利用分层安全措施提升监管合规水平

行业专家建议将企业的合规工作与 美国国家标准与技术研究院（NIST 框架）或国际标准化组织（ISO 标准）等组织制定的一套值得信赖的安全准则相关联。这种方法可以帮助企业有效实现以下目标：

• 采用知名机构的最佳实践并赢得信任
• 确保合规工作符合各种法规的要求并提高效率

但是，随着攻击面和法规的不断发展变化，我们应该提出以下问题：为何不将企业的数据合规工作与长期的网络安全原则相关联？有些人可能将此称之为纵深防御，但我们将其视为分层安全防御。不论使用哪种说法，这种分层安全方法的原则都已为大众所熟知。

与其过度依赖于某一类型的安全工具或控制措施，不如创建多个安全层，这些安全层可组合成一系列相互关联的安全屏障、陷阱和对攻击者不利的意外防御措施，而所有这些措施都旨在通过限制攻击者的选择、访问权限和可见性来阻击他们。通过分层方法，针对特定风险的安全控制措施可以取长补短。如果一项安全控制措施失效，则另一项措施会提供支持，随时发挥作用。如果另一项安全控制措施捕获到攻击信号，其对应措施便会根据相关见解执行操作，阻止攻击者的行动。一种工具负责保护人类用户的访问，另一种工具则负责保护非人类实体的访问，依此类推。

企业可以应用此方法来实现合规性。监管机构希望企业可以证明自己已经竭尽所能来防止攻击者破坏数据和基础架构。这包括泄露数百万消费者个人信息的攻击，或者中断水处理厂等关键基础设施运营的攻击。

相关风险很高：不遵守法规导致数据泄露的平均成本从 488 万美元增加到 2024 年的 512 万美元。

从展示更全面的计划到增强您的报告能力，我们来一起探讨一些常见的差距及应对之策。

很多企业在确保 IT 用户凭据安全方面取得了进展，但这些凭据一旦落入不法分子之手，攻击者便有可能掌控网络并获取对敏感数据的访问权限。从《支付卡行业数据安全标准》(PCI-DSS v4.0) 到《通用数据保护条例》 (GDPR)，监管机构都要求企业具备强大的特权访问管理能力。

但是，拥有将数据隔离并分段进行保护的控制措施也很有用。在这些分段中，每种类型的数据都受到根据其独特属性定制的授权控制措施的保护；这包括数据敏感性和地区特定监管要求。

当网络被分为多个较小、隔离的分段（每个分段都具有自己的信息安全策略）时，安全团队可以更精准地控制数据访问和横向移动。

有了合适的微分段工具，这种精细的方法可以给您带来以下优势：

• 减小攻击面
• 在遭到入侵或勒索软件攻击时，减少潜在的损失
• 让安全团队能够在其整体计划和定期审计中展示他们如何保护数据、系统和运营

安全团队还可以通过哪些方式将分层安全思维应用于法规合规性？我们来看看数据保护始终至关重要的作用。

根据 2025 年 Verizon DBIR 报告，60% 的数据泄露源自于“人为因素”（例如，员工遭受网络钓鱼攻击计划的欺骗，导致数据被盗）。因此，公司自然会实施身份和访问权限管理控制措施，以防止遭受巨额罚款和声誉损失。很多监管机构和框架都坚持要求采取此类措施。

您的企业或许能够向监管机构展示自己如何减少对密码的依赖以及如何对用户实施双重身份验证方法。但是，如何应对非人为因素？

仅仅是一个企业中就可能有数千个应用程序编程接口 (API) 在后台快速交换数据。攻击者知道 API 常常会配置出错、缺少身份验证控制措施，并且很容易受到操控而返回敏感信息。

实际上，在过去 12 个月内，84% 的企业经历过 API 安全事件，IT 和安全负责人认为解决这些事件的平均成本为 943,162 美元。

通过应用分层安全方法来满足合规性要求，安全团队可以采用相关工具对其 API 资产进行监控和保护，作为其员工访问控制措施的补充。这包括用于以下方面的 API 安全态势管理功能：

• 根据标准活动基准来分析 API 行为是否存在异常

• 实时识别恶意活动，并提醒混合环境中的其他工具应用阻止未经授权的访问等控制措施

• 持续提供与您所遵循合规框架相对应的潜在 API 安全事件的视图

请关注本系列博文中的后续文章，我们将在其中探讨企业安全团队应对合规性差距和挑战的方法。我们认为，遵守数据保护法需要采取一种战略性方法，这与企业实施分层策略来保护攻击面的每个区域的方法并无太大区别。

我们还将介绍与当今监管机构的要求直接相关的最佳实践，包括获得对整个 IT 资产的全面监测能力。