合规性如何导致安全漏洞:从标准制定到现实风险的技术剖析

本文深入分析合规性标准在实际应用中的技术缺陷,探讨密码策略的历史局限性、风险评估的自动化误区,以及渗透测试在证明真实风险中的关键作用。通过具体案例揭示合规与安全之间的本质差异。

合规性如何导致安全漏洞(或者说,互联网史上最无聊的文章标题……)

约翰·斯特兰德 // 最近有不少文章讨论X或Y合规标准如何被打破。不幸的是,这常常导致对标准背后无名无姓者的指责。简单地说他们是傻瓜、不适合制定任何与计算机安全相关的议程很容易。

傻瓜做傻瓜该做的事。

虽然这可能是真的,但还有更多内容。此外,如果我们看看这些标准是如何被淡化的,我们可以学到很多。基本上,让我们谈谈在创建和遵守合规框架时的常见错误。顺便说一句,大部分内容是基于帮助一个相对较小的团体尝试在其有限的地理位置为特定行业定义安全标准。我写这篇文章的唯一原因是,他们遇到的许多问题也是我在客户中一再看到的相同问题。http://www.darkreading.com/analytics/hipaa-not-helping-healthcares-software-security-lagging/d/d-id/1322715

行业负担

创建或遵守合规性的第一个主要 breakdown 是强烈恐惧标准将对相关行业过于繁重。很久以前,我正在为各种石油公司制定与政府相关的合规标准。这是我第一次遇到这个问题。有很多关于用不必要的监督过度负担石油和天然气行业、使整个过程无利可图的 hemming 和 hawing。这是在2010年MMS整个丑闻爆发的多年前。详情请参阅Ian Urbina的文章。但当时对我来说真正奇怪的是,抱怨过度负担行业的人正是那些开着“ prestige class ”租赁车辆参加会议、穿着比我当时一个月工资还贵的衣服的人。这一切到底是什么意思?意思是创建合规要求的人经常受到比他们强大得多的人的巨大政治压力。

此外,即使没有 rampant corruption 和 graft,作为人类,我们有很大的欲望让尽可能多的人快乐。这常常标准化 mediocrity。我们在这个行业一次又一次地看到这一点,从七层模块到PCI到HIPAA。此外,当这种情况发生时,它常常 obscures 合规标准最初试图做的真正含义。例如,许多合规标准 meant to be 一系列指南,并提供给甚至不知道从哪里开始的组织方向。这些东西 quickly become 核心基线和组织努力满足的最低努力水平。任何超出这些建议的东西常常被视为浪费金钱。

对未知的恐惧

这也提出了另一点。许多我认识的最好的测试员是审计员,他们厌倦了被要求“证明它”。这就是渗透测试提供的。证明。不是扫描结果。不是自动化风险评分。它是关于 removing the shroud of the unknown and bringing clarity。

Pentest challenge accepted。

一切都是未知的

归根结底,今天存在的许多标准没有意义。但为什么?这怎么发生的?事实上,相当容易。例如,组织中有大量合规标准要求密码八个字符或更多。为什么?要回答这个问题,我们需要回到过去。毕竟,我们在2015年,我们有 self-lacing shoes 和 flying cars。以这个密码长度为例,真正理解它,我们必须回到1985年。是的,Back to the Future references are thick in this one。无论如何,NIST Greenbook 发布了,你可以在这里获取:http://csrc.nist.gov/publications/secpubs/rainbow/std002.txt 它引用了几件事。首先,它提到我们应该使用密码多长时间(大约6个月以上) before changing them。它还涵盖了那些时间段的密码长度。一个不错的,中间数字,是八个字符。这都是基于在300波特服务上破解密码需要多长时间,这是每分钟8.5次猜测。是的……300波特……看,这就是许多合规错误发生的方式。人们不理解某事,而是依赖前人的先前工作。Insanity carries forward。因为没有人知道更好。

我们不理解的事情似乎很难

在体育中,常常有这些我们认为不可逾越的神秘障碍。比如打破 sub four-minute mile,由Bannister在1954年完成。似乎不可能,但一旦完成,许多人跟随。或者,一个更适用的例子,内部防火墙或互联网白名单。这两种安全方法似乎也不可能。然而,如果我们以 even permissive ways 实施它们,我们比简单的AV/黑名单方法安全得多。我们与许多公司合作,他们没有 desire to move to a whitelisting/firewall everything approach。然而,一旦他们被 compromised,他们的态度 rather quickly changed。一旦他们开始 greater restriction 的道路,它似乎并不那么难。

最终,它会变得更好

尽管这似乎像一次 long painful breakdown of the compliance breakdown,它确实变得更好。我们开始看到组织 far more interested in doing things right than being compliant。相信我,我见过。不。真的。Stop laughing。我见过组织开始 empower 他们的安全团队做正确的事。他们有 proper budgets。他们有安全团队 focusing on their data and not a checklist。他们是 management support at the highest levels 的公司。

他们 ever so much closer to being “secure”,因为他们知道安全是一个过程,而不是一个目的地。

但首先它会变得更糟

那很好,不是吗?看起来我们可能以 happy note 结束这篇文章。

不,我们不会。

看,在几乎每一个变得更好、远离尝试合规、转而变得安全的组织中,他们都被 compromised。他们 learned their lessons。他们 touched the frying pan and found it was hot。他们会做 anything in their power to not make the same mistakes again。我见过一些公司以 hiring a C-O from a company who was burnt 的形式导入这些教训。但是,在他们过去的某个地方,有一个 deep dark psychological altering experience,让他们 learned that simply being compliant will not work。我们必须 strive for better。

没有人死了,并对他们的网络合规感到安心。

没有人。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次