Skladnost proti varnosti: Razlicni cilji, isti proracun

Skladnost in varnost nista isto. Razumevanje razlike pomaga ucinkovito dodeljevati vire. Testiral sem organizacije, ki so bile polno skladne z vec okviri, pa so padle na osnovne napade v urah. Testiral sem tudi organizacije brez formalnega programa skladnosti, ki so bile izjemno dobro branjene, ker so se osredotocile na tisto, kar je dejansko pomembno. Skladnost vam pove, ali ste izpolnili definiran standard. Varnost vam pove, ali lahko vzdrzite resnicen napad. Oboje je pomembno, vendar je zamenjava enega za drugega draga napaka.

Miselnost skladnosti

Miselnost skladnosti se osredotoca na izpolnjevanje definiranih zahtev in prestajanje revizij. Postane nevarna, ko poganja vse varnostne odlocitve.

• Oznacite polje - Ali je kontrola ucinkovita, je drugorazredno v primerjavi s tem, ali obstaja in je dokumentirana. Videl sem organizacije, ki so implementirale pozarne zidove spletnih aplikacij v nacinu samo za zaznavo, da so zadovoljile zahtevo, kar je zagotavljalo nicno zascito, medtem ko je tehnicno izpolnjevalo standard.
• Prestanite revizijo - Zadovoljstvo revizorja postane cilj namesto dejanske varnostne izboljsave. Resnicnost vsakodnevnih operacij se lahko bistveno razlikuje od tistega, kar revizor vidi.
• Izpolnite minimalne zahteve - Standardi definirajo tla, ne stropa. Prav tako zaostajajo za pokrajino grozenj za leta, kar pomeni, da skladnost morda ne sciti pred aktualnimi groznajmi.
• Dokumentirajte vse - Dokumentacija ustvarja odgovornost, kar je resnicno vredno. Problem nastane, ko postane koncni cilj. Pregledal sem lepo dokumentirane varnostne programe, ki so obstajali v celoti na papirju.

Varnostna miselnost

Varnostna miselnost se osredotoca na zmanjsanje dejanskega tveganja in obrambo pred groznajmi resnicnega sveta.

• Zmanjsajte dejansko tveganje - Vsaka odlocitev je ocenjena glede na to, ali smiselno zmanjsa verjetnost ali vpliv incidenta. Trgovsko podjetje se srecuje z drugacnimi groznajmi kot proizvodno podjetje in nalozbe bi morale to odrazati.
• Preprecite resnicne napade - Varnostno naravnane organizacije razmisljajo kot napadalci. Spratsujejo se "kako bi nas nekdo dejansko napadel?" namesto "kaj zahteva standard?" Zato je penetracijsko testiranje tako vredno.
• Nenehno izboljsevanje - Groznje se nenehno razvijajo. Skladnost je pogosto tockovna; varnost mora biti neprekinjena.
• Obramba v globino - Vec plasti kontrol zagotavlja, da posamezna odpoved ne povzroci popolne kompromitacije. Mnoge organizacije, osredotocene na skladnost, vlagajo v obodne kontrole, medtem ko zanemarjajo notranjo segmentacijo in nadzor.

Kje se razlikujeta

Tukaj so resnicni scenariji iz moje izkusnje penetracijskega testiranja, z odstranjenimi podrobnostmi strank.

• Skladnost: politika kompleksnosti gesel - Stranka je imela skladno politiko, ki je zahtevala 12 znakov s kompleksnostjo. Razbil sem 40 odstotkov gesel Active Directory v manj kot stirih urah, ker so uporabniki uporabljali vzorce, kot je "Podjetje2024!", ki so izpolnjevali zahteve, a so bili trivialno ugotovljivi. Varnost: vecfaktorska overitev bi razbita gesla naredila skoraj neuporabna.
• Skladnost: letni penetracijski test - Stranka je za skladnost testirala vsak december. V januarju so uvedli pomembno aplikacijo s kriticno ranljivostjo SQL injection, ki je bila enajst mesecev netestirana. Varnost: neprekinjeno testiranje, integrirano v razvojni cikel, bi to takoj ujelo.
• Skladnost: pregled pozarnega zidu - Stranka je dokumentirala cetrletne preglede, kot je zahtevano, vendar je ista ekipa, ki je pravila ustvarila, jih tudi pregledovala in nobeno ni bilo nikoli odstranjeno. V petih letih se je nakopicilo tisocih pretirano dovolilnih pravil. Varnost: neodvisen pregled bi vzdrzeval tesen nabor pravil.

Uravnotezenje obeh

Cilj ni opustiti skladnost, ampak jo uporabiti kot temelj za pristno varnost.

• Uporabite skladnost kot izhodisce, ne kot strop - Izpolnite vsako zahtevo, nato vprasajte, kaj se je treba narediti za dejansko varnost. Gradite na okviru na podlagi vasega specificnega profila tveganja.
• Izkoristite proracun za skladnost za resnicno varnost - Ce skladnost zahteva penetracijski test, naj bo temeljit, ne vaja za oznacevanje polj. Izberite izvedbe, ki zagotavljajo pristno varnostno vrednost.
• Dokumentirajte, kako varnost presega skladnost - To revizorjem in vodstvu prikazuje, da vasa organizacija jemlje varnost resno onkraj minimalnih standardov.
• Uskladite varnostne pobude s potrebami skladnosti - Preslikajte izboljsave na zahteve skladnosti, kadarkoli je mogoce. Projekti, ki sluzijo dvojnemu namenu, so lahke odobritve za vecino vodstva.

Evropska regulativna pokrajina

Za organizacije v Sloveniji in sirsi EU se regulativna pokrajina hitro razvija. GDPR je vzpostavil temelj, NIS2 je razsiril zahteve kibernetske varnosti za bistvene subjekte, DORA pa je uvedla specificne zahteve za financni sektor. Ti predpisi vse bolj zahtevajo pristno upravljanje tveganj namesto vaj oznacevanja polj. NIS2 zahteva ukrepe, sorazmerne z dejanskimi tveganji, kar potiska skladnost blizje varnostno naravnanemu pristopu. Ko regulacija zahteva pristno varnost namesto performativne skladnosti, sta oba cilja bolje sluzena.

Prakticna priporocila

Ce bi lahko vsakemu direktorju informacijske varnosti dal en nasvet: izvedite pristen penetracijski test skupaj z revizijo skladnosti. Revizija vam pove, kaj ste dokumentirali in implementirali. Penetracijski test vam pove, kaj dejansko deluje. Vrzel med tema ugotovitvama je vase resnicno tveganje. Nikoli nisem videl organizacije brez vrzeli, in nekatere najsirse so bile v organizacijah, ki so se imele za visoko skladne. Uporabite rezultate testa za oblikovanje strategije onkraj skladnosti in skladnost obravnavajte kot startno crto, ne ciljno crto.