当企业安全预算增长面临“不可持续”的风险时,CISO应该开始关注哪些安全指标?CISO最具挑战性的任务之一是选择合适的指标来量化企业网络安全体系的能力和价值,这是企业网络安全战略和效率的基础。如果KPI是一种病,那么没有什么比选择错误的KPI指标更可怕的了,尤其是在企业安全预算开始吃紧的黑天鹅时期。网络安全预算的“非理性”增长不再可持续零信任需要钱,威胁情报需要钱,漏洞管理需要钱,下一代防火墙需要钱,下一代SOC/SOAR/SIEM需要钱,防数据泄露需要钱、勒索软件要钱、安全合规要钱、安全意识培训要钱……这些都是肉眼可见的、高优先级的“烧钱项目”。然而,很多安全高管,即使是知名跨国公司或上市公司的安全高管,也无法将预算覆盖到多个重点安全投资领域。近日,埃森哲的一份CISO报告给出了逐年增加的安全预算中“最烧钱”的17项安全技术。排名如下:数据来自:埃森哲企业安全总监2020年领导力报告埃森哲报告指出,当安全投资的持续增长与安全“绩效”不成正比时,企业的“非理性”增长年复一年的安全预算不再可持续。“锅”的CISO将很难摆脱“救火员”的荣誉角色。首先,CISO们需要认识到安全预算是一个主观命题,尤其是对于安全预算在IT总支出中占比极低的中国企业而言。在未来很长一段时间内,安保预算的增长将是大势所趋。但必须解决一个根本问题:企业安全预算往往需要依靠“想哭病毒”、“删库逃生”等重大安全事件,与企业管理层、董事会达成阶段性“谅解”董事,而不是通过可以跨部门沟通的运营??安全指标。多年来,企业安全领导者使用了无数指标。然而,基于指标的与业务部门和管理层的沟通机制并不顺畅。许多高管和董事会成员经常抱怨,这些措施并不能帮助他们充分了解或了解安全部门的绩效、改进程度和不足之处。安全可见性和可衡量性仍然很差。安全公司SpearTip总裁兼CEOJarrettKolthoff表示:CISO向CEO和董事会报告时使用了太多技术术语,例如关键漏洞和补丁号,但董事会并不真正理解他在说什么。他补充说:这些数字对CISO可能非常有用,但CISO需要提供基于安全指标和标准的上下文,以便董事会了解风险以及需要投资多少安全。包括Kolthoff在内的网络安全专家认为,对于不同行业、不同规模企业的CISO来说,在衡量安全力度和策略方面,没有一套放之四海而皆准的安全指标。但是,有一件事是肯定的:对于大多数企业而言,某些安全指标组合需要格外注意。五项对企业仍然重要的“老”安全指标虽然不同地区、不同规模、不同行业的企业面临的安全威胁优先级不同,但制定有效的新安全指标有共同的诉求和基本原则:与安全损失和业务目标相关联,并且易于被企业或董事会理解。尽管“从业务目标角度”评估安全的新指标体系是当前CISO们的热门话题,但资深CISO和安全管理顾问表示,过去安全团队使用的很多安全指标仍然有价值,CISO们应该考虑关注这些指标增加了额外的背景。1.平均恢复时间MTTRHarmer衡量受事件影响的用户百分比、安全团队解决问题的速度,以及该时间是否达到、超过或未达到目标时间,基于组织的既定风险食欲。根据埃森哲2020年CISO领导力报告,在提升检测响应速度和降低MTTR方面,CISO采用新技术的优先级如下:可见,SOAR和AI是CISO们看重的两种安全技术,两者具有互补性,AI在快速检测(MTTD)方面有优势,SOAR是缩短恢复时间的终极解决方案。因此,对于安全决策者而言,唯有SOAR与AI的结合才能达到最佳的安全指标。2、平均检测时间MTTD平均检测时间(衡量从攻击成功到检测到的时间)等指标可以反映企业安全系统的运行状况,可以进行跟踪和改进。这些指标有助于CISO与最高管理层讨论实现改进所需的投资。此外,此类指标鼓励持续改进。3.渗透测试,就像模拟网络钓鱼攻击一样,允许渗透测试相关的指标来指示组织抵御此类事件的能力以及随着时间的推移可以跟踪改进的程度。这是许多CISO以及高管和董事会成员理解和重视的指标。4.漏洞管理CISO可以考虑制定漏洞管理指标,用于报告其漏洞管理计划的有效性。安全部门不应只报告已完成的补丁数量,而应根据组织的安全状况衡量漏洞。充分利用指标的能力——不是100个低风险补丁,而是确保尽快修补风险最高的漏洞。5.安全审计一些CISO使用NIST、ITIL和互联网安全中心(CIS)框架开发了记分卡,这对于快速展示安全工作的有效性和进展非常有帮助。放弃4个指标随着用于考量企业安全能力和有效性的综合指标的出现,专家建议减少甚至放弃使用以下安全评估指标:1.CISOSimpson认为的攻击数量:没有人关心你是否拦截一个月内攻击10次。10万次攻击,就是说,如果你的收入是100%,我为什么要再给你100万美元?而且,对企业的威胁不是阻止十万次低级攻击,而是阻止十万次低级攻击。公司倒闭的致命攻击。2.补丁完成数原因同上。3.识别出的漏洞成因同上。4、病毒被拦截的原因同上。虽然上述四个指标对CISO来说是对已完成工作的内部衡量,或确认组织是否满足合规性要求,但它们本身没有什么价值,并且可能使企业陷入一种错误的安全感。.两个需要关注的新指标一些新兴的安全指标往往不在CISO的雷达图中,比如“人员满意度”,例如SecurityBull曾推荐下一个网络安全关键指标:MTTH(平均强化时间)。1.MTTH(meantimetoharden)MTTH是指企业安全团队如何在漏洞被公开到武器化商业化造成巨大杀伤力之前的时间窗口内,缩短漏洞缓解和安全加固措施的部署周期.下一代企业网络安全有两个关键“抓手”。一方面,企业需要缩短“反射弧”,大幅度提高检测和响应速度,缩短停留时间。这也是xDR相关产品和概念持续流行的原因;一方面,在预防阶段,需要大幅度缩短强化时间,扭转与攻击者龟兔赛跑的不利局面,但这一点目前还没有得到足够的重视。2、员工安全培训率根据埃森哲的报告,优秀领导者与普通领导者在网络安全方面的培训重视程度存在较大差异。从上图的调查数据可以看出,对于新的安全工具和产品,30%以上的优秀领导团队培训率超过75%,而普通领导团队只有9%达到75%以上培训率。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
