隨著安全問題越來越多的受到董事會和管理層的關(guān)注�����,不僅管理層需要各種指標(biāo)以得到對安全態(tài)勢更為清晰的視角,安全專業(yè)人士也逐漸被要求提供一些可以跟蹤公司當(dāng)前防御狀態(tài)的各項指標(biāo)�。但,哪些數(shù)字才是真正有用的呢?
成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),尖草坪企業(yè)網(wǎng)站建設(shè),尖草坪品牌網(wǎng)站建設(shè),網(wǎng)站定制,尖草坪網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,尖草坪網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)��,幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力����?���?沙浞譂M足這一群體相比中小企業(yè)更為豐富���、高端���、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)����、時尚、前沿�,時刻以成就客戶成長自我,堅持不斷學(xué)習(xí)�����、思考�、沉淀、凈化自己���,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站�����。
通常情況下�,高級管理層不太清楚該過問哪類問題,還可能會太過關(guān)注預(yù)防而疏于減輕損失�����。類似響應(yīng)安全事件的平均費用或是防火墻阻止了多少次攻擊這樣的指標(biāo)對非安全人員來說貌似挺合乎情理的�,但這些東西真的對公司的安全計劃毫無推進效能。相反�����,專家們建議將注意力放在那些可以影響行為或改變策略的指標(biāo)上���。
像漏洞修補平均成本和打補丁平均時間這樣的指標(biāo)���,如果公司擁有成熟和高度優(yōu)化的流程,那還是很有用的�。但問題在于,當(dāng)前95%的公司都達不到這一標(biāo)準(zhǔn)����。不過���,度量參與度�����、有效性和暴露窗口期的幾種指標(biāo)還是可以為公司提供用以制定計劃和改善防御項目的信息的�����。以下就是可指引管理層得出有用結(jié)論的四大安全指標(biāo):
安全指標(biāo) 1:項目參與程度
參與度指標(biāo)著眼于公司內(nèi)部的覆蓋率�。它們可能度量有多少業(yè)務(wù)單位經(jīng)常進行滲透測試或多少終端處于自動補丁系統(tǒng)維持更新狀態(tài)。據(jù)王所言���,這些基本信息能夠幫助公司評估安全控制采用級別并標(biāo)識出潛在的安全空白區(qū)�����。
比如說��,能夠宣稱公司系統(tǒng)100%保持更新到一個月之內(nèi)或許聽起來挺好的�,但這其實是個不現(xiàn)實的目標(biāo)�,因為打補丁本身有可能對某些系統(tǒng)帶來操作性風(fēng)險。目光投向參與度指標(biāo)能夠幫助排除那些不符合列入常規(guī)補丁規(guī)則的系統(tǒng)——專注于那些應(yīng)該打補丁的系統(tǒng)�����。
安全指標(biāo) 2:攻擊持續(xù)時間
駐留時間,或者說攻擊者處在公司網(wǎng)絡(luò)中的時間�����,同樣可以帶來有價值的結(jié)論���。攻擊持續(xù)信息能夠幫助安全專家們準(zhǔn)備好限制和控制威脅并最小化損失�����。
調(diào)查顯示�,攻擊者在公司網(wǎng)絡(luò)內(nèi)部潛伏的平均時間一般是幾個月��,期間熟悉公司的基礎(chǔ)設(shè)施����,進行偵察活動,在網(wǎng)絡(luò)中游弋�,以及偷取信息。
防御目標(biāo)應(yīng)該是盡可能減少駐留時間����,不給攻擊者留下逡巡公司網(wǎng)絡(luò)刪除關(guān)鍵數(shù)據(jù)的機會。清楚駐留時間可以幫助安全團隊找出處理漏洞補救和事件響應(yīng)的方法��。
“攻擊者在你網(wǎng)絡(luò)中停留的時間越長�,他們能獲取到的信息就越多,能造成的傷害也就越大���?!?/p>
安全指標(biāo) 3:代碼缺陷密度
缺陷密度�����,或者說每千行(或百萬行)代碼中的問題數(shù)�,可以幫助公司評估自身開發(fā)團隊的安全實踐水平。
不過����,上下文是關(guān)鍵。如果一個應(yīng)用正處于開發(fā)初期���,那么����,高缺陷密度意味著所有問題都被發(fā)現(xiàn)了��。這是好事。另一方面���,如果一個應(yīng)用已經(jīng)處于維護模式�,缺陷密度就應(yīng)該更低些�����,并呈現(xiàn)下降趨勢���,這樣才表明應(yīng)用隨著時間的流逝而變得更安全����。如若不然��,應(yīng)用代碼有問題是肯定的����。
安全指標(biāo) 4:暴露窗口期
公司有可能找出了應(yīng)用中的缺陷,但直到解決缺陷問題之前該應(yīng)用都是脆弱而易被攻破的�����。暴露窗口期指標(biāo)著眼于一年中應(yīng)用對已知嚴(yán)重漏洞和問題毫無防范能力的天數(shù)���?����!拔覀兊哪繕?biāo)是:讓嚴(yán)重漏洞被發(fā)現(xiàn)而補丁尚未出臺的時間縮減為0天����?!?/p>
誤導(dǎo)性指標(biāo)
管理層一般都喜歡關(guān)注安全事件預(yù)防,其原因有部分是源于固有的“所有的攻擊都能被阻擋在外圍”的傳統(tǒng)觀念���。比如說���,看到被阻止的入侵嘗試次數(shù)就會令所有人都感覺良好。但這一信息根本不能提供任何可行操作——它幫不了安全團隊找出有哪些攻擊沒被攔住�����。Raytheon/Websense首席技術(shù)官約書亞·道格拉斯說:“你解決不了任何問題���?!?/p>
平均響應(yīng)時間���,或者說發(fā)現(xiàn)并解決問題有多快��,是另一個沒什么卵用的指標(biāo)��。響應(yīng)時間忽視了攻擊者傾向于在網(wǎng)絡(luò)中橫向移動這一事實����。你也許能修復(fù)一個問題,但如果沒人試圖確定攻擊者在網(wǎng)絡(luò)中的其他行為����,那么被同一個攻擊者侵害的其他系統(tǒng)就有可能一直都沒被發(fā)現(xiàn)。只關(guān)注單個事件而非安全態(tài)勢整體會導(dǎo)致整個安全環(huán)境都很脆弱�����。
這不是解決一個就萬事ok的問題��,而是解決一個還得拔除一堆的問題�����。另一個常見的跟蹤指標(biāo)是漏洞減少數(shù)量��,但這指標(biāo)本身也不是那么有用�����。即使補上了大量低級別漏洞,只要關(guān)鍵漏洞仍然門戶洞開���,公司風(fēng)險依然如故�����。某些漏洞就是比其他的更具重量級。
在近期一次Raytheon/Websense調(diào)查中��,受訪高管里只有28%認為他們公司采用的安全指標(biāo)是“完全有效的”�����,65%的高管覺得他們公司所用的指標(biāo)“一定程度上有效”����。安全從業(yè)人員需要向高級管理層闡明該怎樣關(guān)注那些有助于達成明確目標(biāo)的安全問題。否則��,就會有太多的注意力被浪費在根本不能切實降低風(fēng)險或改善安全狀態(tài)的信息上�����。
“你有限的時間和資金都用在正確的地方了嗎?”
新聞標(biāo)題:真正有用的四大安全指標(biāo)
文章轉(zhuǎn)載:
http://uogjgqi.cn/article/djsecgo.html
