您现在的位置是：亿华灵动 > IT资讯

为什么你的公司尽管通过了审计，但仍可能面临风险

亿华灵动2025-11-26 18:14:19【IT资讯】4人已围观

简介在网络安全领域，合规常常被视为安全的代名词，但实则不然。许多企业陷入“勾选框合规”的陷阱，忽视了安全的本质。CISO们发出警示：合规只是安全的基线，而非最终目标。那么，如何从合规思维转向更具韧性的安全

在网络安全领域，司尽合规常常被视为安全的管通过审代名词，但实则不然。临风许多企业陷入“勾选框合规”的司尽陷阱，忽视了安全的管通过审本质。CISO们发出警示：合规只是临风安全的基线，而非最终目标。司尽那么，管通过审如何从合规思维转向更具韧性的临风安全思维呢?

对于许多CISO来说，合规可能感觉像是司尽一种必要的免费模板恶，并带来一种虚假的管通过审安全感。虽然ISO 27001、临风SOC 2和PCI DSS等框架提供了结构化的司尽指南，但它们并不自动等同于强大的管通过审网络安全。挑战在哪里呢?临风许多企业专注于勾选合规选项，而不是确保其控制措施的有效性。

问题不在于合规本身，而在于心态。安全团队常常为了通过审计而匆忙准备，一旦文件签署完毕，源码下载就一切如常。事实是，监管的勾选标记并不能阻止勒索软件攻击、内部威胁或供应链妥协。实际上，近年来一些最高调的数据泄露事件就发生在那些技术上合规但远非安全的企业身上。

每位CISO都应该问一个关键问题：“如果明天合规要求消失了，我的公司还会安全吗?”

“合规是衡量特定要求进展的有用工具，但它不是香港云服务器安全方面的终点线。它是一个容易谈论的话题，因为与合规相关的事情总是出现在新闻中——我从未读过一篇文章或看过一份报告(在主流、非技术媒体中)谈论NIST 800-53或CIS关键安全控制等框架。当发生数据泄露时，报告关注的是被窃取或访问的记录或数据数量，或隐私侵犯(即HIPAA)。通常不会提及MITRE ATT&CK框架和泄露期间使用的源码库战术、技术和程序(TTPs)，”Fortra的首席安全和风险官Chris Reffkin告诉记者。

合规陷阱：公司出错的地方

CISO们知道安全和合规不是一回事，但高管和董事会成员并不总是这么看。这就是企业陷入“勾选框合规”陷阱的地方：

一次性安全：许多公司将合规视为一年一度的事件，而非持续的过程。这会在审计之间留下安全控制降级或未受监控的亿华云空白期。

过度依赖第三方审计师：通过外部审计并不意味着你的安全就坚不可摧。一些审计师只验证文档，而不是测试实际有效性。

拘泥于法律条文，而非法律精神：仅仅因为一家公司技术上符合法规要求，并不意味着它就安全。例如，实施多因素认证(MFA)但允许容易绕过的推送疲劳攻击，这不是真正的安全，而是服务器租用合规作秀。

忽视人为因素：合规框架通常强调技术控制，但大多数数据泄露仍涉及人为错误。很少强制要求安全意识培训和真正的行为改变，导致安全文化薄弱。

缺乏持续监控和适应：合规规则通常是静态的，而威胁却在不断演变。如果一个企业只是做要求做的事情，而不是主动调整安全措施，那么它已经落后了。

Reffkin解释说，关于如何最好地将合规与“良好的安全实践”相结合的建议将取决于你的企业、其威胁状况、风险承受能力和业务性质。然而，他建议了三件事：

首先，与你的网络保险承运商交谈。大多数承运商都有不错的诊断评估来评估潜在被保险实体面临的网络威胁潜在暴露(即风险)。而且作为额外福利，保险公司基于概率和潜在暴露来提出问题，因为这是他们评估风险并最终赚钱的方式。其次，利用现有的安全标准，看看你的安全和IT能力如何对齐(例如CIS、CSF等)。一般来说，所有安全标准都会映射到大多数合规和监管框架，因此你将能够看到合规与更以安全为中心的框架之间的差距。第三，根据你的项目成熟度，聘请安全顾问进行评估。这可能包括对你的项目进行一般性的安全审查，或进行渗透测试或红队演练。如果你已经完成了工作并构建了一个项目，那么是时候独立测试它了。