SafeBreachCISO Avi Avivi 分享了他對為什么僅靠滿足網絡安全合規(guī)性是不夠的以及BAS工具如何提供幫助的觀點。

RMS泰坦尼克號的沉沒導致1,500多人喪生——這是完全可以預防的。機組人員已被警告有冰山，但仍以全速行駛，這是標準做法。他們只為大約一半的乘客提供足夠的救生艇，但他們遵守海事法。事實上，他們已經超過了四艘船的最低要求。

向前邁進了一個世紀——從海上悲劇到網絡安全災難——SolarWinds2020 年的漏洞也是一個可以預防的想象失敗。許多組織今天仍在恢復，即使它們當時完全符合聯邦風險和授權管理計劃(FedRAMP)并錯誤地認為它們是安全的。事實上，許多人認為可以使他們更安全的安全補丁是特洛伊木馬，在實施時，它引入了一個后門，危害了數千個網絡。

現在，合規(guī)性本身并不是問題。這是一個很好的開始，表明一家公司正在達到安全成熟度的門檻，但這還不夠?？蚣軐τ趲椭_?？紤]安全計劃的所有方面也很重要。但同樣，它們只是一個開始，不會提供企業(yè)需要了解哪些安全控制和程序最適合其獨特案例的規(guī)范性指導。

專注于圣靈與書信

組織必須努力遵守合規(guī)框架的精神，而不是其文字。例如，在某個時候，它成為了運行年度滲透測試的要求，但沒有提供太多關于你應該如何進行的規(guī)范。因此，只要一個組織以他們選擇的方式每年運行一次滲透測試，他們在技術上就是合規(guī)的。但它們真的符合該框架的精神嗎？

如果您只遵循合規(guī)要求，盲點將不可避免地形成?？蚣茏罱K會將您的注意力限制在您僅保護適用于合規(guī)性的環(huán)境子集的程度。因此，您可能完全合規(guī)——并有安全的錯覺——但容易受到合規(guī)未涵蓋的區(qū)域的任何攻擊。

將合規(guī)設置為您的BAS線

安全控制驗證是許多組織合規(guī)性要求的關鍵組成部分。但是對于測試控制的最佳方式存在不同的意見，包括應該何時進行、多久進行一次以及哪些工具最有效地支持該過程。為確保您的安全計劃盡可能成熟，請將合規(guī)框架作為您的基準，并以此為基礎。

法規(guī)是足以涵蓋各種企業(yè)的通用指南，但每個企業(yè)都有自己的挑戰(zhàn)。因此，時間點滲透測試或紅隊等合規(guī)監(jiān)管活動可能還不夠。這就是SafeBreach平臺等違規(guī)和攻擊模擬(BAS) 工具提供的自動化、持續(xù)安全驗證發(fā)揮作用的地方。SafeBreach使用戶能夠跨各種控制執(zhí)行有針對性的攻擊場景，以優(yōu)化其特定的配置集，查明其堆棧中的低效率，并為其業(yè)務的未來創(chuàng)建更強大的安全基礎。

查看下面我最近的網絡研討會的記錄，以了解更多關于合規(guī)性限制的信息，并在我提出將BAS集成為支持安全產品組合中合規(guī)性的實用方法的案例時聽取我的意見。希望我們能夠共同努力，超越合規(guī)性，更好地避免威脅（提防冰山）并彌補差距（增加更多的救生艇）。

審核編輯：劉清