文章总结： 本文探讨合规如何规避网络安全风险。作者指出员工盲目执行软件更新可能被攻击者利用植入后门。建议建立标准流程，通过提前发布更新通知建立信任链，以识别非合规弹窗。强调事前合规建设的重要性，其价值在于风险规避而非事后补救，能有效提升整体安全性。 综合评分： 82 文章分类： 安全建设,安全意识,终端安全

合规确实可以规避风险

原创

jishuzhain

OnionSec

2025年8月31日 18:22 广东

对自己生活所见所闻的体会与思考，整理成小文以供后顾。会尽量口语化地表达出我的想法与体会，让人理解起来更简单直接，省去“中间商”倒卖多手信息。

合规指的是符合流程与规范，大多数时候我们只能被动地接收这些要求与信息，认真地充当一个执行者角色，久而久之，变成与拥有了工具人属性后忘记了思考与回顾，成为了某个既定系统的配件，配件意味着可容易被更换，很难再跳出来去对整体系统进行改造优化与把关，自然也很难提升与解决系统面临的真正问题与困难。这个情况也在网络安全行业里存在普遍现象，接下来我会举一个小例子结合起来印证观点。

在网络安全领域与行业里，作为防御者或者建设者，没有办法脱离“木桶理论”，水桶理论简单理解就是水桶能承装的水量取决于构成水桶成型时最短的那块木板，如果出现最短木板那么整体承载水量就取决于木板的上限长度，越短水就越少，越长水量就越多。但是不是意味着其余的木板就没有那么重要了呢？答案是这些其余的木板非常重要，因为只有其余木板是质量完好的，我们才能心安理得地谈论“木桶理论”，不然这些观点都只是空中楼阁，假大空的话语。而本文提及的合规就是这些其余的木板，合规不够或者未能做到位，带来的结果就是这些看起来质量完好的其余木板，某个木板靠近水桶底部的位置出现了裂缝，慢慢地渗水，虽然前期水量不大，难以引人注意。随着时间的推移，这个组织或者业务蓬勃发展，变得越来越大，得益者们满面春风得意，水桶变得越来越大与高耸，底部的裂缝承载的水压急剧升高，最终裂缝砰的一下破碎了，原本水桶的水位线一下子就来了裂缝处，一切都烟消云散，犹如过眼云烟。

上述的案例看起来非常刺激，但如果细细观察商业市场的起起伏伏就不难发现这是很可能会出现的情况，而从大到小，我们平时接触到各类事物里同样也存在类似的场景。基于计算机领域产生的软件是多人协作的成功，商业软件亦是如此，它们规模更大，使用它与解决具体问题所承载的价值更高，必然涉及到流程与合规问题。

企业的环境存在各种各样的软件与服务，对网络安全领域非常相关联的软件基本是涉及基础设施的软件，这些基础设施的软件每个员工都需要安装，每个员工的电脑或电子资产都受其影响，暴露面非常大。基础设施的软件一旦失陷被攻击者所控制，那么可以说潜在损失很大，对于处于基础设施中的安全监控类软件同样如此，它们属于基础设施中的基础设施，重要性翻倍。

作为防御者假设你遇到如下情况会如何解决或者规避风险呢？作为一名普通员工，每天的办公环境都需要使用电脑或其余电子资产，一年的时间里总是每隔1-2个月就会接收安全监控类软件的弹窗提示，内容是本次软件需要升级到某个版本，对话框下面给出了【确定】【立即升级】等按钮，作为组织内的一员，自然是完全相信弹窗内容，二话不说就选择了点击【立即升级】按钮，于是升级就开始了，等待了几分钟整个软件的升级获得就完成并最终启动了新版本的安全监控软件。整个流程确实没有什么问题，普通员工只是一个执行者，提示什么就基本上会照做进行，避免因未能完成而收到提示。

信息安全领域最绕不开的话题在于信任，密码学的出现也是长年累月的人类活动与冲突中不断摸索出来的新方法，围绕着信任展开了一系列的探索与实践。此时这名普通员工就在想或者思考，这次弹窗要求升级的发起人真的是组织内部的人员吗？人一旦发起思考确实感觉不一样，越想越后怕。一旦有这样的想法，每次遇到出现弹窗要求升级，点击完后心里总是一股怀疑感，直到次数变多了，最终再次遇到弹窗升级时，选择了停止鼠标不点击而是直接去询问了IT运维部门的同事，到底是不是真的？

从日常或者已知接触过的信息安全事件案例出发，换位理解攻击者的视角，确实存在攻击者入侵完某个组织内部后，获取了安全监控软件的管理人员权限，但因为内部权限问题（从职权范围实现权限分级），没有办法控制更多有价值的资产或者设备（比如高价值人群，例如企业管理人员或者财务人员或者核心商业机密相关人群），一种情况是直接下发夹带着后门的新版本安全监控类软件，要求部分或者所有用户立即升级，从而直接控制大多数资产或者设备。另一种是传统方法利用缺陷或者漏洞逐步入侵内部设备，最终目的对于攻击者来说都是一样的，控制越多的资产或者设备，获利空间或者概率更大。

所以现在的问题是如何避免或者消除这种风险呢？答案是合规，一定要存在符合标准流程或者已知风险可规避的流程被实施。这里的案例在于信任，如果在发布企业内部重要软件更新时能提前发布内部通知或者邮件，提前告知所有用户，接下来某个重要软件需要更新，那么一定程度可以规避掉这些信任风险引起的安全风险。用户心里有了预期，该软件原来是真的需要升级。通过提前通知或者邮件发布的方式多了一种信任链，对于攻击者来说就是门槛，是成本，多获取一层权限就是一道防火墙。在未能提前在内部发布软件更新通知时就出现让用户突然升级重要软件的弹窗，这类信号直接可以定义为敏感或者不合规信号，可以开展内部信息安全调查，于是乎这类风险可以被合规而消除。

合规确实可以规避风险，但也不是所有企业或者组织都会拥有，对资产或者信息以及数据的在乎程度决定了合规是否完整以及严格执行的力度。每天老生常谈的建设安全防御体系，保护用户信息安全，免受风险损失，还不如真正经历一次因合规不完善而导致的安全风险事件更来得深刻。最大的价值在于能风险规避，而不是事后补救。虽然事后补救能体现出很多的工作量与曝光量，迂回证明安全建设的重要性，但是可以量化后，一核算投资收益与成本，估计也会大吃一惊。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain《合规确实可以规避风险》