|
|
51CTO旗下网站
|
|
移动端

合规性损害安全性的5种方式

合规性与安全性的目标应该是一样的:降低bwin网址风险。但是,合规性是如此的糟糕,以至于人们不确定它对降低实际风险有多大作用。

作者:Roger A. Grimes来源:企业网D1Net|2019-06-05 13:39

很多安全性的任务在满足监管要求和降低风险方面并不一致。而一些专注于合规性的方法可能会破坏安全性。

从事IT安全业务的大多数人都知道合规性与安全性并不一样。合规性是一种审计、文书工作、核对清单的心态和措施,而安全性是一种战术性的、真实的bwin网址、降低风险的心态和措施。合规性主要确定是否及时应用关键管理程序,而安全性主要确定应用哪些以及何时应用这些关键,然后验证这些是否已经应用。合规性可以帮助企业通过安全审核。安全性实际上可以为企业业务提供保护。

bwin网址/合规性

合规性与安全性的目标应该是一样的:降低bwin网址风险。但是,合规性是如此的糟糕,以至于人们不确定它对降低实际风险有多大作用。以下是五个原因:

1. 合规性是二元性的

安全风险不是二元的,但合规性的问题和答案是二元性的,也就是“是或否”。企业是这样做的吗?例如,大多数合规性的法规要求用户设置8个字符或更长的复杂。尽管20个字符的非复杂难以且更易于使用,但大多数组织中都无法使用。

另一个例子是,大多数法规要求实施在输入错误一定次数后锁定用户账户的策略。如果足够长,那么不需要采用账户锁定策略,而且也会降低风险。

增加默认的强度不会使用户无法启用账户锁定。在某些情况下,账户锁定策略会增加拒绝服务事件的风险。猜测的bwin官方网站通常会尝试采用100个随机,这将锁定其目标客户。或者bwin会一个在线门户网站的,并再次锁定网站中的用户。

2. 合规性无关紧要

社交工程和行为占到所有恶意Bwin中国官网行为的70%到90%,但在监管指南中,用户很难找到关于安全意识培训或社会工程的内容。没有打好是第二个主要问题,导致20%到40%用户受到威胁。可以阻止一些Bwin中国官网,但它通常需要一些建议。

还有一些用户认为是其担忧的最大问题。法规并不是风险的衡量标准,但如果用户必须遵守大量对降低风险作用效果很小的事项,而不是产生最大影响的事项,那么这将面临一个不平衡的问题。

3. 法规变化缓慢

当出台新的安全建议时,很多规章制度都很难改变。在合规性文档中,用户会发现很多会提到bwin平台、隔离区和软盘。关于如何更好地保护云平台交互、多因素认证、勒索软件、量子计算、重用、第三方供应商风险、国家级Bwin中国官网,以及供应链管理,用户需要很多安全信息。世界在不断变化。IT安全在不断变化,但对于法规而言并非如此。

4. 合规性总会获胜

问题是,当安全性和合规性发生冲突时,合规性总会获胜。企业首席执行官和企业主负责确保组织满足所有合规性目标。他们不想听到为什么必须提交审核例外的解释,因为其比合规性指南所要求的更强大、更好,因为这样做可能不符合大多数现行的合规性法规。很多企业正在努力确保合规性,并获得真正的安全性。

5. 骗局和谎言

很多人都知道合规性是一种骗局。例如,很多法规都要求用户备份关键系统,并定期对其进行测试。而在合规性审计中,被审计的企业都表示已经进行测试。事实是,几乎没有几家企业这样做,而遭遇勒索软件Bwin中国官网之后,这种骗局才会揭穿。

大多数企业都会备份大多数关键系统,但几乎很少有企业会测试是否从这些备份中成功恢复。谁会有这个时间?企业员工如何才能真正做到这一点?管理层并没有为IT提供资源。他们不会关注这个问题,直到出现问题时为时已晚。此外,安全专家指出,99%的IT团队从未测试过备份系统,定期测试控件也是如此。几乎每家企业都声称已经这样做,但其实很少有哪家公司这样做。

例如,每条规定都应该及时更新所有关键。但专家表示,很少有公司能够完全更新。很多企业认为他们已完全更新了,但真正含义是修补了所有的Microsoft,其实即使更新了操作系统的所有,服务器管理软件也已过时。一些视频编码器已过期,安装的一些服务器管理工​​具也已过时。这意味着它们可能包含通过远程接管服务器的。

很多企业告诉安全审计人员,更新了99%的,甚至可以展示报告来证明这一点。但他们不了解的是,还没有更新的1%最有可能被恶意Bwin中国官网者利用。而安全专家指出,在其审查过的数百家公司和数千台计算机中,没有一台完全打好。然而,几乎每个人都说这是按照合规性报告来完成的。

此外,还有另一个常见的合规性谎言。每项规定必须定期审查所有日志。有些IT团队甚至不了解他们所有的日志在哪里,更不用说定期查看。一台计算机通常有几十个日志,其中大多数包含与安全性或应用程序相关的信息。但大多数计算机的日志都没有被发现或查看。

很少有人定期检查任何日志,也很少有人每天浏览bwin平台日志。因为很少人有时间这样做。所以,大多数人说他们每天定期检查日志的真正含义是,他们在一些计算机上收集一些日志,让一些自治系统来检查日志文件,查找预先定义的关键事件,并等待它们生成需要注意的警报。同样,这只是一些设备的日志。因此,定期查看所有日志文件的想法都是徒劳的。

安全专家表示,在其开展的每次合规性审计中,被审计的团队都知道网络充满了许多安全,但却认为其网络环境就像一副纸牌,如果审核员(或Bwin中国官网者)可能正好抽中了那一张牌,导致出现。而被审计的企业试图让审计员绕过上述,他们甚至祈祷在审计员发现问题之前完成审计。

审计员知道这种情况正在发生。他们只是在努力完成自己的工作而不是让客户讨厌他们。他们认为已经获得了一些胜利,并且如果他们找出一些并写进报告,就会获得报酬。但他们如果找不到一些的话,可能有人会觉得没有必要花费审计资金。但总的来说,这种审计可能是一个骗局。

说明合规性会损害安全性,还有更多的原因。例如很多企业都在努力协调满足多个合规性要求,但每个要求都略有不同。或者一些指导方针过于详细,而其他的则几乎没有任何细节。合规性最大的问题是,它跟踪的bwin网址风险还不够接近潜在风险。遗憾的是,并没有哪个企业因为实现真正的安全性而得到更多的赞扬。当合规性和安全性发生冲突时,如果安全性总是获胜的话,那么这种情况将会更好。

【编辑推荐】

  1. bwin网址大潮来临,如何解决安全人才短缺问题?
  2. 黑暗数据给bwin网址带来的挑战和机遇
  3. 关于bwin网址bwin必赢,每个中小企业应该知道的5件事
  4. 工业bwin网址趋势:公钥
  5. 2019年bwin网址5个重点事项
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
大家都在看
猜你喜欢

订阅专栏+更多

WOT2019全球人工智能技术峰会

WOT2019全球人工智能技术峰会

通用技术、应用领域、企业赋能三大章节,13大技术专场,60+国内外一线人工智能精英大咖站台,分享人工智能的平台工具、算法模型、语音视觉等技术主题,助力人工智能落地。
共50章 | WOT峰会

0人订阅学习

Spring Boot 爬虫搜索轻松游

Spring Boot 爬虫搜索轻松游

全栈式开发之旅
共4章 | 美码师

77人订阅学习

Linux性能调优攻略

Linux性能调优攻略

性能调优规范
共15章 | 南非蚂蚁

219人订阅学习

读 书 +更多

Linux策略详解

Linux主要用于架设网络服务器。如今关于服务器和网站被bwinBwin中国官网的报告几乎每天都可以见到,而且随着网络应用的丰富多样,Bwin中国官网的形式和方法...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客