平衡安全性 + 合規性

了解網路安全合規性的基礎知識,以及它為什麼是企業組織安全態勢重要的一環。此外,還要了解對於受監管的企業來說,在安全性和合規性之間達到平衡是最基本的,以及關鍵法規、業界標準和最佳實踐等關鍵因素,如何與先進科技和安全工具做結合,在企業組織受益的同時,盡可能降低不合規的風險。

January 24 2024 作者

Jesus Vigo

Zen sand art in a circular pattern with one white and black stone intimating yin & yang

介紹

僅僅達到企業組織安全標準的最低合規性要求是不夠的。」— 丹尼爾·格裡格斯

上面這句話充分說明了企業不僅要做好網路安全工作,而且是每一次都要做得確實,才能始終確保合規性,這一點至關重要。當然,這包括保護裝置、使用者和資料的安全。

在這篇部落格文章中,我們將透過以下方式探討網路安全合規的核心原則:

  • 定義合規性在網路安全中的作用
  • 概述合規性對企業組織的重要性
  • 介紹平衡安全性和合規性的概念
  • 舉例說明有助於彌合兩者之間差距的方法

什麼是網路安全合規性?

首先,讓我們看看韋氏英文字典對合規這個詞的定義,以便理解「合規」的真正含義。

合規名詞

com·pli·ance /kəm-ˈplī-ən(t)s/

1a.

:順從某種願望、要求、提議、制度或強制的行為與過程

患者完成療程的依從性 (指病人按醫生規定進行治療、與醫囑一致的行為)非常高。

——喬治亞·克魯索斯(Georgia A. Chrousos)

b

:符合官方要求

他的行為 符合 國家法律。

2.

:屈服於他人的傾向

3.

:物體在受壓時產生彈性屈服的能力

在各種定義中,最適用於網路安全的定義是第 1b 條,即「符合官方要求」,因為這是網路安全合規的真正目的:遵守管理機構或行政機構提出的要求:

  • 蒐集
  • 處理
  • 處理
  • 存儲
  • 分配
  • 傳播
  • 清理

只有經過授權的使用者才能(noun)受保護的資料與系統,未授權者則無法存取。

網路安全合規的目標

一般來說,合規性的目標基本上就是避免企業組織違反任何法律。透過落實合規措施,照著藍圖一步步走,以免踩到違規的潛在地雷。

就網路安全而言,上述內容仍然非常適用,但還有一個另外的挑戰:除了要確保存取資料的使用者以及裝置安全外,還要保護業務資料。在這種情況下,「保護」一詞的含義不僅僅是保護資料免受威脅,還包括在 任何事情、行動或情況下保持正確的立場,否則會使受法規保護的資料面臨違法的風險。

一個很好的例子: IT 員工有權存取其他員工用來儲存工作資料的文件伺服器。儘管每個目錄都設定了使用者權限,只有授權的使用者才能存取該資料夾,但在一般情況下,IT 部門有權修改目錄權限。如果使用者向 IT 部門表示某個資料夾出了問題,IT 人員就可以修改權限來修正問題,而不會影響合規性。但是,如果他們更進一步,深入使用者目錄查看受保護的資料,則可能違反法規,因為就本示例而言,IT 人員可能無權查看或處理此類數據。

與網路安全合規相關的關鍵法規和標準

還記得剛剛使用了「藍圖」這個詞嗎?之所以使用這個詞,是因為就像建築師在建造房子時為施工團隊起草藍圖一樣,IT 和資安團隊在實施安全計畫時,也可以依循標準來檢查其企業組織必須遵守的各種法規要求。

還是要澄清一下,標準≠法規。標準是為了達到遵守法規的目標之手段在更高一個層次來說,它們是一套正式的安全最佳實踐,類似於可即刻執行的待辦事項清單,在幾乎任何情況下都能提供「經過實戰考驗的流程指南」,以實現其合規性目標。

每個組織的情況不同,各自的需求也不同,落實合規性的能力往往受到多種變數的影響。也就是說,「法規」讓我們知道什麼資料是需要保護的,才能符合政府規範;「標準」則是在根據法規的情況下,提供防護的最佳辦法及其詳細資訊。

讓我們來看看一些重要的全球網路安全法規:

  • HIPAA:保護健康資料,限制資料共享,需要患者明確授權才能使用。
  • PCI-DSS:為信用卡支付處理商制定了有關蒐集、處理和儲存信用卡的資料的指南。
  • GDPR:以保護隱私為基礎的法條,旨在維護使用者的權利,防止在未經明確同意的情況下使用任何個人資料。
  • FERPA:限制存取學生的教育紀錄和資料,並控制資料外洩的狀況。
  • FSMA:對保險、投資業務和銀行業務,以及新興金融科技市場(如加密貨幣)進行監管。

現在,讓我們看一些全球公認的網路安全標準和框架:

  • Essential Eight:八項最關鍵的緩解策略,幫助企業決定控制措施的優先順序,保護自身免受網路威脅。
  • NIST:針對企業防範各種安全威脅的方法,提供保護關鍵基礎設施的指導。
  • ISO:由一系列標準組成的國際資訊安全管理系統,其分支涉及各種網路安全問題和威脅。
  • Cyber Essentials:實施安全控制措施的資訊保障框架,該措施被廣泛認為可以有效地保護企業組織免於網路威脅。
  • CIS:優先保障措施作為深度防禦模式的一部分,透過基準和基準線來辨識和預防網路安全的威脅。

合規性在網路安全中的重要性

其實,合規在網路安全中的作用,與制衡系統(透過互相制衡來達到權力分立的政治系統)沒有什麼不同。那些為企業組織帶來風險的網路威脅也就回答了以下問題:企業組織需要防範什麼?而如先前所述,「標準」回答了此問題:我們該如何用最好的方式保護企業組織?最後,合規性則是回答了這個問題:我們是否成功地保護了企業組織?

合規性對企業組織的好處

可以這麼說,合規性為企業帶來的最大好處就是安心:知道裝置符合業界標準和安全基準線。這代表著裝置已針對安全威脅進行了強化,使用者已被授予存取權限,但僅限於履行其工作職能所必需的權限,並且透過有效控制來保護資料,大幅降低了資料外洩或執行不力的風險。

不合規的風險

某些行業因其業務性質、做法或合作對象而受到監管部門的監督。此外,企業營運所在的地區可能會影響需要遵守的法規,依地區有所不同,法規是政府強制的,也適用於以下所有層級:

  • 地方(市、縣、自治市、部落、地區)
  • 州別
  • 聯邦
  • 國家/地區
  • 地區

不遵守合規性的後果實例

每個行業都有自己的一套要求,甚至一個比一個更嚴格。豪無疑問地,企業必須遵守政府部門的每項監管要求,否則就是違反法規,可能會受到以下的處罰:

  • 每次違規的巨額罰款(每年高達數百萬美元)
  • 民事責任(使用者對於產品或服務的負面使用經驗)
  • 員工和高階主管的刑事責任(被認定為明知故犯)
  • 無法得到撥款、政府補助、獎勵
  • 對公眾輿論與公司聲譽產生負面影響
  • 對業務營運和收入的影響
  • 因為資料遺失而失去的合作關係和商業機會
  • 禁令:禁止使用該產品/服務
  • 扣押資產/關閉企業

平衡安全性和合規性

IT 界有不少用來指稱某種技術的簡稱或縮寫。通常來說,把這些詞彙組合再一起,可以讓某項工具或服務看似更有吸引力。但其他時候,它們可能聽起來是互相矛盾的。

安全性和合規性就是這樣的例子,雖然都有保護的意思,但卻代表兩種不同的意義。換句話說,安全的東西並不代表著合規;反之,合規的東西不一定安全。因此,我們將在本章節中探討如何在安全性與合規性之間取得平衡,這相當具有挑戰性,但如果處理得當,勢必會帶來豐厚的回報。

平衡安全性和合規性的挑戰

在嘗試找到適合您的企業的平衡點時,有幾個難題需要解決。其中一些挑戰是企業組織特有的,例如,IT 和資安團隊可用的工具、他們的知識庫和技能限制(如果有的話),當然還有財務方面的問題,這些在縮小安全性與合規性間的差距上都扮演著非常重要的角色。

其他重要考慮因素包括:

  • 您所在行業相關的監管法規
  • 裝置管理和監控解決方案
  • 使用新工具時,風險與益處之間的權衡
  • 對使用者隱私和工作效率的影響
  • 利害關係人對「標準」的支持
  • 有時效性的要求和限制

如何在不犧牲安全性的前提下整合合規性

在 IT 系統中整合任何類型的新解決方案,最穩健的方法之一就是透過謹慎的專案規劃和管理。這也包括測試部分,在正式生產之前,在測試環境中對新變更進行抽樣測試。

這種方法不僅為支援團隊和利益關係人提供了充足的反饋,而且在評估當前和未來的變更時,這些回饋也會派上用場。畢竟,迭代循環是變革管理流程的關鍵。

就像組織層面大多數的事情一樣,它也會因公司的具體需求而有很大的變化。可惜的是,沒有一種「放之四海而皆準」的方法、解決方案或工具,可以一次彌合安全性和合規性之間的差距。

平衡安全性和合規性的最佳實踐

適切的規劃是成功達到平衡的關鍵,這一點再怎麼強調都不為過。要有效地規劃和管理專案,了解這兩個關於安全性和合規性的具體要點是非常重要的:

  1. 企業組織目前的狀況如何?
  2. 企業組織需要、希望達到的目標?

前者代表企業組織最開始的安全態勢,也是您的起點。一旦進行了風險評估,選擇了合規標準或框架,完成了實施和測試階段,並進行了分析,以評估安全和合規狀況之間的差異,後者將為您的組織提供一個清楚、簡明的目標。

千萬不要忘記,這是一個迭代的過程。如果第一次沒有達到預期目標,更應把握機會,紀錄您的發現與調查結果,並利用這些資料作為經驗教訓,推動企業組織更接近目標中的平衡點。

本章節前面提到的另一個面向是風險與益處之間的權衡。作為迭代過程的一部分,隨時了解企業組織的立場,對於合規性和安全性相當重要。舉例來說,企業組織政策規定,只有受 MDM 管理的企業裝置才可以存取業務資料。由於組織沒有足夠的授權來管理個人自攜裝置,因此口頭告知使用者禁止使用個人裝置。如果不深入了解非公司裝置或額外的資安解決方案,那麼企業如何知道有人存取業務資源?資料是否在被處理或儲存在個人裝置上?

他們不會知道的。這為合規性和安全性都帶來了巨大的風險,因為這需要額外的資金來為每個使用者的個人裝置提供授權,還需要額外的 IT 員工來管理大量的裝置。風險與額外的成本及員工的擔憂是否成正比?本練習題的目的不是要直接回答這個問題(因為這取決於企業自己的需求),而是要強調風險和益處之間的區別,在取得平衡時必須考慮到這一點。

平衡安全性和合規性的工具和技術

有了風險分析資訊來確定哪些安全保護措施是必要的,並選擇了哪些標準和框架來實現合規目標,企業就需要一種工具來推動安全與合規之間的平衡。

這就是技術和工具發揮作用的地方。選擇適當的工具不僅有助於彌合兩者之間的任何差距,且還能實施安全配置並強制執行合規性。

可協助企業組織落實安全性的技術

在本章節中,我們將介紹幾種廣泛的技術,以幫助企業組織達到平衡。從資安的角度來看,以下技術有助於落實安全配置,而這些配置都是知照符合法規的標準和框架生成的。

  • 行動裝置管理: 無論裝置實際位於何處,行動裝置管理(MDM)解決方案讓 IT 部門能夠簡化管理數百到數萬台裝置的複雜性管理解決方案既能監管公司擁有的裝置,也能監管任何個人擁有的裝置,在安全配置和設定、應用程式部署、業務資料與個人資料量的分割、以及合規性標準之間找到平衡。
  • 端點防護: 資安解決方案主動監控和報告裝置的運作狀況。透過識別和預防已知威脅,資安團隊可以確保端點保持在安全狀態。行為分析可協助威脅搜尋團隊發現未知威脅,而修復工作則可減輕威脅,使裝置恢復合規性。
  • 身份識別和存取: 將身份識別解決方案整合到管理和資安工作中,只有授權使用者才擁有存取許可權。此外,在遵守合規要求和安全最佳實踐的前提下,身分識別和存取解決方案使用最小權限原則,這能確保使用者只能存取工作範圍所需的資料。
  • 零信任: 基於「從不信任,始終驗證」的原則,這種安全模式以身份識別和存取解決方案為基礎,執行一項關鍵功能:每次提出請求時,默認限制所有端點的存取,直到裝置運作狀況參數已被驗證才能繼續。如果已驗證,則允許存取請求的資源;如果未驗證,則與資安和管理解決方案整合,在部署補救工作流程之前評估漏洞,以便在再次驗證裝置狀況之前自動清除潛在威脅。

成功執行合規性的工具範例

在最後一個章節中,我們將探討在企業組織取得平衡的過程中,能強制執行合規性的工具。下面列出的工具對於部署符合標準的安全配置至關重要,而 整體管理、身分識別和資安解決方案不僅確保端點安全,還能保障使用者和資料安全,同時符合法規。

  • Jamf Pro:一流的 Apple 設備管理解決方案,通過簡單而強大的介面輕鬆管理 macOS、iOS、iPadOS、tvOS 和 watchOS 設備,並能根據您的需求進行擴充。使用「零接觸」部署和配置硬體、安裝應用程式、應用程式設定、實施政策,以確保裝置一直是處於受管理的狀態,
  • Jamf Connect:將雲端身份供應商與 Mac 和行動裝置結合使用,只有經過授權的人才能使用硬體或存取業務資源。強大的身份識別可確保保有有效憑據,僅授予持有經驗證、無漏洞裝置的使用者存取許可權,對每個請求使用加密微型隧道,以防止遠端連接上的網路攻擊(如 MitM)——無論使用任何網路連接,都能始終保護。
  • Jamf Protect:通過安全基準線增強端點安全性,確保端點在受到主動監控時保持安全,向資安團隊發出未知威脅警報來啟動對應工作流程,同時管理已知風險,如作業系統常見的漏洞和暴露(CVE),在偵測到這些漏洞時立即進行修復。與您選擇的SIEM 解決方案整合,集中管理紀錄資料,通過安全的 API 與管理和身份識別解決方案共享裝置遙測數據,已達到自動化修復工作流程,該工作流程是根據最新的威脅情報所設計,並以機器學習驅動,進而拓展展基礎架構的安全性。
  • Jamf Compliance Editor:根據 macOS 安全合規性專案(mSCP)設計,根據特定的合規性要求生成安全指南,這些指南全球管理標準和框架一致,並且可以依照企業組織的特別需求客製化。如果您需要更精細的方法,您只需選擇希望實施的配置或自訂安全級別,便可以自動建立並上傳到您的 Jamf MDM 案例,以便在部署您的整個機群。
  • Jamf Safe Internet:針對企業裝置,一流的網路威脅防護,全面性的內容過濾解決方案等都是 Jamf Protect 的主要功能。對於教育機構,Jamf Safe Internet 可提供與其企業產品相同級別的保護,防範零時差網絡釣魚威脅、阻止不安全內容和隱私保護,就如同 Jamf School 為教育工作者、IT 和員工提供類似的管理和資安防護一樣。整合後,這兩種針對教育的解決方案可以透過簡單、直覺的控制台來詳細了解裝置使用統計數據。
  • Jamf Executive Threat Protection:Jamf 端點防護解決方案的核心是針對現代威脅形勢的最新演變提供保護。但是,利用進階的檢測和修復功能來遠端檢測資安事件,也代表著資安團隊要擁有能對應資安事件的工具。除此之外,不管在任何地方,團隊對行動裝置機群都有絕佳的可見性,讓他們可以更深入地研究威脅,進行全面調查。豐富的行動端點遙測數據只要透過指尖一點便觸手可及,調查時間縮短到幾分鐘,這都要歸功於整合功能,拓展了非常適合企業和政府部門的用途。

安全性和合規性解決方案是不是常常讓你覺得兩者兜不起來?

Jamf Trusted Access 提供從頭開始設計的管理、身分識別和安全解決方案,以達到最佳的平衡!

訂閱 Jamf 部落格

將市場走向資訊、Apple 最新消息、Jamf 新聞等,直接發送到你的收件匣。

若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。