尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
安全主管可以根據各項指標作出決策,只要指標不屬於以下糟糕指標范疇即可。
網路安全權威人士苦心規勸十來年之後,CISO 需從業務角度以數據說話的理念終於深入人心,各項測量指標意識最終確立。無論是合理化開支、量化風險,還是爭取高管支持安全經營,CISO 的討論中如今滿是儀表板、圖表和關鍵業績指標 (KPI)。唯一的問題是什麼呢?安全團隊及其主管使用的大量數據,其實,並不十分有用。
事實上,很多測量出來的數據都是無用指標,沒有上下文,數據量大,且缺少分析,還往往測得錯誤的觀察項而無法獲悉真正的風險。Edge 最近向業內多位安全專家咨詢了他們最不喜歡的指標都有哪些,結果,專家們列出來的清單有點長。下面 20 條就是日夜與安全為伍的專業人士給出的網路安全領域最糟糕指標。
1. 太過複雜的指標
Cobalt.io 首席策略官 Caroline Wong 表示,在你拿出依托複雜計算模型的安全指標前,無論該指標是 FAIR 這種正式的東西,還是你內部使用的客戶安全評分,你都得考慮你的受眾對該指標背後計算模型的熟悉或不熟悉程度。如果受眾不熟悉你得出該指標的方法,你會發現自己更忙於解釋和捍衛自己方法的正確性,而不是討論該安全指標本身、其含義,以及你建議的相應操作。
2. 震懾型指標
震懾型指標就數字讓你大吃一驚的那種。比如:有 23,456 個未修復漏洞。但數字本身並沒有上下文或風險考慮。
Optiv CISO Brain Wrozek 表示,這數字是好是壞,是正常還是意外,上升還是下降?漏洞是新是舊?漏洞在高價值資產還是低價值資產上?是少量資產上的很多漏洞,還是很多資產上的少量漏洞?所有這些上下文表征都很重要。但不幸的是,太多這種聳人聽聞的安全統計數據都缺乏上下文。
3. 質性指標
Fractional 創始人、高管、CISO Rob Black 表示,質性指標就是正確組織行為的攔路虎。很多企業都將風險劃分為高、中、低三級。各個方面上看這麼做都錯了。
「
財政部門就永遠不會說這個項目我們需要 ‘大量’ 資金支持。他們會給出一個具體數額。網路安全人員也應該這麼做。嘗試獲得‘中等’保障什麼的。這種質性指標對其他業務線完全沒意義。安全部門不應該用質性指標。質性指標應該像肘尺那樣扔進歷史的垃圾桶!
4. 一個攻擊風險指標走天下
Verodin CISO Brian Contos 表示,面對攻擊我們有多安全?每當我看到用單一指標回答此類問題,我都想要退避三舍,因為該指標通常由已發現漏洞和已修復漏洞數量計算得出。這個指標能很好地描述你的漏洞修復工作成效,當然,漏洞是必須修復的。但這個指標並不能真正描述你面對攻擊的安全程度。
「
安全程度應由細分為多個方面的 [指標衡量],比如:我的網路、終端、電子郵件和雲安全工具有效性如何?我的托管安全服務提供商 (MSSP) 有多遵守他們的服務水平協議 (SLA)?我的安全團隊事件響應有效性有多高?安全團隊遵循的各項過程有效程度如何?
5. 安全項目增長
ZeroNorth 創始人兼總裁 Ernesto DiGiambattista 表示,人員、應用和工具的增長常被認為是成功的表現,但這種評價方式是有缺陷的,因為數量增加未必等同於安全狀況改善。更重要的考慮是安全項目空白的填補程度,而這常常是通過現有人員和工具做到的。當然,某些領域里增長可能是必要的,但僅這一個指標顯然不能衡量成功與否。
6. 基於 CVSS 的風險評分
Kenna Security 首席數據科學家 Michael Roytman 表示,僅一小部分漏洞被惡意黑客利用,但 CVSS 得分並沒有反映出這一事實。CVSS 得分沒考慮漏洞的普遍程度和已知漏洞利用的公開可用性。基本上,CVSS 就沒將漏洞被用於黑客攻擊的可能性或威脅納入考慮,但仍有很多公司將之作為漏洞修復工作的唯一指引。
「
安全團隊評估哪些漏洞需首先修復時,除 CVSS 之外還應考慮這些漏洞被利用的概率。
7. 能力成熟度模型集成 (CMMI) 得分
FRSecure 專業服務與創新總監 Brad Nigh 表示,公司企業常將 CMMI 看作其安全項目各部分成熟程度的分類標籤。CMMI 關注有利於盡可能不中斷過程/項目地引入新員工的過程和文檔。CMMI 得分的問題在於,並沒有考慮到企業所擁有的資產的價值。
因此,得出的是虛假的安全感,是僅僅因為過程平滑就認為安全的假定,沒有考慮到這些過程是否適用於自身環境,是否解決了自己最大的風險/漏洞。
8. 平均檢測/響應時間
CriticalStart CTO Randy Watkins 表示,多數企業將均檢測時間 (MTTD) 和平均響應時間 (MTTR) 視為網路安全警報調查的實際指標。問題出在‘平均’響應時間的衡量上。根據實際需要響應的警報數量,只看平均時間可能會給入侵分類可用時間設置人為上限。
為考慮進分類和響應耗時較長的調查,可以選擇計算中位檢測時間。剔除時間線兩端的奇點可以獲得安全團隊響應效能的準確視圖。
9. 完成培訓的員工占比
Altitude Networks 共同創始人兼 CEO Micheal Coates 表示,完成安全培訓的員工占比是個偽指標,只會帶來對安全態勢和企業彈性的虛假安全感。安全意識是個不可或缺的好東西。但如果企業僅僅因為接受年度培訓的員工占比高就對自身安全意識盲目自信,那可真是完全看錯了方向。
10. 被泄記錄數量
Contrast Security 共同創始人兼 CTO Jeff Williams 表示,被泄記錄數量是公司和個人理解數據泄露嚴重性的一個非常糟糕的方式。黑客不泄露任何一條‘記錄’也可以完全接管公司所有服務器,清空公司帳戶,摧毀所有記錄。
11. 平均故障時間
SecurityFirst 首席產品及策略官 Pankaj Parekh 表示,這個指標很具誤導性,因為現代複雜數據中心里,單個組件常會故障。衡量基礎設施容錯能力和彈性要有意義得多,這樣即便哪個部分故障了,整個數據中心經營也不受影響。Netflix 在 2011 年構建的‘混世魔猴 (Chaos Monkey)’就是通過隨機禁用某個服務器,來驗證各個系統的健壯性,確保整體系統能挺過混亂情況。
12. 安全控制措施封堵的威脅數量
Digital Guardian 網路安全副總裁 Tim Bandos 表示,向董事會報告稱各項安全控制措施將千千萬萬個威脅封堵在邊界防火牆之外固然聽起來很有成就感,但實際上這可謂是最糟糕的指標了。這東西根本是在傳達有關網路安全項目有效性的錯誤信息,並未真正衡量公司面對實際威脅的彈性,比如勒索軟件或國家支持的網路攻擊。
「
在我看來,更好的指標是從初始感染到檢測的平均周期時間,或者平復成功威脅的耗時,畢竟,他們總會侵入的。
13. 漏洞數量
SecureAuth 策略研究總監 Martin Gallo 表示,常見無效指標樣例之一是去數影響應用、系統或網路的漏洞數量,然後以之評判系統安全程度。漏洞數量當然很重要,但僅僅數出問題數量而不考慮潛在影響和漏洞被利用的概率,那就是奔著糟糕風險管理去了。
類似的,公司資產關鍵程度有別,有些資產就是比別的資產重要。對最重要資產和不那麼重要的資產都應用同樣的指標,可能導致混亂,也產生不了什麼特別的動作。
14. 網路釣魚鏈接點擊率
Barracuda Networks 安全意識副總裁 Dennis Dillman 表示, 雖然降低網路釣魚鏈接點擊率看起來像是用戶意識項目投資回報率 (ROI) 的良好體現,但不應作為公司培訓項目的主要關注點。關注重點全放在降低點擊率上時,管理員傾向於向用戶重復發送非常相似的網路釣魚郵件。這種重復能教會用戶識別魚叉式網路釣魚攻擊,但並不能使用戶做好準備應對可能遭遇的各種攻擊。
需要注意的重要指標不止點擊率一個。想更好地評估培訓項目有效性,可以看有多少人在假冒登錄頁面上輸入了憑證,多少人回復了你的模擬釣魚,IT 團隊收到了多少可疑電子郵件報告。
15. 漏洞修復天數
XM Cyber 產品副總裁 Menacem Shafran 表示,很多公司里,漏洞修復天數都是非常基礎和常用的指標。因為很容易用漏洞掃描器獲得。大部分企業會跟蹤自身修復漏洞所需時長,無論是整體耗時還是按 CVSS 風險得分和資產分組得出的耗時。問題是,這個指標並不能真正反映出公司當前風險。非關鍵資產上的低風險評分漏洞也是可以助黑客染指更為重要的資產的。
16. 處理事件數
Siemplify 首席策略官 Nimmy Reichenberg 表示,說到安全經營,我最不喜歡的無用指標是 「處理事件數」。這個指標是典型的報告 「忙碌情況」 而不是 「業務情況」。處理事件數未能具現化 SecOps 在理解真正需處理事件上的有效性,呈現不了處理關鍵事件以減少威脅駐留時間的效率,反映不出自動排除誤報以減少需處理事件數量的功效。
17. 每員工緩解事件數
DivvyCloud 共同創始人兼 CTO Chris DeRamus 表示,另一個無用指標是跟蹤每個員工所緩解的事件數量。當今網路安全態勢下,公司面臨的活躍威脅數量動輒上百萬。同樣地,在如此龐大的威脅與漏洞數量面前,每員工能緩解的事件數量毫無意義,即使最有經驗、技術最精湛的安全從業人員也無濟於事。
僅靠人力不可能實時追蹤所有活躍威脅並緩解全部安全事件,所以公司企業不應該在這些指標上浪費自身時間。
18. 事件開放時間/完結時間
Capgemini 首席安全官兼策略主管 Joe McMann 表示,特別令人生氣的一個指標是 「事件完結時長」,這個指標太含混不清了,變數很多,有太多依賴關係。安全經營的目標不應該是盡可能快地了結任務處理請求,好讓請求隊列保持為空;安全經營中心不是客服中心。
作為企業防禦者,我們的真正目標應該是有效響應、完整且深入的分析,以及利用所學構建更主動的防禦態勢。我想要衡量枚舉整個進攻生命周期的能力,想確信該分析產生了新的特徵碼、檢測或緩解。
19. 安全項目控制覆蓋百分比
Cybersecurity GRC 創始人表示,策略中安全項目控制覆蓋的百分比是一柄雙刃劍。確保策略全面且覆蓋安全項目中的控制措施很重要,所以這里並不是要貶低該指標的重要性。
但只有理解且遵循了的策略才能減少公司風險,所以還需要另一個相應的指標來衡量員工對策略的理解程度——審查後測試知識,以及/或評估策略遵從度。
20. 分析師待處理工單
Respond Sofware 客戶成功副總裁 Chris Triolo 表示,我們討厭這個,這就是在比誰更快了結工單,而不是分析並修復,或確保不出現問題。這是典型的 「衡量即完成」 問題。
「
如果我們衡量已關閉工單的數量,你要麼得到大量已處理工單,要麼衡量內含真正需緩解事件的工單數量,但是分析和修復的質量才是有價值的指標。
相關閱讀
業務驅動安全:安全人員應當了解的7個業務指標
讓業務與安全貼合:適應業務需求的網路安全指標