顾问观点 欢迎来宾贡献。这里提出的观点并不一定代表 顾问的观点。
服务组织控制 2 (SOC2) 审核已成为技术行业证明安全合规性的事实上的标准。虽然这些审计在建立基线安全控制和流程方面发挥着重要作用,但它们在防止实际网络安全漏洞方面的有效性值得严格审查。
此分析探讨了为什么 SOC2 认证尽管被广泛采用并受到尊重,但可能会提供错误的安全感,并且不足以保护组织免受现代网络威胁。
近期 SOC2 故障示例
我们最近有几个公司的例子,这些公司拥有有效的 SOC2 审计函,但仍然未能保护客户数据。示例包括:
奥克塔公司: 2023 年 10 月,领先的身份和访问管理公司 Okta 遭遇漏洞,黑客从其支持平台窃取了 HTTP 访问令牌。该事件影响了众多客户,包括 Caesars Entertainment、MGM Resorts International、1Password 和 Cloudflare。
美国电话电报公司: 2023 年 1 月,AT&T 的一家云供应商发生数据泄露事件,影响了约 890 万无线客户。泄露的数据包括 2015 年至 2017 年本应删除的信息,例如账户详细信息和费率计划信息。 2024 年 9 月,AT&T 同意支付 1300 万美元以和解 FCC 对此次违规事件的调查。
进度软件(MOVEit): 2023 年,Progress Software 的 MOVEit 文件传输软件中的一个漏洞被利用,影响了超过 2,500 个组织,包括 BBC、英国航空公司和纽约市教育部。
时间点审计的基本局限性
SOC2 审计虽然被广泛认为是一种安全标准,但存在重大局限性,尽管组织处于合规状态,但仍可能使组织容易受到攻击。根本挑战在于这些审计的静态性质,无法解决现代网络安全威胁的动态现实。
主要弱点之一是 SOC2 评估的“时间点”性质。安全性不是一个静态的复选框,而是一个需要不断调整的连续过程。在审计周期之间,组织可能会部署新系统、修改现有控制、经历员工流动或面临新出现的威胁 – 所有这些都无需适当的安全审查。这造成了一个危险的差距,公司可能会在保持合规性的同时隐藏重大漏洞。
以合规为中心的心态进一步加剧了这些问题。许多组织以“复选框心态”进行 SOC2 审计,实施肤浅的控制只是为了通过审计,而不是建立强大的安全措施。这可能会导致资源被用于文档和最低合规性要求,而不是真正的安全改进。
SOC2 覆盖范围的重大差距带来了另一个重大问题,特别是在内部数据移动和第三方技术风险方面。许多审计主要关注外围控制,而忽视内部数据流,从而造成攻击者横向移动可能未被发现的盲点。最近影响众多金融服务公司的 MOVEit 黑客事件凸显了 SOC2 审计中第三方技术评估不足的危险。
审计师和客户之间的关系也面临着自身的挑战。这种关系的商业性质可能会产生利益冲突,审计师会感受到维持客户关系的压力,而组织可能会购买宽松的审计师。此外,审计人员的时间限制和有限的技术专业知识可能会导致对复杂安全架构的评估肤浅。
一个令人担忧的趋势是强调文档而不是实施。组织通常在记录策略和程序方面投入大量资金,而在实际安全措施方面可能投资不足。这种对形式而非功能的关注可能会产生一种错误的安全感,大量的文档掩盖了薄弱的实施,而现实世界的实践与记录的程序存在显着偏差。
人为因素和遗留系统代表了 SOC2 审计通常无法充分解决的持续漏洞。安全意识培训可能很敷衍,尽管有强有力的政策,社会工程漏洞可能仍然存在。同样,组织可能会在保持合规性的同时承担大量技术债务或运行具有已知漏洞的遗留系统。
为了解决这些限制,组织需要超越基本合规性并实施更强有力的网络安全措施。全面的方法应包括持续的安全监控和评估、超出合规性要求的基于风险的安全计划以及先进的威胁检测和响应能力。组织应在整个运营过程中培养强大的安全文化,并根据新出现的威胁定期更新安全控制措施。
增强数据流安全至关重要。组织应实施具有内部监控功能的数据丢失防护系统,采用零信任架构,并建立详细的数据流映射和监控。定期审查内部访问模式和自动检测异常数据移动模式可以帮助在潜在威胁出现之前识别它们。
第三方安全管理需要特别关注。组织应实施持续的第三方安全监控,建立详细的供应商安全评估程序,并对集成技术进行定期安全审查。对第三方系统行为的自动监控以及针对第三方安全事件的特定事件响应计划是强大安全计划的重要组成部分。
补充安全措施应补充 SOC2 合规性。其中包括定期渗透测试和红队演习、威胁搜寻计划、高级安全监控和分析以及全面的事件响应能力。供应链安全评估、持续的安全意识培训以及定期的安全架构审查也是完整安全策略的关键要素。
随着网络威胁的发展,SOC2 审计要求与现实世界的安全需求之间的差距不断扩大。传统的审计标准通常落后于网络威胁的快速发展,从而产生了可供老练的攻击者利用的漏洞。组织必须认识到,虽然 SOC2 合规性很重要,但它代表的是最低基线,而不是全面的安全解决方案。
展望未来,组织必须将重点从单纯的合规性转向真正的安全有效性。这涉及开发实际衡量安全有效性而不仅仅是合规性的指标,投资于高级安全功能,以及培育一种文化,将安全视为一个持续的过程而不是定期的复选框练习。只有承认并解决 SOC2 审计的局限性,组织才能构建真正强大的安全计划来防御现代网络威胁。
加强 SOC2 之外的安全性
寻求强大网络安全的科技公司必须超越基本的 SOC2 合规性,实施更强大、更动态的安全措施。这种全面的方法始于持续的安全监控和基于风险的计划,超出了标准合规性要求。强大的安全文化,加上安全控制的定期评估和更新,构成了这一增强战略的基础。
数据流安全需要特别关注,组织实施数据丢失防护系统、零信任架构和详细的数据流映射。定期验证内部访问模式和自动检测异常数据移动是这种增强的安全态势的关键组成部分。
财富科技公司需要实施全面的安全计划和代码审查,以保护委托给他们的数据。
保护您的财富管理公司
财富管理公司的首席执行官需要强大的第三方安全管理流程,以确保他们的服务提供商超越 SOC2 复选框。您的安全计划需要持续监控、详细的供应商评估以及针对第三方事件的特定事件响应计划。
其他基本要素包括全面的事件响应能力、供应链安全评估、持续的安全意识培训和定期架构审查。这种多层方法可确保组织保持强大的安全态势,适应新出现的威胁,同时超出基本合规性要求。
一些具体建议包括:
- 投资对您的系统进行 24/7 安全运营中心 (SOC) 监控,以快速识别并阻止未经授权的访问;
- 建立严格的数据分类和处理程序;
- 使用全面的安全调查问卷进行彻底的供应商安全评估。每年以及在交付主要软件版本时定期重新评估这些内容;
- 实施供应商访问控制和监控;
- 针对与供应商相关的违规行为建立事件响应程序;
- 与每个技术服务提供商定期进行数据访问审核和审查;
- 针对供应商事件定期进行桌面演习;和
- 考虑零信任架构实施。
结论
虽然 SOC2 审计为安全控制和流程提供了宝贵的基准,但不应将其视为针对网络安全漏洞的全面保护。组织必须认识到基于合规性的安全的局限性,并实施更强大、持续的安全计划,以有效应对现代威胁。
安全保证的未来在于将传统的合规框架与更加动态、基于风险的方法相结合,这些方法强调实际的安全有效性,而不是文档和检查表的完成。这必须包括对内部数据移动的全面监控和对第三方技术的全面评估,这是标准 SOC2 审计目前服务不足的两个关键领域。
CEO 应该将 SOC2 视为最低基线,而不是保护财富管理公司的全面安全计划。这种观点的转变,加上持续的安全投资和持续改进,为寻求真正防御现代网络威胁的组织提供了最佳前进道路。
网络安全的成功需要超越时间点审计的局限性,采用持续、全面的安全方法来应对现代威胁形势的各个方面。只有承认并解决传统合规框架中的差距,组织才能希望在当今快速发展的数字环境中实现真正有效的安全性。
约翰·奥康奈尔,创始人兼首席执行官 绿洲集团,专门帮助财富管理和技术公司解决最复杂的挑战。他最新的在线培训课程是职业生涯各个级别的金融专业人士的主要教育来源。模块涵盖从网络安全到托管市场等, 绿洲集团 使公司和企业能够提高技能、按照自己的节奏学习并重温课程以强化特定的学习目标。使用优惠券代码 ADVISORPERSPECTIVES 即可获得任何课程额外 20% 的折扣。
来自 Advisor Perspectives 和 VettaFi 的消息: 要了解有关此主题和其他主题的更多信息,请查看我们的一些 网络广播。
#SOC2 #审计在防止网络安全漏洞方面的局限性批判性分析 #文章