现在,管理层要求安全团队提供指标来让他们更好地了解安全情况。本文中为大家提供了四个重要的安全指标。
随着董事会和高层管理人士越来越重视安全性,安全专业人员被要求提供指标来展现企业防御现状。但哪些数字很重要呢?
通常情况下,高级管理人员不知道应该问什么样的问题,并可能过于关注防御,而太少关注缓解措施。对于非安全人士,攻击事件平均响应成本或者防火墙阻止的攻击数量等指标似乎很合理,但这些指标并不能改进企业的安全计划。
专家建议专注于影响行为或改变战略的指标。
“你有这个指标后,你会做什么?”安全软件和咨询公司Cigital安全举措主管Caroline Wong表示,如果企业有成熟的高度优化的流程,那么,缓解漏洞的平均成本以及修复漏洞的平均时间等指标会很有用,但这并不适用于现在95%的企业。
衡量参与度、有效性和暴露窗口等指标可以为企业提供有用的信息,帮助他们制定计划和改进安全举措。
参与程度指标主要是检查企业内的覆盖范围,这可能包括多少业务部门会定期执行渗透测试,或者目前多少终端正通过自动修复系统来更新。更加Wong表示,这些基本信息可以帮助企业评估安全控制水平,并发现潜在的差距。
例如,如果企业在一个月内完全修复了其系统,这虽然很好,但这并不是现实的目标,因为修复可能给一些企业带来操作风险。查看参与度指标可以帮助排除不符合常规修复规则的系统,并专注于应该修复的系统。
攻击者在网络中驻留的时间也可提供有价值的见解。攻击持续时间信息可以帮助安全专业人员为阻止和控制危险以及减少破坏做好准备。
调查显示,在被发现之前,攻击者平均会在企业内驻留几个月的时间。他们花时间了解基础设施、进行侦察工作,在网络中移动,以及窃取信息。
企业的目标应该是尽可能地减少驻留时间,这样攻击者没有太多机会来实现横向移动以及移除关键数据。了解驻留时间可帮助安全团队弄清楚如何处理漏洞缓解以及事件响应。
Douglas表示:“攻击者在网络中的时间越长,他们就能获得越多的信息,并且造成更大的破坏。”
代码缺陷密度或者在每千行代码(或者百万,这取决于代码库)中发现的问题数量可帮助企业评估其开发团队的安全做法。
然而,背景信息很重要。如果应用程序在开发的早期阶段,那么,高缺陷密度意味着所有的问题正在被发现,这是好事。在另一方面,如果应用程序在维护模式,缺陷密度应该更低,或者向下的趋势,即可以表明应用程序正变得越来越安全。如果不是这样的话,那就有问题。
Wong said.企业可能会发现应用程序中的缺陷,但在这些问题解决之前,应用程序仍然容易受到攻击。暴露窗口指标是指应用程序可能受到已知严重漏洞利用和问题影响的天数。这里的目标是(+微信关注网络世界),0天。
Raytheon/Websense公司首席技术官Joshua Douglas表示,通常情况下,管理层会关注安全事件防御,这部分是因为传统观念认为企业可在外围阻止所有攻击。例如,管理层看到尝试入侵被阻止的次数,他们会感觉很好,但这个信息没有可操作性,这不会帮助安全团队了解哪些攻击被阻止。
平均响应时间或者问题发现和缓解的时间是另一个不太有用的指标。响应时间忽略了这样的事实,即攻击者会试图在网络中横向移动。你可能解决了一个问题,但如果没有人试图确定攻击者可能做的其他事情,这可能会导致相同攻击者的另一次攻击不被发现。如果只是专注于单个问题,而不是整体安全性,这会让企业环境容易受到攻击。
另一个常见指标是漏洞减少量,但这也没有什么用。如果修复了很多低级的漏洞,企业仍然面临相同的风险,因为关键问题仍然存在,有些漏洞比其他漏洞更严重。
在最近Raytheon/Websense的调查中,只有28%的高管感觉其企业使用的安全指标“非常有效”,而65%受访者感觉“比较有效”。安全从业人员需要向高管解释如何专注于可帮助确定可行目标的安全问题。否则,我们会看到太多关注浪费在无法降低风险或改进安全的信息中。
Wong询问道:“这真的是你值得你花时间和资金的最佳位置吗?”