Mary K. Pratt

首席信息安全官最難落實(shí)的一項(xiàng)任務(wù)是怎樣對(duì)網(wǎng)絡(luò)安全功能的成功與價(jià)值進(jìn)行量化。

事實(shí)上，安全主管及其部門(mén)多年來(lái)使用了無(wú)數(shù)的指標(biāo)。然而，很多高管和董事會(huì)成員抱怨說(shuō)，這些指標(biāo)無(wú)法讓他們充分深入分析或者理解安全部門(mén)的表現(xiàn)、改進(jìn)情況，以及在哪些方面還存在不足。

安全公司SpearTip的總裁兼首席執(zhí)行官Jarrett Kolthoff解釋說(shuō)：“首席執(zhí)行官和董事會(huì)聽(tīng)到的技術(shù)術(shù)語(yǔ)太多了。首席信息安全官一直在向董事會(huì)通報(bào)關(guān)鍵漏洞和補(bǔ)丁程序的數(shù)量，而董事會(huì)并不理解這些，因?yàn)闆](méi)有提供適當(dāng)?shù)沫h(huán)境?！?/p>

他補(bǔ)充道：“這些數(shù)字可能對(duì)首席信息安全官很有用，但首席信息安全官應(yīng)制訂配有適當(dāng)環(huán)境的指標(biāo)，以便董事會(huì)能夠理解風(fēng)險(xiǎn)，知道需要在安全方面進(jìn)行多少投資?！?/p>

包括Kolthoff在內(nèi)的網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為，沒(méi)有一個(gè)指標(biāo)能讓所有首席信息安全官證明他們的安全工作多么有效，以及他們是否在隨著時(shí)間的推移而不斷改進(jìn)工作。但是，有一些指標(biāo)，也就是度量標(biāo)準(zhǔn)和敘述的適當(dāng)組合，比其他指標(biāo)更有用。

對(duì)業(yè)務(wù)最重要的安全指標(biāo)

科技公司Armis的首席信息安全官、Sysco食品公司的前任首席信息安全官Curtis Simpson認(rèn)為，考慮到對(duì)安全的期望越來(lái)越高，董事會(huì)在這一領(lǐng)域的監(jiān)管力度也越來(lái)越大，安全指標(biāo)比以往任何時(shí)候都更為重要。

和其他首席信息安全官一樣，Simpson也認(rèn)為關(guān)鍵是要有正確的指標(biāo)。他說(shuō)：“我最喜歡的指標(biāo)是企業(yè)真正關(guān)心的指標(biāo)?！睂?duì)此，他尋找描述安全怎樣幫助企業(yè)實(shí)現(xiàn)其目標(biāo)的指標(biāo)。

作為一個(gè)例子，他列舉了他在Sysco公司使用的指標(biāo)，該公司既定目標(biāo)是24小時(shí)全天候?yàn)槿蚩蛻?hù)提供服務(wù)。他解釋說(shuō)：“我必須講一個(gè)故事，說(shuō)明安全高風(fēng)險(xiǎn)會(huì)對(duì)實(shí)現(xiàn)這一目標(biāo)造成多大的困難?！?/p>

他沒(méi)有報(bào)告公司遭受的攻擊次數(shù)，而是用這些數(shù)據(jù)來(lái)衡量這些攻擊對(duì)工作效率和運(yùn)維等領(lǐng)域的影響，并展示以多大的成本怎樣進(jìn)行改進(jìn)，改進(jìn)措施將怎樣降低風(fēng)險(xiǎn)，并最終改善影響業(yè)務(wù)的指標(biāo)——所有這些都是為了實(shí)現(xiàn)全天候的客戶(hù)支持。

Simpson說(shuō)：“這樣每次都會(huì)引起共鳴，因?yàn)槲覀冋谟懻摰那∏∈菢I(yè)務(wù)部門(mén)想要實(shí)現(xiàn)的。”

Simpson承認(rèn)，某些具體的指標(biāo)可能不適用于其他首席信息安全官。他建議他們找到有助于他們今后能夠衡量安全相關(guān)業(yè)務(wù)影響、關(guān)鍵目標(biāo)風(fēng)險(xiǎn)和緩解成功的指標(biāo)。

專(zhuān)家們一致認(rèn)為，重要的不僅僅是所使用的數(shù)據(jù)，而是這些指標(biāo)怎樣突顯業(yè)務(wù)工作的重要性，并說(shuō)明首席信息安全官正在做什么來(lái)解決問(wèn)題，推進(jìn)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。

IT-Harvest首席研究分析師、《安全年鑒2020》一書(shū)的作者Richard Stiennon說(shuō)，他與國(guó)防行業(yè)的一家公司合作，跟蹤威脅并將威脅從低級(jí)別到武器化進(jìn)行分類(lèi)，并就此進(jìn)行了報(bào)告。

他介紹說(shuō)，實(shí)際上，這家公司改變了通常毫無(wú)意義的數(shù)字（威脅的數(shù)量），并提供了其他高管和董事會(huì)成員能夠理解的威脅環(huán)境，有助于針對(duì)安全改進(jìn)措施的投資做出正確的決策。

Stiennon補(bǔ)充道：“這里的教訓(xùn)是，不要只提供數(shù)字，而是要把所有人都關(guān)心的術(shù)語(yǔ)解釋清楚。”

其他人也提出了類(lèi)似的建議。

Murray安全服務(wù)公司總裁兼首席執(zhí)行官、信息系統(tǒng)安全協(xié)會(huì)（ISSA）首席運(yùn)營(yíng)官Shawn P.Murray說(shuō)：“你自己的指標(biāo)要與企業(yè)內(nèi)部的關(guān)鍵業(yè)務(wù)職能相一致，對(duì)董事會(huì)來(lái)說(shuō)這才是最重要的。首席信息安全官的整個(gè)想法是與業(yè)務(wù)部門(mén)合作，了解需要維護(hù)哪些關(guān)鍵流程才能幫助業(yè)務(wù)部門(mén)成功。我們需要通過(guò)制訂正確的指標(biāo)來(lái)做到這一點(diǎn)?！?/p>

他建議首席信息安全官根據(jù)與資產(chǎn)和目標(biāo)相一致的信息分類(lèi)，建立關(guān)鍵風(fēng)險(xiǎn)指標(biāo)。

因此，如果一個(gè)部門(mén)的安全目標(biāo)是盡可能不出現(xiàn)中斷，那么這個(gè)目標(biāo)是可以測(cè)量和跟蹤的?；蛘撸绻粋€(gè)部門(mén)希望安全改進(jìn)措施與技術(shù)部署是一致的，首席信息安全官可以建立并跟蹤指標(biāo)，這類(lèi)指標(biāo)顯示安全部門(mén)怎樣、何時(shí)、何地參與和技術(shù)相關(guān)的采購(gòu)，以及今后是怎樣改進(jìn)的。

目前擔(dān)任SecureAuth公司首席信息安全官的Bil Harmer是從業(yè)30年的IT和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)，他認(rèn)為，用戶(hù)滿意度是另一個(gè)需要考慮的指標(biāo)。他說(shuō)，“所謂安全，一直都是怎樣在可用性和安全性之間達(dá)到平衡”，并指出，可用性問(wèn)題常常會(huì)導(dǎo)致折中方案，從而達(dá)不到預(yù)期的安全效果。

不過(guò)，Harmer等人認(rèn)為，不管是可用性還是其他指標(biāo)，重要的是，首席信息安全官都必須找到實(shí)際能產(chǎn)生可量化信息的領(lǐng)域，他們能夠從中實(shí)際獲得數(shù)據(jù)以生成這些指標(biāo)，并且可以一直這樣做下去，而且會(huì)根據(jù)與業(yè)務(wù)目標(biāo)相關(guān)的情況來(lái)衡量安全措施是否有效。

Murray補(bǔ)充道：“首席信息安全官負(fù)責(zé)項(xiàng)目的所有功能都應(yīng)與業(yè)務(wù)需求保持一致，首席信息安全官應(yīng)理解這種一致性。一旦理解了這種一致性，首席信息安全官就可以建立很好的指標(biāo)來(lái)衡量其目標(biāo)績(jī)效，以確保整個(gè)企業(yè)在戰(zhàn)略上保持一致，業(yè)務(wù)上能夠達(dá)到所預(yù)期的成功水平?！?h3>6個(gè)仍然有價(jià)值的傳統(tǒng)指標(biāo)

盡管評(píng)估安全與業(yè)務(wù)目標(biāo)之間關(guān)系的指標(biāo)仍然在使用，但資深的首席信息安全官和安全管理顧問(wèn)表示，他們認(rèn)為安全部門(mén)過(guò)去使用的很多指標(biāo)仍然是很有價(jià)值的。

不過(guò)，他們也表示，首席信息安全官也應(yīng)該考慮這些指標(biāo)所處的新環(huán)境。反煙草非營(yíng)利組織Truth Initiative的首席信息官兼網(wǎng)絡(luò)安全官Derrick A. Butts解釋說(shuō)，董事會(huì)不在乎截獲了多少釣魚(yú)郵件等類(lèi)似的事件。他們關(guān)心的是，我們的系統(tǒng)能不能有效地防范這些風(fēng)險(xiǎn)，并防止對(duì)業(yè)務(wù)產(chǎn)生影響。”

下面是Butts和其他安全領(lǐng)導(dǎo)們使用的一些指標(biāo)，這些指標(biāo)的使用有其相應(yīng)的環(huán)境。

模擬網(wǎng)絡(luò)釣魚(yú)攻擊的結(jié)果。Butts使用模擬的網(wǎng)絡(luò)釣魚(yú)攻擊來(lái)幫助他評(píng)估安全意識(shí)培訓(xùn)的效果，并設(shè)定改進(jìn)目標(biāo)。

平均恢復(fù)時(shí)間。Harmer根據(jù)企業(yè)既定的風(fēng)險(xiǎn)目標(biāo)，衡量受安全事件影響的用戶(hù)百分比、安全部門(mén)多快能夠解決問(wèn)題，以及解決問(wèn)題的時(shí)間是否滿足、超過(guò)或者低于目標(biāo)時(shí)間。

平均探測(cè)時(shí)間。Stiennon說(shuō)，他建議使用平均探測(cè)時(shí)間等指標(biāo)來(lái)衡量從攻擊成功到被探測(cè)到所需的時(shí)間，因?yàn)檫@也表明了一個(gè)安全程序的工作是否有效，可以進(jìn)行跟蹤以顯示改進(jìn)情況。他說(shuō)，這些指標(biāo)有助于首席信息安全官與高管和董事會(huì)討論需要在哪些方面投資才能帶來(lái)改進(jìn)。此外，這類(lèi)指標(biāo)鼓勵(lì)持續(xù)改進(jìn)：將平均探測(cè)時(shí)間減少到幾分鐘，而首席信息安全官可以要求將其減少到秒級(jí)。

滲透測(cè)試。與模擬的網(wǎng)絡(luò)釣魚(yú)攻擊一樣，滲透測(cè)試的指標(biāo)表明了企業(yè)能夠抵御此類(lèi)事件的能力，并能夠隨著時(shí)間的推移跟蹤改進(jìn)情況。對(duì)于Harmer來(lái)說(shuō)，這是他作為首席信息安全官以及其他高管和董事會(huì)成員應(yīng)理解和重視的信息。

漏洞管理。Murray建議首席信息安全官開(kāi)發(fā)一個(gè)指標(biāo)，用于報(bào)告其漏洞管理程序的有效性。他說(shuō)，這不應(yīng)該報(bào)告打上了多少補(bǔ)丁，而是根據(jù)企業(yè)的安全態(tài)勢(shì)來(lái)衡量安全部門(mén)管理漏洞以達(dá)到最佳效果的能力。他說(shuō)，畢竟，不僅僅是要打上100個(gè)低風(fēng)險(xiǎn)的補(bǔ)丁，而是一定要盡快打上風(fēng)險(xiǎn)最大的補(bǔ)丁。

Murray補(bǔ)充道：“如果不相關(guān)或者不重要，那么作為首席信息安全官，我就不會(huì)報(bào)告。我只報(bào)告董事會(huì)需要知道的，因?yàn)檫@會(huì)影響業(yè)務(wù)。我會(huì)準(zhǔn)備好這方面的指標(biāo)?！?/p>

企業(yè)安全審計(jì)。Butts使用的記分卡是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）、信息技術(shù)基礎(chǔ)設(shè)施圖書(shū)館（ITIL）和互聯(lián)網(wǎng)安全中心（CIS）框架為他的部門(mén)開(kāi)發(fā)的。他說(shuō)：“這個(gè)指標(biāo)是一個(gè)很好的快照，顯示了工作是怎樣開(kāi)展的?！?h3>4個(gè)應(yīng)放棄的指標(biāo)

隨著衡量安全功能有效性、經(jīng)過(guò)改進(jìn)的一系列新指標(biāo)的出現(xiàn)，專(zhuān)家們建議，以下指標(biāo)應(yīng)該盡量少用——或者全部放棄。

攻擊次數(shù)。“沒(méi)有人關(guān)心你在一個(gè)月內(nèi)受到了10萬(wàn)次攻擊，并阻止了攻擊。這其實(shí)就是讓人們說(shuō)，‘如果你已經(jīng)做得非常好了，為什么還要再給你100萬(wàn)美元？”Simpson說(shuō)。此外，重點(diǎn)不在于阻止了10萬(wàn)次低級(jí)攻擊，而是挫敗了一次能讓公司倒閉的致命攻擊。

補(bǔ)丁打好了;已發(fā)現(xiàn)的漏洞數(shù)量;病毒被阻止。對(duì)于首席信息安全官來(lái)說(shuō)，雖然這些指標(biāo)可以在企業(yè)內(nèi)部用于衡量已經(jīng)完成的工作，或者用于確定某個(gè)部門(mén)是否遵守某些規(guī)定等，但這些指標(biāo)本身幾乎沒(méi)有價(jià)值。Stiennon說(shuō)：“另外，這些指標(biāo)可能會(huì)讓你產(chǎn)生一種虛假的安全感?！?/p>

原文網(wǎng)址

https：//www.csoonline.com/article/3530230/6-security-metrics-that-matter-and-4-that-don-t.html