現(xiàn)代企業(yè)應(yīng)重點(diǎn)跟蹤的12個(gè)網(wǎng)絡(luò)安全建設(shè)指標(biāo)
2023年02月07日
正如現(xiàn)代管理學(xué)之父Peter Drucker所言���,只有可以被衡量的事才能得到有效管理(what gets measured, gets managed)���,對(duì)于網(wǎng)絡(luò)安全建設(shè)工作也不例外。企業(yè)如果無法用可量化的指標(biāo)來衡量網(wǎng)絡(luò)安全建設(shè)工作�����,實(shí)現(xiàn)有效地安全管理將無從談起。
網(wǎng)絡(luò)安全并非一朝一夕的事情��。網(wǎng)絡(luò)威脅正在不斷發(fā)展����,預(yù)防網(wǎng)絡(luò)威脅所需的流程和技術(shù)也在不斷變化。現(xiàn)代企業(yè)組織需要有適當(dāng)?shù)拇胧﹣碓u(píng)估所投資的安全保障措施是否有效��。這很重要���,因?yàn)椋?/span>
對(duì)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)(KRIs)和企業(yè)安全狀態(tài)值的分析可以為安全團(tuán)隊(duì)提供改善安全運(yùn)營狀況的意見��,幫助組織更好地了解哪些措施是有效的����,哪些狀況在惡化����,以此作為安全決策的依據(jù);
通過量化的安全建設(shè)衡量指標(biāo)����,安全團(tuán)隊(duì)可以向公司管理層和董事會(huì)表明���,對(duì)企業(yè)敏感信息和IT資產(chǎn)的保護(hù)工作是有價(jià)值的。
本文收集整理了12個(gè)可被量化的網(wǎng)絡(luò)安全能力建設(shè)指標(biāo)�����,可以幫助企業(yè)提升安全風(fēng)險(xiǎn)識(shí)別和補(bǔ)救的能力��。IT安全團(tuán)隊(duì)可以通過這些指標(biāo)����,向公司匯報(bào)目前網(wǎng)絡(luò)安全工作的開展情況:
1、企業(yè)當(dāng)前的安全狀態(tài)
評(píng)估企業(yè)當(dāng)前的安全現(xiàn)狀是衡量網(wǎng)絡(luò)安全能力的重要指標(biāo)����。例如:在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中,已有多少占比的計(jì)算設(shè)備和應(yīng)用軟件能夠得到及時(shí)的補(bǔ)丁更新����?在CIS列舉的 20大企業(yè)安全控制措施中�,將漏洞掃描和漏洞管理設(shè)置為必須要具備的基礎(chǔ)性防護(hù)要求,其他還包括了資產(chǎn)管理�����、權(quán)限管理和日志管理等。?
2�����、網(wǎng)絡(luò)系統(tǒng)中未識(shí)別的設(shè)備
未識(shí)別的設(shè)備是指來源和用途未知的計(jì)算設(shè)備����。在許多情況下,未識(shí)別的設(shè)備并非惡意的�。它們可能是工程師創(chuàng)建的新虛擬機(jī),也可能是員工因?yàn)楣ぷ髟蚪尤氲囊苿?dòng)設(shè)備����。但隨著網(wǎng)絡(luò)邊界變得越來越模糊,組織將難以確認(rèn)網(wǎng)絡(luò)設(shè)備的合法性和安全性���。在此背景下�����,安全團(tuán)隊(duì)更需要系統(tǒng)地跟蹤網(wǎng)絡(luò)上有多少未識(shí)別的設(shè)備�。如果企業(yè)檢測到的未知設(shè)備突然激增��,這表明企業(yè)或?qū)⒚媾R較嚴(yán)重的風(fēng)險(xiǎn)隱患。
3�、入侵嘗試的數(shù)量
組織受到的入侵嘗試指的是未形成安全事件或后果探測行為,所有成功的入侵事件都可能由其發(fā)展而來��。因此�,企業(yè)應(yīng)該將攻擊者嘗試獲得非法訪問的次數(shù)作為安全工作的衡量指標(biāo)之一,這需要通過防火墻和SOC系統(tǒng)的日志來收集相關(guān)情報(bào)�����。
4�、已發(fā)生的安全事件數(shù)量
企業(yè)組織已發(fā)生的安全事件指的是攻擊者已經(jīng)成功實(shí)現(xiàn)的攻擊行為,對(duì)組織的資產(chǎn)或數(shù)據(jù)造成了實(shí)際的損失���。攻擊者破壞企業(yè)信息資產(chǎn)或網(wǎng)絡(luò)的次數(shù)可以作為衡量企業(yè)網(wǎng)絡(luò)安全建設(shè)不足的重要指標(biāo)��。
5��、平均威脅檢測時(shí)間(MTTD)
平均威脅檢測時(shí)間(MTTD)是IT運(yùn)營團(tuán)隊(duì)需衡量的標(biāo)準(zhǔn)指標(biāo)���,他們用它來評(píng)估識(shí)別特定的問題平均用時(shí)多久。由于威脅分子使用越來越隱蔽的手法來隱藏攻擊意圖�����,因此許多企業(yè)很難快速檢測到其面臨的網(wǎng)絡(luò)安全威脅�����,MTTD指標(biāo)對(duì)評(píng)估企業(yè)網(wǎng)絡(luò)安全能力變得越來越重要���。
6�、平均威脅處置時(shí)間(MTTR)
檢測只是解決網(wǎng)絡(luò)安全事件的第一步�。平均威脅處置時(shí)間(MTTR)反映了安全事件發(fā)生后安全運(yùn)營團(tuán)隊(duì)的處置效率有多高。如果跟蹤這個(gè)指標(biāo)���,就可以評(píng)估調(diào)整安全運(yùn)營策略將可以獲得哪些好處�����。MTTR還可用于評(píng)估安全團(tuán)隊(duì)快速解決不同安全事件的能力�,比如DDoS攻擊����、勒索軟件攻擊和數(shù)據(jù)泄漏等。
7�、平均威脅響應(yīng)時(shí)間(MTTC)
威脅響應(yīng)是指在安全事件檢測與有效處置之間的事件應(yīng)對(duì)情況。MTTC在一些方面甚至比MTTR還要重要����,因?yàn)榻鉀Q安全事件的總成本很大程度上取決于安全團(tuán)隊(duì)對(duì)突發(fā)事件的快速響應(yīng)能力��,響應(yīng)時(shí)間越短�����,解決問題的成本就會(huì)越低�。如果企業(yè)需要很長時(shí)間才能啟動(dòng)有效的響應(yīng)機(jī)制和流程�����,這就反映出整體安全能力建設(shè)的不均衡����。
8、第一方(First Party)安全評(píng)級(jí)
安全評(píng)級(jí)是指通過易于理解的評(píng)分向非技術(shù)人員傳達(dá)安全事件程度的方法��。它可以為組織提供清晰完整的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估���,并幫助告知需要注意哪些信息安全指標(biāo)���。在安全評(píng)級(jí)時(shí),可以包括網(wǎng)絡(luò)釣魚風(fēng)險(xiǎn)�����、電子郵件欺騙、社會(huì)工程風(fēng)險(xiǎn)�����、DMARC��、中間人攻擊風(fēng)險(xiǎn)�����、數(shù)據(jù)泄露風(fēng)險(xiǎn)和漏洞狀況等具體指標(biāo)項(xiàng)���。
9、補(bǔ)丁修復(fù)的時(shí)間
網(wǎng)絡(luò)犯罪分子正在大量使用威脅情報(bào)工具�,以利用補(bǔ)丁發(fā)布和實(shí)際修補(bǔ)之間的時(shí)間差。因此���,企業(yè)應(yīng)準(zhǔn)確了解實(shí)施應(yīng)用程序安全補(bǔ)丁或緩解CVE列出的高風(fēng)險(xiǎn)漏洞需要多長時(shí)間�?典型的事例就是勒索軟件“WannaCry”的廣泛破壞�,雖然其所利用的“永恒之藍(lán)(EternalBlue)”漏洞很快就被修補(bǔ),但由于很多企業(yè)的補(bǔ)丁更新工作不夠及時(shí)�,結(jié)果還是淪為了受害者�。
10����、訪問管理和控制
現(xiàn)代IT環(huán)境的訪問控制策略十分復(fù)雜。不同的網(wǎng)絡(luò)基礎(chǔ)設(shè)施(比如公有云和本地服務(wù)器)通常需要配置不同的訪問控制方法��,因而需要使用不同的設(shè)備和策略����。為此,企業(yè)需要全面而詳細(xì)的訪問控制管理技術(shù)�����,比如云安全態(tài)勢管理(CSPM)和云基礎(chǔ)設(shè)施權(quán)限管理(CIEM)��。有很多安全分析策略可以跟蹤訪問控制配置中的用戶和角色數(shù)量等指標(biāo)�。企業(yè)還可以衡量訪問控制策略變化的頻率。這些指標(biāo)若出現(xiàn)異常波動(dòng)���,很大程度上表明可能已經(jīng)存在安全問題���。
11、同行業(yè)安全能力比較
安全團(tuán)隊(duì)向董事會(huì)級(jí)別進(jìn)行工作報(bào)告時(shí)�����,一種重要的主題就是,企業(yè)目前的網(wǎng)絡(luò)安全狀況如能力����,與所在行業(yè)的同行企業(yè)相比如何。這些匯報(bào)信息和評(píng)價(jià)指標(biāo)更容易被管理層所理解���,且在視覺上更加具有吸引力,容易受到非專業(yè)性領(lǐng)導(dǎo)的關(guān)注��。
12���、供應(yīng)商安全評(píng)級(jí)與能力評(píng)價(jià)
組織面臨的網(wǎng)絡(luò)安全威脅形勢早已超出了組織自身范疇�,因此評(píng)價(jià)安全能力的指標(biāo)也需要同步發(fā)展�。這就是為什么開展供應(yīng)商風(fēng)險(xiǎn)管理和應(yīng)用第三方風(fēng)險(xiǎn)管理框架將是加強(qiáng)企業(yè)安全能力建設(shè)的重要方面。通過持續(xù)監(jiān)控供應(yīng)商安全風(fēng)險(xiǎn)����,組織可以大大降低供應(yīng)鏈安全事件發(fā)生的概率。供應(yīng)商在遭受安全事件后��,響應(yīng)事件所需的時(shí)間越長�,企業(yè)遭受第三方數(shù)據(jù)泄露的可能性就越大����。
結(jié)語
企業(yè)組織在制定網(wǎng)絡(luò)安全建設(shè)工作的KPI方面并沒有硬性規(guī)定��。上述這些指標(biāo)的選用將取決于企業(yè)的應(yīng)用需求���、法規(guī)監(jiān)管�����、指導(dǎo)方針等多個(gè)因素�,并參考企業(yè)組織對(duì)安全風(fēng)險(xiǎn)的容忍度和接受度�����。對(duì)安全團(tuán)隊(duì)而言����,最重要的考核指標(biāo)之一是成本因素,向企業(yè)管理層和董事會(huì)展示的工作目標(biāo)中��,要能夠清晰說明網(wǎng)絡(luò)安全如何為組織節(jié)省資金或創(chuàng)造額外收入����?���?紤]到目前的數(shù)字化轉(zhuǎn)型發(fā)展趨勢和網(wǎng)絡(luò)安全威脅狀況�,做到這一點(diǎn)并不困難。
文章來源:安全牛
