现代企业应重点跟踪的12项网络安全建设指标也不例外。如果企业不能用量化的指标来衡量网络安全建设工作,就不可能实现有效的安全管理。网络安全不是一蹴而就的。网络威胁在不断发展,防止威胁所需的流程和技术也在不断发展。现代企业组织需要有适当的措施来评估投资的安全保障措施是否有效。这很重要,因为:对关键风险指标(KRI)和企业安全状态值的分析可以为安全团队提供改进安全运营的见解,帮助组织更好地了解什么是有效的,什么是恶化的,并以此为基础安全决策;通过量化的安全建设指标,安全团队可以向公司管理层和董事会表明保护企业敏感信息和IT资产的价值。本文收集整理了网络安全能力建设的12项量化指标,可以帮助企业提升安全风险识别和补救能力。IT安全团队可以通过这些指标向公司汇报当前网络安全工作的开展情况:1.对企业当前安全状况的评价企业当前安全状况是衡量网络安全能力的重要指标.例如:在企业的网络系统中,有多少计算设备和应用软件能够得到及时的补丁更新?在CIS列出的20大企业安全管控措施中,漏洞扫描和漏洞管理被设定为必须满足的基本防护要求。其他包括资产管理、权限管理和日志管理。?2。网络系统中的不明设备不明设备是指来源和用途不明的计算设备。在许多情况下,身份不明的设备并不是恶意的。它们可能是由工程师创建的新虚拟机,或者它们可能是员工出于工作原因插入的移动设备。但随着网络边界越来越模糊,组织将难以验证网络设备的合法性和安全性。在这种背景下,安全团队需要系统地跟踪网络上有多少未识别的设备。如果企业检测到的未知设备突然激增,这表明企业可能面临严重的风险。3.入侵尝试次数组织接收到的入侵尝试是指未定型的安全事件或后果检测行为,所有成功的入侵事件都可能由此发展而来。因此,企业应将攻击者尝试非法访问的次数作为安全工作的指标之一,这需要通过防火墙和SOC系统的日志收集相关情报。4、发生的安全事件数量企业组织发生的安全事件是指攻击者成功实施的攻击行为,对组织的资产或数据造成实际损失。攻击者破坏企业信息资产或网络的次数可以作为衡量企业网络安全建设是否充分的重要指标。5.平均威胁检测时间(MTTD)平均威胁检测时间(MTTD)是IT运营团队衡量的标准指标,用于评估识别特定问题平均需要多长时间。随着威胁行为者使用越来越隐蔽的方式来隐藏他们的攻击意图,许多企业很难快速发现他们面临的网络安全威胁。MTTD指标对于评估企业网络安全能力越来越重要。6.威胁解决平均时间(MTTR)检测只是解决网络安全事件的第一步。平均威胁解决时间(MTTR)反映了安全运营团队在安全事件发生后处理该事件的效率。如果跟踪此指标,您可以评估调整安全操作策略可以获得哪些好处。MTTR还可用于评估安全团队快速解决不同安全事件的能力,例如DDoS攻击、勒索软件攻击和数据泄露。7.平均威胁响应时间(MTTC)威胁响应是指从安全事件检测到有效处置之间的事件响应。在某些方面,MTTC甚至比MTTR更重要,因为解决安全事件的总成本很大程度上取决于安全团队对突发事件的快速响应能力。响应时间越短,解决问题的成本就越低。如果企业需要很长时间才能启动有效的响应机制和流程,则反映了整体安全能力建设的不平衡。8.第一方安全评级安全评级是指通过通俗易懂的分数向非技术人员传达安全事件程度的方法。它可以为组织提供清晰、完整的网络安全风险评估,并帮助告知需要关注哪些信息安全指标。在安全评级中,可以包括钓鱼风险、电子邮件欺骗、社会工程风险、DMARC、中间人攻击风险、数据泄露风险和漏洞状态等具体指标。9.补丁发布时间网络犯罪分子大量使用威胁情报工具来利用补丁发布和实际安装补丁之间的时间差。那么,企业是否应该确切知道实施应用程序安全补丁或缓解CVE列出的高风险漏洞需要多长时间?一个典型的例子是勒索软件“WannaCry”的大范围破坏。虽然其利用的“永恒之蓝”漏洞很快得到了修复,但由于及时性不够,不少企业还是沦为补丁更新工作的牺牲品。.10.访问管理和控制现代IT环境的访问控制策略非常复杂。不同的网络基础设施(例如公共云和本地服务器)通常需要不同的访问控制方法,因此需要不同的设备和策略。为此,企业需要全面细致的访问控制管理技术,如云安全态势管理(CSPM)和云基础设施授权管理(CIEM)。有许多安全分析策略可以跟踪访问控制配置中的用户和角色数量等指标。组织还可以衡量访问控制策略更改的频率。如果这些指标出现异常波动,很大程度上说明可能已经存在安全问题。11、安全能力同行业比较安全团队向董事会汇报时,一个重要的话题就是公司目前的网络安全状况,如能力,与业内同行相比如何。这些报告信息和评价指标更容易被管理层理解,也更具有视觉吸引力,也容易引起非专业领导的注意。12.供应商安全评级与能力评估组织面临的网络安全威胁已经超出了组织自身的范围,因此评估安全能力的指标也需要同步制定。这就是为什么开发供应商风险管理和应用第三方风险管理框架将是加强企业安全能力的重要方面。通过持续监控供应商安全风险,组织可以大大降低供应链安全事件发生的概率。供应商响应安全事件所需的时间越长,企业遭受第三方数据泄露的可能性就越大。结论企业组织制定网络安全建设工作的KPI没有硬性规定。上述指标的选取将取决于企业的应用需求、法规和监管、指南、最佳实践等多重因素,并参考企业组织对安全风险的容忍度和接受度。安全团队最重要的指标之一是成本因素,它向公司管理层和董事会清楚地说明网络安全将如何为组织节省资金或产生额外收入。鉴于当前的数字化转型趋势和网络安全威胁形势,这并不难做到。参考链接:https://www.upguard.com/blog/cybersecurity-metrics
