在網絡安全領域，合規常常被視為安全的代名詞，但實則不然。許多企業陷入“勾選框合規”的陷阱，忽視了安全的本質。CISO們發出警示：合規只是安全的基線，而非最終目標。那么，如何從合規思維轉向更具韌性的安全思維呢?

對于許多CISO來說，合規可能感覺像是一種必要的惡，并帶來一種虛假的安全感。雖然ISO 27001、SOC 2和PCI DSS等框架提供了結構化的指南，但它們并不自動等同于強大的網絡安全。挑戰在哪里呢?許多企業專注于勾選合規選項，而不是確保其控制措施的有效性。

問題不在于合規本身，而在于心態。安全團隊常常為了通過審計而匆忙準備，一旦文件簽署完畢，就一切如常。事實是，監管的勾選標記并不能阻止勒索軟件攻擊、內部威脅或供應鏈妥協。實際上，近年來一些最高調的數據泄露事件就發生在那些技術上合規但遠非安全的企業身上。

每位CISO都應該問一個關鍵問題：“如果明天合規要求消失了，我的公司還會安全嗎?”

“合規是衡量特定要求進展的有用工具，但它不是安全方面的終點線。它是一個容易談論的話題，因為與合規相關的事情總是出現在新聞中——我從未讀過一篇文章或看過一份報告(在主流、非技術媒體中)談論NIST 800-53或CIS關鍵安全控制等框架。當發生數據泄露時，報告關注的是被竊取或訪問的記錄或數據數量，或隱私侵犯(即HIPAA)。通常不會提及MITRE ATT&CK框架和泄露期間使用的戰術、技術和程序(TTPs)，”Fortra的首席安全和風險官Chris Reffkin告訴記者。

合規陷阱：公司出錯的地方

CISO們知道安全和合規不是一回事，但高管和董事會成員并不總是這么看。這就是企業陷入“勾選框合規”陷阱的地方：

一次性安全：許多公司將合規視為一年一度的事件，而非持續的過程。這會在審計之間留下安全控制降級或未受監控的空白期。

過度依賴第三方審計師：通過外部審計并不意味著你的安全就堅不可摧。一些審計師只驗證文檔，而不是測試實際有效性。

拘泥于法律條文，而非法律精神：僅僅因為一家公司技術上符合法規要求，并不意味著它就安全。例如，實施多因素認證(MFA)但允許容易繞過的推送疲勞攻擊，這不是真正的安全，而是合規作秀。

忽視人為因素：合規框架通常強調技術控制，但大多數數據泄露仍涉及人為錯誤。很少強制要求安全意識培訓和真正的行為改變，導致安全文化薄弱。

缺乏持續監控和適應：合規規則通常是靜態的，而威脅卻在不斷演變。如果一個企業只是做要求做的事情，而不是主動調整安全措施，那么它已經落后了。

Reffkin解釋說，關于如何最好地將合規與“良好的安全實踐”相結合的建議將取決于你的企業、其威脅狀況、風險承受能力和業務性質。然而，他建議了三件事：

• 首先，與你的網絡保險承運商交談。大多數承運商都有不錯的診斷評估來評估潛在被保險實體面臨的網絡威脅潛在暴露(即風險)。而且作為額外福利，保險公司基于概率和潛在暴露來提出問題，因為這是他們評估風險并最終賺錢的方式。
• 其次，利用現有的安全標準，看看你的安全和IT能力如何對齊(例如CIS、CSF等)。一般來說，所有安全標準都會映射到大多數合規和監管框架，因此你將能夠看到合規與更以安全為中心的框架之間的差距。
• 第三，根據你的項目成熟度，聘請安全顧問進行評估。這可能包括對你的項目進行一般性的安全審查，或進行滲透測試或紅隊演練。如果你已經完成了工作并構建了一個項目，那么是時候獨立測試它了。

CISO如何從合規思維轉向韌性思維

1. 將合規視為安全的基線，而非最終目標

合規應被視為起點，而非終點。構建超出監管要求并適應新威脅的安全策略。

示例：不要僅僅因為PCI DSS要求就加密敏感數據，而要實施零信任原則來限制數據訪問并減少暴露。

2. 實施持續的安全驗證

定期測試和驗證安全控制，超出合規檢查的范圍。這包括：

• 紅隊演練以模擬真實世界的攻擊。
• 自動化安全測試(例如攻擊路徑模擬)。
• 行為監控以實時檢測異常。

示例：不要僅僅為了合規而記錄安全事件，而要積極使用SIEM和XDR在威脅造成損害之前進行威脅追蹤。

3. 改變與董事會的合規對話

許多高管將“合規”等同于“安全”。CISO需要重新構建這些討論，以突出真正的風險暴露，而不僅僅是監管狀態。

示例：不要報告“我們100%符合SOC 2”，而要說“我們符合合規要求，但我們最大的安全漏洞是X、Y和Z。這是我們需要修復的地方。”

4. 將合規與業務風險對齊

法規的存在是為了減輕風險，但它們并不能涵蓋所有風險。將合規工作與業務風險對齊，以確保安全投資提供保護。

示例：如果你的公司處理AI驅動的數據處理，合規框架可能不會涉及AI模型安全，但攻擊者仍會將其作為目標。即使法規尚未要求，也要解決安全漏洞。

5. 將安全文化作為優先事項

安全意識培訓不應是一項勾選框任務。不要進行一年一度的通用培訓，而要專注于持續、引人入勝和適應性的安全教育。

示例：超越釣魚模擬，實施基于行為的培訓，根據員工反應和風險水平進行適應。