安全性负责人可以依据各类指标做出管理决策,只需指标不属于下列槽糕指标范围就可以。
网络信息安全权威专家良苦用心劝诫十明年以后,CISO 需从业务流程视角以数据信息說話的核心理念总算深得人心,各类精确测量指标观念最后建立。不论是合理性支出、量化分析风险,或是争得高管适用安全运营,CISO 的探讨中现如今满是汽车仪表板、数据图表和重要销售业绩指标 (KPI)。唯一的问题是什么呢?安全性精英团队以及负责人应用的很多数据信息,实际上,并不十分有效。
实际上,许多精确测量出去的信息全是没用指标,沒有前后文,信息量大,且缺乏剖析,还通常测得不正确的观查项而没法获知真真正正的风险。Edge 近期向业界多名安全性专家访谈了她们最讨厌的指标都有哪些,結果,权威专家们列出来的明细有点儿长。下边 20 条便是日夜与安全性为伴的专业人员得出的网络信息安全行业最槽糕指标。
1. 过于繁杂的指标
Cobalt.io 总裁对策官 Caroline Wong 表明,在你取出借助繁杂测算模式的安全性指标前,无论该指标是 FAIR 这类真正的物品,是你内部结构应用的顾客安全性得分,你都得考虑到你的受众群体对该指标身后测算模式的熟悉或不熟悉水平。假如受众群体不熟悉你得到该指标的方式,你就会发现自身更忙碌表述和保卫自身方式的准确性,而不是探讨该安全性指标自身、其含意,及其你提议的对应实际操作。
2. 威慑型指标
震慑型指标就数据使你大吃一惊的那类。例如:有 23,456 个未修补漏洞。但数据自身并沒有前后文或风险考虑到。
Optiv CISO Brain Wrozek 表明,这数据是好是坏,是没问题或是出现意外,升高或是降低?漏洞是新是旧?漏洞在高使用价值资产或是低使用价值资产上?是少许资产上的许多漏洞,或是许多资产上的少许漏洞?全部这种前后文表现都很重要。但遗憾的是,过多这类骇人听闻的安全性数据统计都欠缺前后文。
3. 质性指标
Fractional 创办人、高管、CISO Rob Black 表明,质性指标便是恰当组织行为的绊脚石。许多公司都将风险区划为高、中、低三级。各个领域上看那么做都不对。
“行政机关就始终不容易说这一新项目大家必须 ‘很多’ 资产适用。她们会得出一个实际金额。网络信息安全工作人员也需要这样做。试着得到‘中等水平’确保哪些的。这类质性指标对其它业务流程线彻底没意义。安全部不应该用质性指标。质性指标应当像肘尺那般丢入历史时间的垃圾箱!
4. 一个进攻风险指标走天地
Verodin CISO Brian Contos 表明,应对进攻大家有多安全性?每每我看到用单一指标回应该类问题,我还要想退避三舍,由于该指标通常由已发觉漏洞和已修补漏洞总数测算得到。这一指标能有效地形容你的漏洞修补工作成果,自然,漏洞是务必修补的。但这一指标并无法真真正正叙述你应对进攻的可靠水平。
“安全性水平应由细分化为好几个层面的 [指标考量],例如:我的网络、终端设备、电子邮箱和云安全工具实效性怎样?我的代管安全性服务提供商 (MSSP) 有多遵循她们的服务水平协议书 (SLA)?我的安全性精英团队事情回应实效性有多大?安全性精英团队遵循的各种全过程合理水平怎样?
5. 安全性新项目提高
ZeroNorth 创办人兼首席总裁 Ernesto DiGiambattista 表明,工作人员、运用和道具的提高常被觉得是获得成功的主要表现,但这类评论方法是有缺陷的,由于总数提升不一定相当于安全性情况改进。更主要的考量是安全性新项目空缺的弥补水平,而这时常是根据目前工作人员和软件完成的。自然,一些行业里提高可能是必需的,但仅这一个指标显而易见不可以考量取得成功是否。
6. 根据 CVSS 的风险得分
Kenna Security 总裁大数据工程师 Michael Roytman 表明,仅一小部分漏洞被故意网络黑客运用,但 CVSS 优秀率并沒有体现出这一客观事实。CVSS 优秀率没考虑到漏洞的广泛水平和已经知道漏洞运用的公布易用性。大部分,CVSS 就没将漏洞被用以黑客入侵的概率或危害列入考虑到,但仍有很多企业将之做为漏洞修补工作中的唯一引导。
“安全性精英团队评定什么漏洞需最先修补时,除 CVSS 以外还应考虑到这种漏洞被充分利用的几率。
7. 工作能力生命周期模式集成化 (CMMI) 优秀率
FRSecure 专业服务与自主创新主管 Brad Nigh 表明,公司企业常将 CMMI 当作其安全性新项目各一部分完善水平的类别标识。CMMI 关心有益于尽量不中断过程/新项目地引进新员工的流程和文本文档。CMMI 优秀率的问题取决于,并没考虑公司所具有的资产的使用价值。
因而,得到的是伪造的归属感,是只是由于全过程光滑就觉得安全性的假设,沒有充分考虑这种全过程是不是适用本身自然环境,是不是解决了自身最高的风险/漏洞。
8. 均值检验/反应时间
CriticalStart CTO Randy Watkins 表明,大部分公司将均现场采样 (MTTD) 和平均反应时间 (MTTR) 视作网络信息安全报警调研的具体指标。问题出在‘均值’反应时间的考量上。依据具体必须回应的报警总数,只看均值時间也许会给侵入归类可以用时间设置人为因素限制。
为考虑到进归类和回应用时较长的调研,可以挑选测算负相关现场采样。去除时间轴两边的奇异点可以得到安全性精英团队回应效率的精确主视图。
9. 进行学习培训的职工占有率
Altitude Networks 一同创办人兼 CEO Micheal Coates 表明,进行安全教育培训的职工占有率是个伪指标,只能产生对安全性形势和公司延展性的虚报归属感。安全防范意识是个必不可少的好产品。但假如公司只是由于接纳本年度学习培训的职工占比较高就对本身安全防范意识盲目自信,那真是彻底看错方位。
10. 被泄纪录总数
Contrast Security 一同创办人兼 CTO Jeff Williams 表明,被泄纪录总数是公司和本人了解数据泄漏严重后果的一个十分不妙的方法。网络黑客不泄漏一切一条‘纪录’还可以彻底接手企业全部网络服务器,清除企业账户,催毁全部纪录。
11. 均值常见故障時间
SecurityFirst 总裁商品及对策官 Pankaj Parekh 表明,这一指标很具虚假性,由于当代繁杂大数据中心里,单独部件经常常见故障。考量基础设施建设容错机制工作能力和延展性要更有意义得多,那样就算哪个一部分常见故障了,全部大数据中心经营都不受影响。Netflix 在 2011 年搭建的‘混世魔猴 (Chaos Monkey)’便是根据任意禁止使用某一网络服务器,来认证系统结构的可扩展性,保证总体系统软件能挺过错乱状况。
12. 安全管理对策堵漏的危害总数
Digital Guardian 网络信息安全高级副总裁 Tim Bandos 表明,向董事会报告称各类安全管理对策将千千万万危害堵漏在界限服务器防火墙以外虽然听起来很有满足感,但其实这可谓是最槽糕的指标了。这东西压根是在传递相关网络信息安全新项目实效性的错误报告,并没有真真正正考量企业应对具体影响的延展性,例如勒索病毒或我国扶持的黑客攻击。
“我认为,更强的指标是以原始感柒到检验的均值周期,或是恢复取得成功危害的用时,终究,她们总是会入侵的。
13. 漏洞总数
SecureAuth 对策分析主管 Martin Gallo 表明,普遍失效指标样例之一是去数危害运用、系统软件或互联网的漏洞总数,随后以之评定系统优化水平。漏洞总数自然很重要,但只是数出问题总数而不考虑到潜在性危害和漏洞被充分利用的几率,那便是奔着槽糕风险管理方法来到。
相近的,企业资产重要水平之别,有一些资产便是比其他资产关键。对最重要资产和不那麼关键的资产都运用相同的指标,很有可能致使错乱,也造成不了哪些非常的姿势。
14. 钓鱼攻击连接点击量
Barracuda Networks 安全防范意识高级副总裁 Dennis Dillman 表明, 尽管减少钓鱼攻击连接点击量看上去好像客户观念新项目投资收益率 (ROI) 的优良反映,但不可做为企业项目培训的首要侧重点。关心关键全放到减少点击量处时,管理人员趋向于向客户反复推送十分类似的互联网钓鱼邮件。这类反复能教會客户鉴别鱼叉式互联网中间人攻击,但并无法使客户做好充分的准备解决很有可能遭受的多种进攻。
必须留意的关键指标不仅点击量一个。想能够更好地评定项目培训实效性,能看有几个在仿冒登陆页面上导入了凭据,多少人回应了你的模拟钓鱼,IT 精英团队收到了是多少异常电子邮箱汇报。
15. 漏洞修补日数
XM Cyber 商品高级副总裁 Menacem Shafran 表明,许多企业里,漏洞修补日数全是十分基本和常见的指标。由于非常容易用漏洞扫码器得到。绝大多数公司会追踪本身修补漏洞所需时间,不论是总体用时或是按 CVSS 风险优秀率和资产分类得到的用时。问题是,这一指标并无法真实体现出企业现阶段风险。非关键资产上的低风险得分漏洞也是可以助网络黑客指染至关重要的资产的。
16. 事件处理数
Siemplify 总裁对策官 Nimmy Reichenberg 表明,说到安全运营,我非常讨厌的没用指标是 “事件处理数”。这一指标是非常典型的汇报 “繁忙状况” 而不是 “业务流程状况”。事件处理数无法具现化 SecOps 在了解真真正正需事件处理上的实效性,展现不了解决重要事情以降低危害停留時间的高效率,体现出不来全自动清除乱报以降低需事件处理总数的作用。
17. 每职工减轻事情数
DivvyCloud 一同创办人兼 CTO Chris DeRamus 表明,另一个没用指标是追踪每一个职工所减轻的事情总数。现如今网络信息安全趋势下,企业遭遇的活跃性危害总数动则几百万。一样地,在如此浩大的侵害与漏洞总数眼前,每职工能减轻的事情总数毫无价值,即使最有工作经验、技术性最出众的安全性从业者也无济于事。
只靠人力资源不太可能实时追踪全部活跃性危害并减轻所有安全事故,因此公司企业不应该在这种指标上消耗本身時间。
18. 事情开放时间/完成時间
Capgemini 总裁安全性官兼对策负责人 Joe McMann 表明,尤其让人气愤的一个指标是 “事情完成时间”,这一指标太含糊不清了,变化许多,有过多相互依赖。安全运营的总体目标不应该是尽量快地了断每日任务解决要求,好让请求序列维持为空;安全运营核心并不是客户服务中心。
做为公司防御者,大家的真实总体目标应该是合理回应、详细且深层次的剖析,及其利用学过搭建更积极的防御力趋势。我想要衡量枚举类型全部攻击生命期的能力,想相信该剖析造成了新的机器码、检验或减轻。
19. 安全性新项目操纵覆盖百分数
Cybersecurity GRC 创办人表明,策略中安全性新项目操纵覆盖的百分数是一柄双刃刀。保证策略全方位且覆盖安全性新项目中的控制方法很重要,因此这儿并没有要抵毁该指数的必要性。
但仅有了解且遵循了的策略才可以降低企业风险性,因此还要另一个相对的标准来衡量职工对策略的掌握水平——核查后检测专业知识,及其/或评定策略遵循度。
20. 投资分析师未处理工单
Respond Sofware 客户成功高级副总裁 Chris Triolo 表明,大家不喜欢这一,这就是在比谁迅速了断工单,而不是剖析并修补,或保证不发生问题。这也是经典的 “衡量即进行” 问题。
【文中是51CTO栏目创作者“李少鹏”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章