随着现代企业数字化转型发展的不断深入,网络安全建设的投入也越来越大,力争保障企业业务系统和数据资产的安全。一种全方位的方式。但是,安全投入和人员投入并不直接等同于实际防护能力的提升。由于其服务支撑功能定位,网络安全难以量化感知和考虑其能力构成和投资效果。它往往依赖于主观和感性的判断。建设单位投入了大量资源,但最终没有得到配套的安全保障。实践证明,在很多企业的安全建设中,存在着安全产品积累多、功能缺口大、回头率低、实战能力不明等问题。检查和考核是验证所有工作成果的最有效方式。没有有效客观的检测评估量化指标,一旦出现问题,建设单位将付出惨重的代价。在企业实际安全运营中,需要考虑的指标很多,比如平均漏洞修复时间、数据传输速率、网口暴露面等。但是,每个企业都应该建立一套基本的安全建设策略和评估方法。从核心要素出发,科学客观地评估网络安全投入效果和实际能力。本文讨论了企业应密切关注的五个重要方面。安全能力指数。平均检测时间平均检测时间(MTTD)是IT运营团队衡量的标准指标,用于评估识别特定问题平均需要多长时间。随着威胁行为者使用越来越隐蔽的方式来隐藏攻击意图,许多企业难以快速发现所面临的网络安全威胁,MTTD能力指标对企业价值的重要性越来越高。发现环境中是否存在威胁所需的时间越长,攻击的危害就越大。未能检测和隔离受影响的资源可能会导致事件加剧,影响更多的应用程序和数据。企业需要定期全面评估安全团队检测网络安全事件所需的时间,并致力于不断降低这一指标。MTT检测只是解决安全事件的第一步。这就是为什么平均解决时间(MTTR)是一个同样重要的安全分析指标,需要仔细测量。MTTR反映了安全运营团队在发生安全事件后的工作效率。如果跟踪此指标,则可以评估通过更改安全操作策略(例如采用新工具或对安全响应团队进行组织更改)可以获得多少效率。MTTR还可用于评估团队快速解决不同安全事件(例如DDoS攻击、勒索软件攻击和数据泄露)的能力。平均响应时间响应通常发生在检测到安全事件和有效处置之间。响应是指一旦检测到安全事件,就隔离受影响的资源,使其不会受到进一步危害的过程。平均响应时间(MTTC)在某些方面甚至比MTTR更重要,因为解决安全事件的总成本在很大程度上取决于安全团队快速响应紧急情况的能力。响应时间越短,解决问题的成本就越低。会更低。因此,除了跟踪MTTD和MTTR外,还要跟踪MTTC。如果管理者发现组织可以快速发现事件,但启动有效的响应机制和流程需要很长时间,这反映了整体安全能力建设的不平衡,需要加大对响应能力提升的投入。网络资产的识别今天的网络变得非常有弹性。各种终端设备不断地连接和离线,网络边界变得越来越模糊,因为它们不断地通过VPN等连接到远程云基础设施和远程网络。这意味着企业更难准确判断网络设备的合法性和安全性。在这种背景下,安全团队需要系统地跟踪网络上有多少未识别的设备。身份不明的设备是指来源和用途未知的设备。在许多情况下,身份不明的设备是良性的。它们可能是由工程师创建的新虚拟机或员工带到现场的移动设备。但是,网络上未识别设备的数量通常应遵循一致的模式。假设检测到的未知设备突然激增,这可能表明存在风险,例如员工未遵守公司IT治理规定而未经授权创建新端点,或者更糟糕的是,攻击者将流氓设备引入环境,危及安全事件升级。访问控制功能现代IT环境中的访问控制角色和策略非常复杂。不同的网络基础设施,例如公共云和本地服务器和工作站,通常需要不同的访问控制方法,需要不同类型的设备和策略。没有简单的方法来跟踪访问控制配置或主动识别风险。为此,需要全面细致的访问控制管理技术,如云安全态势管理(CSPM)和云基础设施授权管理(CIEM)。许多安全分析策略可以跟踪指标,例如访问控制配置中的用户和角色数量。组织还可以衡量访问控制策略更改的频率。如果这两个指标出现异常波动,很大程度上说明可能已经存在安全问题。参考链接:https://www.helpnetsecurity.com/2022/04/28/security-analytics-importance/。
