正如現代管理學之父Peter Drucker所言,只有可以被衡量的事才能得到有效管理(what gets measured, gets managed),對於網路安全建設工作也不例外。企業如果無法用可量化的指標來衡量網路安全建設工作,實現有效地安全管理將無從談起。
網路安全並非一朝一夕的事情。網路威脅正在不斷發展,預防網路威脅所需的流程和技術也在不斷變化。現代企業組織需要有適當的措施來評估所投資的安全保障措施是否有效。這很重要,因為:
對關鍵風險指標(KRIs)和企業安全狀態值的分析可以為安全團隊提供改善安全運營狀況的意見,幫助組織更好地了解哪些措施是有效的,哪些狀況在惡化,以此作為安全決策的依據;
通過量化的安全建設衡量指標,安全團隊可以向公司管理層和董事會表明,對企業敏感資訊和IT資產的保護工作是有價值的。
本文收集整理了12個可被量化的網路安全能力建設指標,可以幫助企業提升安全風險識別和補救的能力。IT安全團隊可以通過這些指標,向公司彙報目前網路安全工作的開展情況:
01
企業當前的安全狀態
評估企業當前的安全現狀是衡量網路安全能力的重要指標。例如:在企業的網路系統中,已有多少佔比的計算設備和應用軟體能夠得到及時的補丁更新?在CIS列舉的 20大企業安全控制措施中,將漏洞掃描和漏洞管理設置為必須要具備的基礎性防護要求,其他還包括了資產管理、許可權管理和日誌管理等。
02
網路系統中未識別的設備
未識別的設備是指來源和用途未知的計算設備。在許多情況下,未識別的設備並非惡意的。它們可能是工程師創建的新虛擬機器,也可能是員工因為工作原因接入的移動設備。但隨著網路邊界變得越來越模糊,組織將難以確認網路設備的合法性和安全性。在此背景下,安全團隊更需要系統地跟蹤網路上有多少未識別的設備。如果企業檢測到的未知設備突然激增,這表明企業或將面臨較嚴重的風險隱患。
03
入侵嘗試的數量
組織受到的入侵嘗試指的是未形成安全事件或後果的攻擊探測行為,所有成功的入侵事件都可能由其發展而來。因此,企業應該將攻擊者嘗試獲得非法訪問的次數作為安全工作的衡量指標之一,這需要通過防火牆和SOC系統的日誌來收集相關情報。
04
已發生的安全事件數量
企業組織已發生的安全事件指的是攻擊者已經成功實現的攻擊行為,對組織的資產或資料造成了實際的損失。攻擊者破壞企業資訊資產或網路的次數可以作為衡量企業網路安全建設不足的重要指標。
05
平均威脅檢測時間(MTTD)
平均威脅檢測時間(MTTD)是IT運營團隊需衡量的標準指標,他們用它來評估識別特定的問題平均用時多久。由於威脅分子使用越來越隱蔽的手法來隱藏攻擊意圖,因此許多企業很難快速檢測到其面臨的網路安全威脅,MTTD指標對評估企業網路安全能力變得越來越重要。
06
平均威脅處置時間(MTTR)
檢測只是解決網路安全事件的第一步。平均威脅處置時間(MTTR)反映了安全事件發生後安全運營團隊的處置效率有多高。如果跟蹤這個指標,就可以評估調整安全運營策略將可以獲得哪些好處。MTTR還可用於評估安全團隊快速解決不同安全事件的能力,比如DDoS攻擊、勒索軟體攻擊和資料洩漏等。
07
平均威脅響應時間(MTTC)
威脅響應是指在安全事件檢測與有效處置之間的事件應對情況。MTTC在一些方面甚至比MTTR還要重要,因為解決安全事件的總成本很大程度上取決於安全團隊對突發事件的快速響應能力,響應時間越短,解決問題的成本就會越低。如果企業需要很長時間才能啟動有效的響應機制和流程,這就反映出整體安全能力建設的不均衡。
08
第一方(First Party)安全評級
安全評級是指通過易於理解的評分向非技術人員傳達安全事件程度的方法。它可以為組織提供清晰完整的網路安全風險評估,並幫助告知需要注意哪些資訊安全指標。在安全評級時,可以包括網路釣魚風險、電子郵件欺騙、社會工程風險、DMARC、中間人攻擊風險、資料洩露風險和漏洞狀況等具體指標項。
09
補丁修復的時間
網路犯罪分子正在大量使用威脅情報工具,以利用補丁發佈和實際修補之間的時間差。因此,企業應準確了解實施應用程序安全補丁或緩解CVE列出的高風險漏洞需要多長時間?典型的事例就是勒索軟體「WannaCry」的廣泛破壞,雖然其所利用的「永恆之藍(EternalBlue)」漏洞很快就被修補,但由於很多企業的補丁更新工作不夠及時,結果還是淪為了受害者。
10
訪問管理和控制
現代IT環境的訪問控制策略十分複雜。不同的網路基礎設施(比如公有云和本地伺服器)通常需要配置不同的訪問控制方法,因而需要使用不同的設備和策略。為此,企業需要全面而詳細的訪問控制管理技術,比如雲安全態勢管理(CSPM)和雲基礎設施許可權管理(CIEM)。有很多安全分析策略可以跟蹤訪問控制配置中的使用者和角色數量等指標。企業還可以衡量訪問控制策略變化的頻率。這些指標若出現異常波動,很大程度上表明可能已經存在安全問題。
11
同行業安全能力比較
安全團隊向董事會級別進行工作報告時,一種重要的主題就是,企業目前的網路安全狀況如能力,與所在行業的同行企業相比如何。這些彙報資訊和評價指標更容易被管理層所理解,且在視覺上更加具有吸引力,容易受到非專業性領導的關注。
12
供應商安全評級與能力評價
組織面臨的網路安全威脅形勢早已超出了組織自身範疇,因此評價安全能力的指標也需要同步發展。這就是為什麼開展供應商風險管理和應用第三方風險管理框架將是加強企業安全能力建設的重要方面。通過持續監控供應商安全風險,組織可以大大降低供應鏈安全事件發生的概率。供應商在遭受安全事件後,響應事件所需的時間越長,企業遭受第三方資料洩露的可能性就越大。
結語
企業組織在制定網路安全建設工作的KPI方面並沒有硬性規定。上述這些指標的選用將取決於企業的應用需求、法規監管、指導方針、最佳實踐等多個因素,並參考企業組織對安全風險的容忍度和接受度。對安全團隊而言,最重要的考核指標之一是成本因素,向企業管理層和董事會展示的工作目標中,要能夠清晰說明網路安全如何為組織節省資金或創造額外收入。考慮到目前的數字化轉型發展趨勢和網路安全威脅狀況,做到這一點並不困難。
參考連結:
https://www.upguard.com/blog/cybersecurity-metrics