为什么合规性不等于网络安全

像所有有趣的维恩图一样，“安全性”和“合规性”的概念有很多共同之处，但并不相同。网络安全服务提供商RSA Security公司的首席技术官Ben Smith表示，这种区别不仅是一种练习，也是一种现实挑战。

人们已经看到，对合规性等同于安全性的过度依赖是许多公开报道的重大数据泄露事件的共同原因。一家大型零售商在采用了一种不太理想且成本更低的无线身份验证之后，对外泄露了9000多万张信用卡和借记卡信息。美国一家州政府丢失了该州75%的纳税人敏感数据，然后抱怨美国联邦政府没有要求数据加密。

在网络安全和合规性方面，艺术胜过科学

网络安全和合规都是复杂的职能领域，通常是超负荷工作和人手不足的专业团队的责任。需要企业员工和他的同事在如何完成工作的问题上达成一致意见。

无论人们认为网络安全更像是一门艺术还是一门科学，关于网络安全唯一明确的是，有保证的解决方案往往需要澄清。与其相反，合规性更像是光谱科学的一端，因为证明遵从规定的授权往往更像是一种非黑即白、几乎没有灰色地带的活动。

跳出“复选框”思考问题

这种更直接的证明合规的性质有时使它被轻蔑地描述为一种复选框练习，这往往是一种不公平的贬低，因为从外科手术到飞机飞行之前的检查再到安全检查，检查清单在非常关键的情况下被广泛依赖。检查表的可重复性可以更容易地验证或确认企业是否遵守特定的规则或目标，无论是由政府法规还是整个行业的通用标准。

一项关于清单有效性的医学研究表明，清单可能存在脱节的地方：清单本身是一种工具，而不是目标本身。在网络安全领域，控制的检查表及其推荐或需要的配置是工具，而不是目标。合规性领域有时可能过于关注在评估阶段避免特定控制的失败，从而有可能错过如何保护企业持有的数据这一更广泛的目标。

满足不断发展的安全标准

在过去的二十年，在试图弥合安全性与合规性差距方面不断改进的一个标准是支付卡行业数据安全标准(PCIDSS)，该标准专为跨多个垂直领域处理信用卡的组织而设计。当前版本于2022年初发布，直到2024年才生效，这可能是自从这一标准近20年前首次推出以来最主要的更新。

这次更新中的许多变化都是由现实世界的事件驱动的。过去最少7个字符的密码现在最少达到12个字符。云计算和无服务器计算等最近的技术创新领域得到了更多的关注。通过NDR或XDR功能实现网络可见性的重要性反映在网络安全控制和检测恶意软件的需求中。“可见性”不再仅仅是关于日志，它一直是环境中动作的跟踪指示器。也许最重要的是，在这一修订版中，鼓励将安全性视为一个连续的过程，而不是某个时间点的验证度量。

有了这一最新的行业标准，就能认识到当今现实世界的挑战，人们能指望永远不会听到一个完全符合PCIDSS的企业在未来发生网络安全漏洞吗?当然不能。

这就是应该开始驱散迷雾的地方：当从合规性的角度考虑标准和法规时，在将它们映射到安全问题时，它们应该被视为绝对最低的限度。合规性通知安全性，特别是围绕这两个功能所需的技术控制，但是合规性从来没有被设计用来取代安全性。

鼓励和支持企业内部的透明度

具有安全意识的企业在其安全成熟之旅中已经进一步弄清楚了这种区别。实现这一目标的最快途径是确保安全、合规、法律和高管之间围绕可见性和风险接受的对话得到积极鼓励和支持。如果没有这种持续和透明的沟通，“安全”很容易看起来像是在核对合规性——这是企业在安全之旅中不成熟的一个重要迹象。这似乎令人满意，直到发生网络攻击，此时安全团队将站在对任何有缺陷的工具和实践负责的前沿。

无论是行业还是政府实施的标准和法规，要跟上现实世界的发展，都一直是并将继续面临挑战。安全团队生活在这个快速变化的世界中，而居心不良者通过创新来实现他们的目标。

把安全性与合规性的关系想象成大多数人都经历过的重要的成年仪式：十几岁的孩子第一次通过驾照程序，就像颁发驾照之前进行的笔试和路考一样，合规标准涵盖了基本内容，但并没有完全考虑到司机可能遇到的交通拥堵、恶劣天气等挑战。标准是必不可少的，但不能涵盖所有可能性——这正是事件响应人员每天在网络安全中所经历的。

不要成为那种把自己的帽子挂在“合规=安全”谬论上的企业。要意识到标准和规定是有用和重要的，但它们也可能过时。企业需要确保安全性和合规性团队定期沟通，并开展密切合作。企业至少每年审查和执行事件应变计划，不要害怕在外部寻找精通安全性和合规性的合作伙伴，他们可以缩短识别差距所需的时间，并在正在进行的风险评估工作中提供有价值的指导。