利用分层安全措施提升监管合规水平

John Natale

寫於

John Natale

May 02, 2025

John Natale

寫於

John Natale

John Natale 是 Akamai 的全球内容营销经理。

监管机构希望企业可以证明自己已经竭尽所能来防止攻击者破坏数据和基础架构。
监管机构希望企业可以证明自己已经竭尽所能来防止攻击者破坏数据和基础架构。

如果保护企业免受网络威胁侵扰是您的日常职责,那么确保企业遵守监管法规要求可能也是您的额外任务。超过 130 个国家/地区颁布了数据隐私法,并且 156 个国家/地区(占全球国家/地区总数的 80%)颁布了网络犯罪立法

此外,每部隐私法规在以下方面都有自己的要求和规定:

  • 执行风险评估
  • 展示安全策略和计划
  • 提供审计报告(并在必要时报告数据泄露)

许多 CISO 都在将团队有限的时间投入到与安全核心原则相一致的合规事务上。我们以欧盟的《网络与信息安全指令 2》(NIS2) 法规为例。为满足 NIS2 对保护敏感数据的要求,欧盟国家的服务提供商正在实施“最低权限”访问控制。

常见做法包括将特权 IT 用户的凭据存储在保管库中,同时整理有关资源访问权限分配情况的报告并提交给监管机构。医疗保健等行业中也有类似的侧重点。在这些行业中,负责处理美国公民的受保护健康信息 (PHI) 的企业必须遵照《医疗保健信息流通与责任法案》(HIPAA) 的规定保护患者记录。

关注常见的安全实践有助于保护数据,因此也有助于满足数据合规性法规的要求。但是,守卫大门并藏好钥匙只能保护攻击面的部分层面。

要进行更深层次的防护,您就需要了解,万一攻击者发现漏洞并进行入侵,企业是如何保护资源本身的。并且,如果我们“假定已遭到入侵”,企业是否会竭尽所能来限制攻击者的行动,阻止他们进行横向移动、提升权限以及造成严重破坏?

在本系列博文中,我们将讨论当今监管机构要求企业保护其攻击面中的哪些层面,并介绍完成相关工作的最佳实践。

如何借助与安全原则相关联提升合规性

行业专家建议将企业的合规工作与 美国国家标准与技术研究院(NIST 框架)国际标准化组织(ISO 标准)等组织制定的一套值得信赖的安全准则相关联。这种方法可以帮助企业有效实现以下目标:

  • 采用知名机构的最佳实践并赢得信任
  • 确保合规工作符合各种法规的要求并提高效率

但是,随着攻击面和法规的不断发展变化,我们应该提出以下问题:为何不将企业的数据合规工作与长期的网络安全原则相关联?有些人可能将此称之为纵深防御,但我们将其视为分层安全防御。不论使用哪种说法,这种分层安全方法的原则都已为大众所熟知。

依赖分层方法

与其过度依赖于某一类型的安全工具或控制措施,不如创建多个安全层,这些安全层可组合成一系列相互关联的安全屏障、陷阱和对攻击者不利的意外防御措施,而所有这些措施都旨在通过限制攻击者的选择、访问权限和可见性来阻击他们。通过分层方法,针对特定风险的安全控制措施可以取长补短。如果一项安全控制措施失效,则另一项措施会提供支持,随时发挥作用。如果另一项安全控制措施捕获到攻击信号,其对应措施便会根据相关见解执行操作,阻止攻击者的行动。一种工具负责保护人类用户的访问,另一种工具则负责保护非人类实体的访问,依此类推。

企业可以应用此方法来实现合规性。监管机构希望企业可以证明自己已经竭尽所能来防止攻击者破坏数据和基础架构。这包括泄露数百万消费者个人信息的攻击,或者中断水处理厂等关键基础设施运营的攻击。

相关风险很高:不遵守法规导致数据泄露的平均成本从 488 万美元增加到 2024 年的 512 万美元。

从展示更全面的计划到增强您的报告能力,我们来一起探讨一些常见的差距及应对之策。

分层安全应用于合规标准的主要示例

很多企业在确保 IT 用户凭据安全方面取得了进展,但这些凭据一旦落入不法分子之手,攻击者便有可能掌控网络并获取对敏感数据的访问权限。从《支付卡行业数据安全标准》(PCI-DSS v4.0) 到《通用数据保护条例》 (GDPR),监管机构都要求企业具备强大的特权访问管理能力。

但是,拥有将数据隔离并分段进行保护的控制措施也很有用。在这些分段中,每种类型的数据都受到根据其独特属性定制的授权控制措施的保护;这包括数据敏感性和地区特定监管要求。

当网络被分为多个较小、隔离的分段(每个分段都具有自己的信息安全策略)时,安全团队可以更精准地控制数据访问和横向移动。

有了合适的微分段工具,这种精细的方法可以给您带来以下优势:

  • 减小攻击面
  • 在遭到入侵或勒索软件攻击时,减少潜在的损失
  • 让安全团队能够在其整体计划和定期审计中展示他们如何保护数据、系统和运营

安全团队还可以通过哪些方式将分层安全思维应用于法规合规性?我们来看看数据保护始终至关重要的作用。

满足 API 安全要求

根据 2025 年 Verizon DBIR 报告,60% 的数据泄露源自于“人为因素”(例如,员工遭受网络钓鱼攻击计划的欺骗,导致数据被盗)。因此,公司自然会实施身份和访问权限管理控制措施,以防止遭受巨额罚款和声誉损失。很多监管机构和框架都坚持要求采取此类措施。

您的企业或许能够向监管机构展示自己如何减少对密码的依赖以及如何对用户实施双重身份验证方法。但是,如何应对非人为因素?

仅仅是一个企业中就可能有数千个应用程序编程接口 (API) 在后台快速交换数据。攻击者知道 API 常常会配置出错、缺少身份验证控制措施,并且很容易受到操控而返回敏感信息。

实际上,在过去 12 个月内,84% 的企业经历过 API 安全事件,IT 和安全负责人认为解决这些事件的平均成本为 943,162 美元。

通过应用分层安全方法来满足合规性要求,安全团队可以采用相关工具对其 API 资产进行监控和保护,作为其员工访问控制措施的补充。这包括用于以下方面的 API 安全态势管理功能:

  • 根据标准活动基准来分析 API 行为是否存在异常

  • 实时识别恶意活动,并提醒混合环境中的其他工具应用阻止未经授权的访问等控制措施

  • 持续提供与您所遵循合规框架相对应的潜在 API 安全事件的视图

数据安全合规最佳实践:涵盖四个关键安全层

请关注本系列博文中的后续文章,我们将在其中探讨企业安全团队应对合规性差距和挑战的方法。我们认为,遵守数据保护法需要采取一种战略性方法,这与企业实施分层策略来保护攻击面的每个区域的方法并无太大区别。

我们还将介绍与当今监管机构的要求直接相关的最佳实践,包括获得对整个 IT 资产的全面监测能力。

了解更多

访问我们的网络安全合规性页面,详细了解 Akamai 如何为您提供帮助。



John Natale

寫於

John Natale

May 02, 2025

John Natale

寫於

John Natale

John Natale 是 Akamai 的全球内容营销经理。