来自 防护 2021-10-13 15:20 的文章

防御ddos_DHCP服务器防御_无缝切换

防御ddos_DHCP服务器防御_无缝切换

这是"偏离法规遵从性"系列文章的第一部分,在该系列文章中,我将更深入地了解组织的法规遵从性方法,以及由此产生的影响组织展示时间点法规遵从性的能力的挑战,以及从时间点合规心态向持续合规心态转变的挑战。一个经过深思熟虑的、基于风险的方法来建立一个全面的安全计划是一个可行的方法,遵循合规性是一个自然的结果。安全第一,合规第二的心态是理想的。为此,ddos云防御百科手机版,合规框架的作者通常会澄清,他们的指导只是作为一个基准安全级别。然而,许多组织仍然在努力达到甚至这一基本安全级别。对这些组织来说,对这些合规框架负责会导致实现比其他组织更高的安全级别。安全第一,合规第二的心态是理想的每年,许多公司都会按照FISMA和PCI的要求进行合规性评估。就NERC合规性而言,除了审计师的抽查外,一些公司还自我报告其合规状况。根据Verizon 2015 PCI报告,大多数公司都通过了年度PCI评估。然而,Verizon也报告说,ddos防御测试,80%的公司在随后的评估中没有达标。就自我举报的国家能源监管委员会违规行为而言,许多违规行为持续数月甚至数年。在HIPAA的情况下,许多违反法规的行为都与人员有关,无论是有意还是无意,都没有改善的迹象。无论行业或法规如何,即使公司证明了时间点合规性,如何判断ddos防御大小,它们也很快就会偏离法规遵从性。即使公司展示了时间点合规性,它们也会很快地偏离法规遵从性为什么会这样?我想更好地理解这背后的原因,而不是从"哪些法规遵从性要求最难维持?"而是要了解"企业如何实现法规遵从性?"根据与安全行业安全主管、CISO、QSA和渗透测试人员的谈话,我提供了以下关于公司偏离法规遵从性的调查结果。原因1:项目心态在遵循项目思维方式的过程中,公司组建了一个临时项目团队,其目标是为合规性评估做准备。一旦他们成功地通过了年度评估,项目团队就会解散。这种方法很常见。Jeff Man是一位有10年经验的安全评估师,他估计有三分之二的公司与PCI DSS达成了项目理念。在与一家快速服务餐厅的IT安全主管交谈时,我发现了同样的基于项目的方法。她报告说,每年有三周的时间让员工飞到总部,为年度PCI DSS评估做准备,从而使他们远离通常的业务活动,因此产生了巨大的成本。尽管一家供应商的支付安全产品帮助他们减少了与PCI合规相关的时间和成本,但他们节省的大部分资金都与这项为期三周的项目有关。显然,全年持续证明合规性并不是其合规方法的一部分。大多数公司将PCI合规性视为一年中需要持续的东西,而是将其核心业务活动暂停数周,专注于通过年度评估。然而,正如Verizon的报告所证明的那样,80%的公司很快就失去了合规性。原因2–这不仅仅是技术问题许多公司过于依赖技术来解决法规遵从性难题。是的,技术控制是保护敏感数据和证明法规遵从性的一个必要部分,高防cdn504,但是仅仅购买技术而不围绕该技术构建流程只会让您走到目前为止。这种方法可能在法规遵从性要求首次引入时起作用,但随着适当谨慎标准的提高,仅仅实现技术是不够的。例如,一家公司购买了数百万美元的设备,然而,两年半之后,同样的设备有一半仍保存在仓库中:这项技术变成了"货架",没有安全价值。其他公司非常信任安全自动化,因此他们采取了"先设置后忘记"的方法:"如果我设置并让它运行,那么我就是合规的。"然而,如果不围绕技术实施流程来填补点解决方案之间、部门间工作流之间的差距,技术将永远无法优化。原因三:反动循环一些IT安全专业人士报告说,他们的安全部门陷入了反动的问题修复周期,清除桌面上的病毒,处理密码锁定,减少数据泄露,应对未经宣布的审计。在一个案例中,一家公司发现了一个漏洞,并进行了法医调查,发现该网络区域没有打开日志记录。他们不仅无法找到攻击的入口和出口点,而且也无法识别出被过滤的数据类型。具有讽刺意味的是,这些反动的循环可以减少未来的反动周期。持续改进的几个例子包括更好地定义和细化流程、进行数据映射练习以及与系统所有者合作(以了解敏感数据的位置)。一些持续的监控工作包括识别和验证哪些安全控制措施到位,它们是否在网络上处于最佳位置,并确保它们按预期运行。这些只是一些尽职调查和前瞻性努力的类型,它们有可能把你从反动的循环中拉出来,并帮助你更有效、更有效率地工作。你并不孤单如果你不遵守规定,你并不孤单。与实现和保持法规遵从性相关的所有挑战都突出表明,需要采取更广泛、更统一的方法来了解组织内部、网络和设备之间正在发生的事情。现在是时候从时间点、复选框的心态转向更持久、更大范围的持续遵从心态。这包括持续的流程改进和持续的网络监控。在这个过程中,你可能会发现一些机会,这些机会不仅可以提高效率,还能提高士气,ddos防护防御,减少损耗,甚至可以节省时间和金钱。现在是时候从时间点、复选框的心态转向更持久、更大范围的持续遵从心态在我的下一篇博客中,我将更深入地研究阻碍从时间点遵从性心态向持续遵从性心态转变的组织挑战。如果您有任何法规遵从性案例或组织挑战,请通过电子邮件发送至rkral@tenable.com。让我们朝着更可持续的合规性前进,并在此过程中建立更强大的安全地位。