真正有用的四大安全指標

隨著安全問題越來越多的受到董事會和管理層的關注，不僅管理層需要各種指標以得到對安全態勢更為清晰的視角，安全專業人士也逐漸被要求提供一些可以跟蹤公司當前防禦狀態的各項指標。但，哪些數字才是真正有用的呢?

通常情況下，高階管理層不太清楚該過問哪類問題，還可能會太過關注預防而疏於減輕損失。類似響應安全事件的平均費用或是防火牆阻止了多少次攻擊這樣的指針對非安全人員來說貌似挺合乎情理的，但這些東西真的對公司的安全計畫毫無推進效能。相反，專家們建議將注意力放在那些可以影響行為或改變策略的指標上。

像漏洞修補平均成本和打補丁平均時間這樣的指標，如果公司擁有成熟和高度優化的流程，那還是很有用的。但問題在於，當前95%的公司都達不到這一標準。不過，度量參與度、有效性和暴露視窗期的幾種指標還是可以為公司提供用以制定計畫和改善防禦專案的資訊的。以下就是可指引管理層得出有用結論的四大安全指標：

安全指標 1：專案參與程度

參與度指標著眼於公司內部的覆蓋率。它們可能度量有多少業務單位經常進行滲透測試或多少終端處於自動補丁系統維持更新狀態。據王所言，這些基本資訊能夠幫助公司評估安全控制採用級別並標識出潛在的安全空白區。

比如說，能夠宣稱公司系統100%保持更新到乙個月之內或許聽起來挺好的，但這其實是個不現實的目標，因為打補丁本身有可能對某些系統帶來操作性風險。目光投向參與度指標能夠幫助排除那些不符合列入常規補丁規則的系統——專注於那些應該打補丁的系統。

安全指標 2：攻擊持續時間

駐留時間，或者說攻擊者處在公司網路中的時間，同樣可以帶來有價值的結論。攻擊持續資訊能夠幫助安全專家們準備好限制和控制威脅並最小化損失。

調查顯示，攻擊者在公司網路內部潛伏的平均時間一般是幾個月，期間熟悉公司的基礎設施，進行偵察活動，在網路中遊弋，以及偷取資訊。

防禦目標應該是盡可能減少駐留時間，不給攻擊者留下逡巡公司網路刪除關鍵資料的機會。清楚駐留時間可以幫助安全團隊找出處理漏洞補救和事件響應的方法。

「攻擊者在你網路中停留的時間越長，他們能獲取到的資訊就越多，能造成的傷害也就越大。」

安全指標 3：**缺陷密度

缺陷密度，或者說每千行(或百萬行)**中的問題數，可以幫助公司評估自身開發團隊的安全實踐水平。

不過，上下文是關鍵。如果乙個應用正處於開發初期，那麼，高缺陷密度意味著所有問題都被發現了。這是好事。另一方面，如果乙個應用已經處於維護模式，缺陷密度就應該更低些，並呈現下降趨勢，這樣才表明應用隨著時間的流逝而變得更安全。如若不然，應用**有問題是肯定的。

安全指標 4：暴露視窗期

公司有可能找出了應用中的缺陷，但直到解決缺陷問題之前該應用都是脆弱而易被攻破的。暴露視窗期指標著眼於一年中應用對已知嚴重漏洞和問題毫無防範能力的天數。「我們的目標是：讓嚴重漏洞被發現而補丁尚未出台的時間縮減為0天。」

誤導性指標

管理層一般都喜歡關注安全事件預防，其原因有部分是源於固有的「所有的攻擊都能被阻擋在外圍」的傳統觀念。比如說，看到被阻止的入侵嘗試次數就會令所有人都感覺良好。但這一資訊根本不能提供任何可行操作——它幫不了安全團隊找出有哪些攻擊沒被攔住。raytheon/websense首席技術官約書亞·道格拉斯說：「你解決不了任何問題。」

平均響應時間，或者說發現並解決問題有多快，是另乙個沒什麼卵用的指標。響應時間忽視了攻擊者傾向於在網路中橫向移動這一事實。你也許能修復乙個問題，但如果沒人試圖確定攻擊者在網路中的其他行為，那麼被同乙個攻擊者侵害的其他系統就有可能一直都沒被發現。只關注單個事件而非安全態勢整體會導致整個安全環境都很脆弱。

這不是解決乙個就萬事ok的問題，而是解決乙個還得拔除一堆的問題。另乙個常見的跟蹤指標是漏洞減少數量，但這指標本身也不是那麼有用。即使補上了大量低級別漏洞，只要關鍵漏洞仍然門戶洞開，公司風險依然如故。某些漏洞就是比其他的更具重量級。

在近期一次raytheon/websense調查中，受訪高管裡只有28%認為他們公司採用的安全指標是「完全有效的」，65%的高管覺得他們公司所用的指標「一定程度上有效」。安全從業人員需要向高階管理層闡明該怎樣關注那些有助於達成明確目標的安全問題。否則，就會有太多的注意力被浪費在根本不能切實降低風險或改善安全狀態的資訊上。

「你有限的時間和資金都用在正確的地方了嗎?」

真正有用的四大安全指標

四大安全頂會

PHP四大安全策略

零信任如何跨產業規模化發展？四大安全專家同台論道

真正有用的四大安全指標

四大安全頂會

PHP四大安全策略

零信任如何跨產業規模化發展？四大安全專家同台論道

相關推薦