正如現(xiàn)代管理學(xué)之父Peter Drucker所言,只有可以被衡量的事才能得到有效管理(what gets measured, gets managed)�����,對于網(wǎng)絡(luò)安全建設(shè)工作也不例外����。企業(yè)如果無法用可量化的指標(biāo)來衡量網(wǎng)絡(luò)安全建設(shè)工作,實(shí)現(xiàn)有效地安全管理將無從談起����。
公司主營業(yè)務(wù):網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站���、移動網(wǎng)站開發(fā)等業(yè)務(wù)�。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳��,提高企業(yè)的競爭能力�。創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)���、活力青春激揚(yáng)�����、勤奮敬業(yè)���、活力澎湃��、和諧高效的團(tuán)隊(duì)�。公司秉承以“開放���、自由����、嚴(yán)謹(jǐn)���、自律”為核心的企業(yè)文化�,感謝他們對我們的高要求���,感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)���,讓我們激情的團(tuán)隊(duì)有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出都勻免費(fèi)做網(wǎng)站回饋大家。
網(wǎng)絡(luò)安全并非一朝一夕的事情�����。網(wǎng)絡(luò)威脅正在不斷發(fā)展�����,預(yù)防網(wǎng)絡(luò)威脅所需的流程和技術(shù)也在不斷變化?,F(xiàn)代企業(yè)組織需要有適當(dāng)?shù)拇胧﹣碓u估所投資的安全保障措施是否有效���。這很重要�����,因?yàn)椋?/p>
對關(guān)鍵風(fēng)險指標(biāo)(KRIs)和企業(yè)安全狀態(tài)值的分析可以為安全團(tuán)隊(duì)提供改善安全運(yùn)營狀況的意見����,幫助組織更好地了解哪些措施是有效的�,哪些狀況在惡化,以此作為安全決策的依據(jù)��;
通過量化的安全建設(shè)衡量指標(biāo)�����,安全團(tuán)隊(duì)可以向公司管理層和董事會表明,對企業(yè)敏感信息和IT資產(chǎn)的保護(hù)工作是有價值的����。
本文收集整理了12個可被量化的網(wǎng)絡(luò)安全能力建設(shè)指標(biāo),可以幫助企業(yè)提升安全風(fēng)險識別和補(bǔ)救的能力�����。IT安全團(tuán)隊(duì)可以通過這些指標(biāo)�����,向公司匯報(bào)目前網(wǎng)絡(luò)安全工作的開展情況:
1�、企業(yè)當(dāng)前的安全狀態(tài)
評估企業(yè)當(dāng)前的安全現(xiàn)狀是衡量網(wǎng)絡(luò)安全能力的重要指標(biāo)。例如:在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中�����,已有多少占比的計(jì)算設(shè)備和應(yīng)用軟件能夠得到及時的補(bǔ)丁更新�����?在CIS列舉的 20大企業(yè)安全控制措施中�,將漏洞掃描和漏洞管理設(shè)置為必須要具備的基礎(chǔ)性防護(hù)要求,其他還包括了資產(chǎn)管理、權(quán)限管理和日志管理等�。?
2、網(wǎng)絡(luò)系統(tǒng)中未識別的設(shè)備
未識別的設(shè)備是指來源和用途未知的計(jì)算設(shè)備����。在許多情況下,未識別的設(shè)備并非惡意的��。它們可能是工程師創(chuàng)建的新虛擬機(jī)��,也可能是員工因?yàn)楣ぷ髟蚪尤氲囊苿釉O(shè)備�。但隨著網(wǎng)絡(luò)邊界變得越來越模糊,組織將難以確認(rèn)網(wǎng)絡(luò)設(shè)備的合法性和安全性����。在此背景下��,安全團(tuán)隊(duì)更需要系統(tǒng)地跟蹤網(wǎng)絡(luò)上有多少未識別的設(shè)備��。如果企業(yè)檢測到的未知設(shè)備突然激增�����,這表明企業(yè)或?qū)⒚媾R較嚴(yán)重的風(fēng)險隱患����。
3�����、入侵嘗試的數(shù)量
組織受到的入侵嘗試指的是未形成安全事件或后果探測行為�����,所有成功的入侵事件都可能由其發(fā)展而來��。因此�,企業(yè)應(yīng)該將攻擊者嘗試獲得非法訪問的次數(shù)作為安全工作的衡量指標(biāo)之一���,這需要通過防火墻和SOC系統(tǒng)的日志來收集相關(guān)情報(bào)��。
4��、已發(fā)生的安全事件數(shù)量
企業(yè)組織已發(fā)生的安全事件指的是攻擊者已經(jīng)成功實(shí)現(xiàn)的攻擊行為���,對組織的資產(chǎn)或數(shù)據(jù)造成了實(shí)際的損失。攻擊者破壞企業(yè)信息資產(chǎn)或網(wǎng)絡(luò)的次數(shù)可以作為衡量企業(yè)網(wǎng)絡(luò)安全建設(shè)不足的重要指標(biāo)�����。
5、平均威脅檢測時間(MTTD)
平均威脅檢測時間(MTTD)是IT運(yùn)營團(tuán)隊(duì)需衡量的標(biāo)準(zhǔn)指標(biāo)���,他們用它來評估識別特定的問題平均用時多久�。由于威脅分子使用越來越隱蔽的手法來隱藏攻擊意圖��,因此許多企業(yè)很難快速檢測到其面臨的網(wǎng)絡(luò)安全威脅��,MTTD指標(biāo)對評估企業(yè)網(wǎng)絡(luò)安全能力變得越來越重要��。
6����、平均威脅處置時間(MTTR)
檢測只是解決網(wǎng)絡(luò)安全事件的第一步。平均威脅處置時間(MTTR)反映了安全事件發(fā)生后安全運(yùn)營團(tuán)隊(duì)的處置效率有多高��。如果跟蹤這個指標(biāo)�����,就可以評估調(diào)整安全運(yùn)營策略將可以獲得哪些好處��。MTTR還可用于評估安全團(tuán)隊(duì)快速解決不同安全事件的能力����,比如DDoS攻擊、勒索軟件攻擊和數(shù)據(jù)泄漏等���。
7��、平均威脅響應(yīng)時間(MTTC)
威脅響應(yīng)是指在安全事件檢測與有效處置之間的事件應(yīng)對情況�。MTTC在一些方面甚至比MTTR還要重要����,因?yàn)榻鉀Q安全事件的總成本很大程度上取決于安全團(tuán)隊(duì)對突發(fā)事件的快速響應(yīng)能力,響應(yīng)時間越短�����,解決問題的成本就會越低�����。如果企業(yè)需要很長時間才能啟動有效的響應(yīng)機(jī)制和流程�,這就反映出整體安全能力建設(shè)的不均衡。
8���、第一方(First Party)安全評級
安全評級是指通過易于理解的評分向非技術(shù)人員傳達(dá)安全事件程度的方法�����。它可以為組織提供清晰完整的網(wǎng)絡(luò)安全風(fēng)險評估�,并幫助告知需要注意哪些信息安全指標(biāo)。在安全評級時���,可以包括網(wǎng)絡(luò)釣魚風(fēng)險����、電子郵件欺騙�、社會工程風(fēng)險、DMARC����、中間人攻擊風(fēng)險、數(shù)據(jù)泄露風(fēng)險和漏洞狀況等具體指標(biāo)項(xiàng)�����。
9�����、補(bǔ)丁修復(fù)的時間
網(wǎng)絡(luò)犯罪分子正在大量使用威脅情報(bào)工具�,以利用補(bǔ)丁發(fā)布和實(shí)際修補(bǔ)之間的時間差�。因此����,企業(yè)應(yīng)準(zhǔn)確了解實(shí)施應(yīng)用程序安全補(bǔ)丁或緩解CVE列出的高風(fēng)險漏洞需要多長時間���?典型的事例就是勒索軟件“WannaCry”的廣泛破壞���,雖然其所利用的“永恒之藍(lán)(EternalBlue)”漏洞很快就被修補(bǔ),但由于很多企業(yè)的補(bǔ)丁更新工作不夠及時��,結(jié)果還是淪為了受害者����。
10、訪問管理和控制
現(xiàn)代IT環(huán)境的訪問控制策略十分復(fù)雜��。不同的網(wǎng)絡(luò)基礎(chǔ)設(shè)施(比如公有云和本地服務(wù)器)通常需要配置不同的訪問控制方法�����,因而需要使用不同的設(shè)備和策略�。為此,企業(yè)需要全面而詳細(xì)的訪問控制管理技術(shù)��,比如云安全態(tài)勢管理(CSPM)和云基礎(chǔ)設(shè)施權(quán)限管理(CIEM)�����。有很多安全分析策略可以跟蹤訪問控制配置中的用戶和角色數(shù)量等指標(biāo)。企業(yè)還可以衡量訪問控制策略變化的頻率����。這些指標(biāo)若出現(xiàn)異常波動,很大程度上表明可能已經(jīng)存在安全問題���。
11�、同行業(yè)安全能力比較
安全團(tuán)隊(duì)向董事會級別進(jìn)行工作報(bào)告時���,一種重要的主題就是��,企業(yè)目前的網(wǎng)絡(luò)安全狀況如能力�,與所在行業(yè)的同行企業(yè)相比如何��。這些匯報(bào)信息和評價指標(biāo)更容易被管理層所理解�,且在視覺上更加具有吸引力,容易受到非專業(yè)性領(lǐng)導(dǎo)的關(guān)注���。
12����、供應(yīng)商安全評級與能力評價
組織面臨的網(wǎng)絡(luò)安全威脅形勢早已超出了組織自身范疇�,因此評價安全能力的指標(biāo)也需要同步發(fā)展。這就是為什么開展供應(yīng)商風(fēng)險管理和應(yīng)用第三方風(fēng)險管理框架將是加強(qiáng)企業(yè)安全能力建設(shè)的重要方面���。通過持續(xù)監(jiān)控供應(yīng)商安全風(fēng)險�����,組織可以大大降低供應(yīng)鏈安全事件發(fā)生的概率���。供應(yīng)商在遭受安全事件后,響應(yīng)事件所需的時間越長�,企業(yè)遭受第三方數(shù)據(jù)泄露的可能性就越大。
結(jié)語
企業(yè)組織在制定網(wǎng)絡(luò)安全建設(shè)工作的KPI方面并沒有硬性規(guī)定���。上述這些指標(biāo)的選用將取決于企業(yè)的應(yīng)用需求�����、法規(guī)監(jiān)管���、指導(dǎo)方針、最佳實(shí)踐等多個因素,并參考企業(yè)組織對安全風(fēng)險的容忍度和接受度�����。對安全團(tuán)隊(duì)而言���,最重要的考核指標(biāo)之一是成本因素�,向企業(yè)管理層和董事會展示的工作目標(biāo)中�����,要能夠清晰說明網(wǎng)絡(luò)安全如何為組織節(jié)省資金或創(chuàng)造額外收入�����?�?紤]到目前的數(shù)字化轉(zhuǎn)型發(fā)展趨勢和網(wǎng)絡(luò)安全威脅狀況����,做到這一點(diǎn)并不困難。
參考鏈接:
https://www.upguard.com/blog/cybersecurity-metrics
當(dāng)前名稱:現(xiàn)代企業(yè)應(yīng)重點(diǎn)跟蹤的12個網(wǎng)絡(luò)安全建設(shè)指標(biāo)
地址分享:
http://uogjgqi.cn/article/coiecpp.html
