安全主管可以根据每个指标做出决策,只要这些指标不属于下面的不良指标类别。经过网络安全部门十余年的苦心劝说,CISO需要从业务角度用数据说话的理念终于深入人心,各种衡量指标的意识也终于建立起来。无论是合理化支出、量化风险,还是获得高管对安全运营的支持,CISO的讨论现在都充满了仪表板、图表和关键绩效指标(KPI)。唯一的问题?事实上,安全团队及其高管使用的大量数据并不是很有用。事实上,很多实测数据都是无用指标,没有上下文,数据量大,缺乏分析。他们经常测量错误的观察项目而无法了解真正的风险。Edge最近向业内几位安全专家询问了他们最不喜欢的指标是什么,名单有点长。以下20项是日夜从事安全工作的专业人员给出的网络安全领域最差的指标。1.过于复杂的指标Cobalt.io首席战略官CarolineWong表示,在你根据复杂的计算模型得出一个安全指标之前,这个指标是像FAIR这样正式的东西,还是你使用的客户安全评分在内部,您必须考虑您的受众对指标背后的计算模型有多熟悉或不熟悉。如果听众不熟悉您得出指标的方法,您会发现自己更忙于解释和捍卫您的方法的合理性,而不是讨论安全指标本身、它的含义以及您推荐的相应行动方案。2.震慑指标震慑指标就是那些数字让你吃惊的指标。示例:有23,456个未修补的漏洞。但数字本身没有背景或风险考虑。这个数字是好是坏,正常还是意外,上升还是下降?这些漏洞是新的还是旧的?漏洞是在高价值资产上还是在低价值资产上?OptivCISOBrainWrozek表示,少量资产或大量资产存在大量漏洞?所有这些上下文表示都很重要。但不幸的是,这些耸人听闻的安全统计数据中有太多缺乏背景。3.定性指标Fractional创始人、执行官、CISORobBlack表示,定性指标是纠正组织行为的障碍。许多公司将风险分为三个等级:高、中、低。这在各方面都是错误的。“财务部门永远不会说我们这个项目需要‘大量’的资金。他们会给出具体的数额。网络安全人员也应该这样做。尽量获得‘中等’的覆盖率什么的。”这个定性指标对其他业务线来说完全没有意义。安全部门不应使用定性指标。质量指标应该像肘一样扔进历史的垃圾箱!4.攻击风险指标遍及全球。VerodinCISOBrianContos说,我们对攻击的安全程度如何?每当我看到一个指标回答这类问题时,我都想避开这两个指标,因为这个指标通常是根据发现的漏洞数量和修复的错误数量计算得出的。这个指标可以很好的描述你的bug修复工作的有效性,当然,bug必须修复。但是这个指标并没有真正描述您免受攻击的安全程度。“安全性应分解为[指标],例如:我的网络、端点、电子邮件和云安全工具的有效性如何?我的托管安全服务提供商(MSSP)对他们的关注程度如何?什么是服务水平协议(SLA)?我的安全团队的事件响应有多有效?安全团队遵循的各种流程的有效性如何?增长通常被视为成功的标志,但这种评估是有缺陷的,因为数量的增加并不一定等同于安全性的提高。一个更重要的考虑因素是安全计划差距被填补的程度,通常是通过现有人员和当然,在某些领域可能需要增长,但仅此指标显然不能衡量成功与否。6.基于CVSS的风险评分KennaSecurity首席数据科学家MichaelRoytman表示,只有一小部分漏洞被识别为恶意黑客攻击,但CVSS评分并不能反映这一事实。CVSS分数未考虑漏洞的普遍性和已知漏洞的公开可用性。基本上,CVSS没有考虑漏洞被用于黑客攻击的可能性或威胁,但是,许多公司仍然将其作为漏洞修复工作的唯一指南。”安全团队在评估需要首先修复哪些漏洞时,除了CVSS之外,还应考虑利用这些漏洞的可能性。7.能力成熟度模型集成(CMMI)分数根据FRSecure专业服务和创新总监BradNigh的说法,组织通常将CMMI视为其部分安全程序成熟度的分类标签。CMMI专注于促进新员工引入的流程和文档,同时尽可能减少对流程/项目的干扰。CMMI分数的问题在于它没有考虑企业拥有的资产的价值。因此,产生了一种错误的安全感,认为一个人是安全的仅仅因为流程是顺利的,而不考虑这些流程是否适用于自己的环境并解决一个人最大的风险/漏洞。8.平均检测/响应时间CriticalStart的首席技术官RandyWatkins表示,大多数企业认为平均检测时间(MTTD)和平均响应时间(MTTR)是网络安全警报调查的现实指标。问题是“平均”响应时间的测量。根据需要响应的实际警报数量,仅查看平均时间可能会对可用于入侵分类的时间人为设置上限。考虑到需要很长时间来排序和响应的调查,可以选择计算检测到的中位时间。剔除时间线两端的奇点可以准确了解安全团队响应的有效性。9.完成培训的员工百分比AltitudeNetworks的联合创始人兼首席执行官MichealCoates表示,完成安全培训的员工百分比是一个错误的指标,只会对安全态势和弹性产生错误的安全感企业。安全意识是不可或缺的好东西。但是,如果企业仅仅因为员工每年接受培训的比例高,就盲目相信自己的安全意识,那就大错特错了。10.泄露的记录数量ContrastSecurity的联合创始人兼首席技术官JeffWilliams表示,泄露的记录数量是公司和个人了解数据泄露严重性的一种非常糟糕的方式。黑客可以完全接管公司所有服务器,清空公司账户,销毁所有记录,而不会泄露任何“记录”。11.平均故障时间根据SecurityFirst的首席产品和战略官PankajParekh的说法,这个指标具有误导性,因为在现代复杂的数据中心中,单个组件经常会发生故障。衡量基础设施的容错性和弹性更有意义,这样即使一个部分发生故障,整个数据中心的运营也不会受到影响。Netflix在2011年打造的“ChaosMonkey”就是随机让一台服务器失效来验证各个系统的健壮性,保证整个系统能够在混乱中存活下来。12.安全控制阻止的威胁数量DigitalGuardian网络安全副总裁蒂姆·班多斯(TimBandos)表示,向董事会报告安全控制将数以千计的威胁排除在外围防火墙之外当然听起来很有价值,这确实是最糟糕的指标。这些东西只是传递有关网络安全计划有效性的错误信息,并不能真正衡量公司对真正威胁(如勒索软件或国家支持的网络攻击)的弹性。“在我看来,更好的衡量标准是从最初感染到检测到的平均周期时间,或者消除成功威胁所需的时间,毕竟,它们总会进入。13.漏洞,”主管MartinGallo说SecureAuth的战略研究。无效指标的例子之一是统计影响应用程序、系统或网络的漏洞数量,进而判断系统的安全级别。漏洞的数量固然重要,但只计算问题的数量没有考虑潜在的影响和漏洞被利用的概率,那就是走向风险管理不善。同样,公司资产的重要性各不相同,有些资产比其他资产更重要。将相同的指标应用于最重要的资产和不太重要的资产可能会导致混淆。14.网络钓鱼链接点击率BarracudaNetworks安全意识副总裁DennisDillman表示,虽然降低网络钓鱼链接点击率似乎是用户意识计划投资回报率(ROI)的良好指标,但应该不是公司培训计划的主要重点。当重点都放在降低点击率上时,管理员往往会向用户重复发送非常相似的网络钓鱼电子邮件。这种重复教会用户识别鱼叉式网络钓鱼攻击,但并未让用户为他们可能遇到的各种攻击做好准备。点击率并不是唯一要看的重要指标。衡量培训计划有效性的更好衡量标准是有多少人在虚假登录页面上输入了他们的凭据,有多少人响应了您的模拟网络钓鱼,以及IT团队收到了多少可疑电子邮件报告。15.修复错误的天数根据XMCyber??产品副总裁MenacemShafran的说法,修复错误的天数是许多公司非常基本和常用的指标。因为使用漏洞扫描器很容易搞定。大多数组织跟踪他们修复漏洞所需的时间,无论是总体漏洞还是按CVSS风险评分和资产分组。问题是,这个指标并不能真正反映公司当前的风险。非关键资产的低风险评分漏洞也可以帮助黑客获得更重要的资产。16.处理的事件数量,Siemplify首席战略官NimmyReichenberg说,在安全操作方面,我最不喜欢的无用指标是“处理的事件数量”。此指标通常报告为“繁忙”而不是“业务”。处理事件的数量并不能反映SecOps在了解需要处理的真实事件的有效性、处理关键事件以减少威胁驻留时间的效率以及自动消除误报以减少数量的有效性需要处理的事件。17.根据DivvyCloud联合创始人兼首席技术官ChrisDeRamus的说法,另一个无用的指标是跟踪每位员工缓解的事件数量。在当今的网络安全环境中,公司面临数以百万计的活跃威胁。同样,面对大量的威胁和漏洞时,即使是最有经验和最熟练的安全从业人员,每位员工可以缓解的事件数量也毫无意义。单靠人类不可能实时跟踪所有活动威胁并缓解所有安全事件,因此组织不应将时间浪费在这些指标上。18.事件开始时间/结束时间凯捷首席安全官兼战略主管JoeMcMann表示,一个特别令人恼火的指标是“结束事件的时间”,它太模糊,变量太多,依赖性太多.安全操作的目标不应该是尽快关闭作业处理请求以使请求队列保持为空;安全运营中心不是呼叫中心。作为企业防御者,我们真正的目标应该是有效响应,完整深入的分析,并利用我们所学来建立更主动的防御态势。我想衡量枚举整个攻击生命周期的能力,并希望确信此分析已产生新的签名、检测或缓解措施。19.安全程序控制覆盖率Cyber??securityGRC创始人表示,保单中安全程序控制覆盖率是一把双刃剑。确保策略全面并涵盖安全程序中的控制非常重要,因此这并不是要淡化该指标的重要性。但只有被理解和遵循的政策才能降低企业风险,因此需要另一个相应的指标来衡量员工对政策的理解程度——审查后测试知识,和/或评估政策合规性。20.AnalystPendingTicketChrisTriolo,RespondSofware的客户成功副总裁,说我们讨厌这样,它竞争更快地关闭票证,而不是分析和修复它们,或者确保事情不会出错。这是一个经典的“措施已完成”问题。如果我们测量已关闭工单的数量,您要么得到大量已关闭工单,要么测量具有需要缓解的真实事件的工单数量,但分析和修复的质量是有价值的指标。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
