BAS工具如何对网络安全合规性提供帮助呢

SafeBreachCISO Avi Avivi 分享了他对为什么仅靠满足网络安全合规性是不够的以及BAS工具如何提供帮助的观点。

RMS泰坦尼克号的沉没导致1,500多人丧生——这是完全可以预防的。机组人员已被警告有冰山，但仍以全速行驶，这是标准做法。他们只为大约一半的乘客提供足够的救生艇，但他们遵守海事法。事实上，他们已经超过了四艘船的最低要求。

向前迈进了一个世纪——从海上悲剧到网络安全灾难——SolarWinds2020 年的漏洞也是一个可以预防的想象失败。许多组织今天仍在恢复，即使它们当时完全符合联邦风险和授权管理计划(FedRAMP)并错误地认为它们是安全的。事实上，许多人认为可以使他们更安全的安全补丁是特洛伊木马，在实施时，它引入了一个后门，危害了数千个网络。

现在，合规性本身并不是问题。这是一个很好的开始，表明一家公司正在达到安全成熟度的门槛，但这还不够。框架对于帮助确保考虑安全计划的所有方面也很重要。但同样，它们只是一个开始，不会提供企业需要了解哪些安全控制和程序最适合其独特案例的规范性指导。

专注于圣灵与书信

组织必须努力遵守合规框架的精神，而不是其文字。例如，在某个时候，它成为了运行年度渗透测试的要求，但没有提供太多关于你应该如何进行的规范。因此，只要一个组织以他们选择的方式每年运行一次渗透测试，他们在技术上就是合规的。但它们真的符合该框架的精神吗？

如果您只遵循合规要求，盲点将不可避免地形成。框架最终会将您的注意力限制在您仅保护适用于合规性的环境子集的程度。因此，您可能完全合规——并有安全的错觉——但容易受到合规未涵盖的区域的任何攻击。

将合规设置为您的BAS线

安全控制验证是许多组织合规性要求的关键组成部分。但是对于测试控制的最佳方式存在不同的意见，包括应该何时进行、多久进行一次以及哪些工具最有效地支持该过程。为确保您的安全计划尽可能成熟，请将合规框架作为您的基准，并以此为基础。

法规是足以涵盖各种企业的通用指南，但每个企业都有自己的挑战。因此，时间点渗透测试或红队等合规监管活动可能还不够。这就是SafeBreach平台等违规和攻击模拟(BAS) 工具提供的自动化、持续安全验证发挥作用的地方。SafeBreach使用户能够跨各种控制执行有针对性的攻击场景，以优化其特定的配置集，查明其堆栈中的低效率，并为其业务的未来创建更强大的安全基础。

查看下面我最近的网络研讨会的记录，以了解更多关于合规性限制的信息，并在我提出将BAS集成为支持安全产品组合中合规性的实用方法的案例时听取我的意见。希望我们能够共同努力，超越合规性，更好地避免威胁（提防冰山）并弥补差距（增加更多的救生艇）。

审核编辑：刘清