網(wǎng)絡(luò)安全運(yùn)營關(guān)鍵績效指標(biāo)簡析
只有可以被衡量的事才能得到有效管理,對于網(wǎng)絡(luò)安全運(yùn)營工作更是如此。在日常工作中,安全運(yùn)營團(tuán)隊(duì)?wèi)?yīng)該通過可量化的指標(biāo)向企業(yè)管理層和其他業(yè)務(wù)部門展示組織當(dāng)前的網(wǎng)絡(luò)安全建設(shè)狀況和風(fēng)險態(tài)勢,同時證明現(xiàn)有的網(wǎng)絡(luò)安全投入是否有效。
在此背景下,網(wǎng)絡(luò)安全運(yùn)營工作應(yīng)該被設(shè)置合理的績效指標(biāo)。基于這些指標(biāo),企業(yè)可以更好地了解當(dāng)前面臨的風(fēng)險,了解攻擊者的攻擊企圖,同時還能夠?yàn)閮?yōu)化未來的工作目標(biāo)提供參考。本文收集整理了企業(yè)網(wǎng)絡(luò)安全運(yùn)營工作中應(yīng)該密切跟蹤的12個關(guān)鍵績效度量指標(biāo),并對其特點(diǎn)進(jìn)行了簡要分析。
01、檢測到的入侵企圖
入侵企圖指的是未形成安全事件或后果的攻擊探測行為,所有成功的入侵事件都可能由其發(fā)展而來。因此,企業(yè)應(yīng)該將攻擊者嘗試獲得非法訪問的次數(shù)作為安全工作的衡量指標(biāo)之一,這需要通過防火墻和SOC系統(tǒng)的日志來收集相關(guān)情報。入侵企圖表明了企業(yè)面臨的威脅總數(shù)量。企業(yè)安全運(yùn)營普遍存在的一個問題是,當(dāng)威脅預(yù)防機(jī)制奏效、很少發(fā)生事件時,管理者往往會錯誤認(rèn)為本企業(yè)不再是攻擊者的主要目標(biāo),但事實(shí)并非如此。
02、已經(jīng)發(fā)生的安全事件數(shù)量
企業(yè)組織已發(fā)生的安全事件指的是攻擊者已經(jīng)成功實(shí)現(xiàn)的攻擊行為,對組織的資產(chǎn)或數(shù)據(jù)造成了實(shí)際的損失。攻擊者破壞企業(yè)信息資產(chǎn)或網(wǎng)絡(luò)的次數(shù)可以作為衡量企業(yè)網(wǎng)絡(luò)安全建設(shè)不足的重要指標(biāo)。安全運(yùn)營工作的一個關(guān)鍵方面是密切關(guān)注改變工具和流程是否會帶來改進(jìn)。通過匯集企業(yè)安全事件數(shù)量和發(fā)生率方面的數(shù)據(jù),可以幫助企業(yè)確保落實(shí)到位的防御措施對保護(hù)企業(yè)的數(shù)字資產(chǎn)帶來了積極影響。
03、網(wǎng)絡(luò)安全事件嚴(yán)重程度
了解組織的網(wǎng)絡(luò)入侵或數(shù)據(jù)盜竊的嚴(yán)重程度將有助于合理設(shè)定安全運(yùn)營工作的優(yōu)先級,以確保導(dǎo)致企業(yè)業(yè)務(wù)中斷等嚴(yán)重網(wǎng)絡(luò)安全事件不會繼續(xù)發(fā)生。這個績效指標(biāo)還可以用來評估新的安全措施或流程是否切實(shí)有效。
04、平均威脅響應(yīng)時間(MTTC)
威脅響應(yīng)是指在安全事件檢測與有效處置之間的事件應(yīng)對情況。解決安全事件的總成本很大程度上取決于安全團(tuán)隊(duì)對突發(fā)事件的快速響應(yīng)能力,響應(yīng)時間越短,解決問題的成本就會越低。如果企業(yè)需要很長時間才能啟動有效的響應(yīng)機(jī)制和流程,這就反映出整體安全能力建設(shè)的不均衡。
05、平均威脅處置時間(MTTR)
迅速響應(yīng)網(wǎng)絡(luò)安全事件只是安全事件處置的一方面,平均威脅處置時間(MTTR)則可以反映安全事件發(fā)生后安全運(yùn)營團(tuán)隊(duì)的處置效率有多高。如果跟蹤這個指標(biāo),就可以評估調(diào)整安全運(yùn)營策略將可以獲得哪些好處。MTTR還可用于評估安全團(tuán)隊(duì)快速解決不同安全事件的能力,比如DDoS攻擊、勒索軟件攻擊和數(shù)據(jù)泄漏等。
06、誤報和漏報程度
網(wǎng)絡(luò)安全運(yùn)營需要依賴各種安全工具來識別和檢測惡意軟件或可疑行為,并在發(fā)現(xiàn)可疑情況時提醒安全運(yùn)營團(tuán)隊(duì)。然而這類工具需要微調(diào)和定期維護(hù),以免發(fā)生誤報和漏報。跟蹤誤報和漏報的數(shù)量情況可以幫助團(tuán)隊(duì)確定各項(xiàng)安全工具的配置是否恰當(dāng)。
07、漏洞補(bǔ)丁更新時間
網(wǎng)絡(luò)犯罪分子正在大量使用威脅情報工具,以利用補(bǔ)丁發(fā)布和實(shí)際修補(bǔ)之間的時間差。因此,企業(yè)應(yīng)準(zhǔn)確了解實(shí)施應(yīng)用程序安全補(bǔ)丁或緩解CVE列出的高風(fēng)險漏洞需要多長時間。典型的事例就是勒索軟件“WannaCry”的廣泛破壞,雖然其所利用的“永恒之藍(lán)(EternalBlue)”漏洞很快就被修補(bǔ),但由于很多企業(yè)的補(bǔ)丁更新工作不夠及時,結(jié)果還是淪為了受害者。
08、漏洞評估結(jié)果
漏洞掃描工具會針對IT系統(tǒng)和用戶設(shè)備運(yùn)行測試,查看它們是否針對已知漏洞進(jìn)行了修復(fù),并識別其他潛在的安全問題。漏洞評估結(jié)果會列出各種新的和仍然存在的漏洞、風(fēng)險評級、漏洞得逞/失敗率及其他數(shù)據(jù)。如果將該信息與漏洞修復(fù)時間這一指標(biāo)結(jié)合使用,企業(yè)就可以確定是否應(yīng)該分配更多的資源來保障漏洞管理工作。
09、內(nèi)部用戶的訪問安全性指標(biāo)
企業(yè)負(fù)責(zé)人可能會認(rèn)為網(wǎng)絡(luò)安全威脅主要來自企業(yè)外部。然而在很多數(shù)字化企業(yè)中,針對內(nèi)部用戶的網(wǎng)絡(luò)安全指標(biāo)顯示,內(nèi)部威脅是更為嚴(yán)重的問題。收集和分析員工的訪問權(quán)限以及應(yīng)用程序和數(shù)據(jù)訪問方面的信息,可以表明內(nèi)部安全問題以及需要對用戶訪問控制所做的更改。
10、網(wǎng)絡(luò)整體流量數(shù)據(jù)
雖然企業(yè)網(wǎng)絡(luò)中的整體流量數(shù)據(jù)量不是嚴(yán)格意義上的安全度量指標(biāo),但對于識別潛在威脅、確定安全工具和流程的可擴(kuò)展性大有裨益。網(wǎng)絡(luò)流量的變化(無論是逐漸的變化還是突發(fā)的變化)都可能表明惡意軟件入侵或其他類型的網(wǎng)絡(luò)攻擊。該度量指標(biāo)還有助于證明需要新的或升級的安全措施。它有助于傳達(dá)這個觀念:隨著網(wǎng)絡(luò)使用量增加,用于保護(hù)網(wǎng)絡(luò)和IT系統(tǒng)的資金應(yīng)該隨之增加。
11、安全審計和滲透測試次數(shù)
網(wǎng)絡(luò)安全運(yùn)營工作應(yīng)該包括一系列的安全性審計、風(fēng)險評估、滲透測試及其他檢查,這樣才可以確保安全流程和工具發(fā)揮正常功效。但是組織的安全運(yùn)營團(tuán)隊(duì)往往日常任務(wù)負(fù)擔(dān)過重,導(dǎo)致這些重要的工作被延遲或遺忘。在此背景下,組織應(yīng)該通過跟蹤安全審計和滲透測試等任務(wù)的次數(shù),了解網(wǎng)絡(luò)安全運(yùn)營工作中是否有存在疏忽的環(huán)節(jié)。
12、與同行橫向比較的安全基準(zhǔn)
安全團(tuán)隊(duì)向董事會級別進(jìn)行工作報告時,一種重要的主題就是,企業(yè)目前的網(wǎng)絡(luò)安全狀況如能力,與所在行業(yè)的同行企業(yè)相比如何。這些匯報信息和評價指標(biāo)更容易被管理層所理解,且在視覺上更加具有吸引力,容易受到非專業(yè)型領(lǐng)導(dǎo)的關(guān)注。從某種意義上說,與同行橫向比較的安全基準(zhǔn)是一個“比較指標(biāo)的指標(biāo)”。這樣的基準(zhǔn)測試有助于確定IT安全團(tuán)隊(duì)與同行相比是處于正常水平還是需要重新調(diào)整。
