這一修訂版中，鼓勵(lì)將安全性視為一個(gè)連續(xù)的過(guò)程，而不是某個(gè)時(shí)間點(diǎn)的驗(yàn)證度量。

有了這一最新的行業(yè)標(biāo)準(zhǔn)，就能認(rèn)識(shí)到當(dāng)今現(xiàn)實(shí)世界的挑戰(zhàn)，人們能指望永遠(yuǎn)不會(huì)聽(tīng)到一個(gè)完全符合PCIDSS的企業(yè)在未來(lái)發(fā)生網(wǎng)絡(luò)安全漏洞嗎?當(dāng)然不能。

這就是應(yīng)該開(kāi)始驅(qū)散迷霧的地方：當(dāng)從合規(guī)性的角度考慮標(biāo)準(zhǔn)和法規(guī)時(shí)，在將它們映射到安全問(wèn)題時(shí)，它們應(yīng)該被視為絕對(duì)最低的限度。合規(guī)性通知安全性，特別是圍繞這兩個(gè)功能所需的技術(shù)控制，但是合規(guī)性從來(lái)沒(méi)有被設(shè)計(jì)用來(lái)取代安全性。

鼓勵(lì)和支持企業(yè)內(nèi)部的透明度

具有安全意識(shí)的企業(yè)在其安全成熟之旅中已經(jīng)進(jìn)一步弄清楚了這種區(qū)別。實(shí)現(xiàn)這一目標(biāo)的最快途徑是確保安全、合規(guī)、法律和高管之間圍繞可見(jiàn)性和風(fēng)險(xiǎn)接受的對(duì)話(huà)得到積極鼓勵(lì)和支持。如果沒(méi)有這種持續(xù)和透明的溝通，“安全”很容易看起來(lái)像是在核對(duì)合規(guī)性——這是企業(yè)在安全之旅中不成熟的一個(gè)重要跡象。這似乎令人滿(mǎn)意，直到發(fā)生網(wǎng)絡(luò)攻擊，此時(shí)安全團(tuán)隊(duì)將站在對(duì)任何有缺陷的工具和實(shí)踐負(fù)責(zé)的前沿。

無(wú)論是行業(yè)還是政府實(shí)施的標(biāo)準(zhǔn)和法規(guī)，要跟上現(xiàn)實(shí)世界的發(fā)展，都一直是并將繼續(xù)面臨挑戰(zhàn)。安全團(tuán)隊(duì)生活在這個(gè)快速變化的世界中，而居心不良者通過(guò)創(chuàng)新來(lái)實(shí)現(xiàn)他們的目標(biāo)。

把安全性與合規(guī)性的關(guān)系想象成大多數(shù)人都經(jīng)歷過(guò)的重要的成年儀式：十幾歲的孩子第一次通過(guò)駕照程序，就像頒發(fā)駕照之前進(jìn)行的筆試和路考一樣，合規(guī)標(biāo)準(zhǔn)涵蓋了基本內(nèi)容，但并沒(méi)有完全考慮到司機(jī)可能遇到的交通擁堵、惡劣天氣等挑戰(zhàn)。標(biāo)準(zhǔn)是必不可少的，但不能涵蓋所有可能性——這正是事件響應(yīng)人員每天在網(wǎng)絡(luò)安全中所經(jīng)歷的。

不要成為那種把自己的帽子掛在“合規(guī)=安全”謬論上的企業(yè)。要意識(shí)到標(biāo)準(zhǔn)和規(guī)定是有用和重要的，但它們也可能過(guò)時(shí)。企業(yè)需要確保安全性和合規(guī)性團(tuán)隊(duì)定期溝通，并開(kāi)展密切合作。企業(yè)至少每年審查和執(zhí)行事件應(yīng)變計(jì)劃，不要害怕在外部尋找精通安全性和合規(guī)性的合作伙伴，他們可以縮短識(shí)別差距所需的時(shí)間，并在正在進(jìn)行的風(fēng)險(xiǎn)評(píng)估工作中提供有價(jià)值的指導(dǎo)。