網(wǎng)絡(luò)安全領(lǐng)域20種最差勁指標(biāo)
時間:2019-09-30
安全主管可以根據(jù)各項指標(biāo)作出決策�����,只要指標(biāo)不屬于以下糟糕指標(biāo)范疇即可�。
網(wǎng)絡(luò)安全權(quán)威人士苦心規(guī)勸十來年之后,CISO 需從業(yè)務(wù)角度以數(shù)據(jù)說話的理念終于深入人心���,各項測量指標(biāo)意識最終確立���。無論是合理化開支���、量化風(fēng)險,還是爭取高管支持安全運營����,CISO 的討論中如今滿是儀表板、圖表和關(guān)鍵業(yè)績指標(biāo) (KPI)����。唯一的問題是什么呢?安全團(tuán)隊及其主管使用的大量數(shù)據(jù)��,其實���,并不十分有用�����。
事實上�,很多測量出來的數(shù)據(jù)都是無用指標(biāo)�����,沒有上下文,數(shù)據(jù)量大�����,且缺少分析����,還往往測得錯誤的觀察項而無法獲悉真正的風(fēng)險。Edge 最近向業(yè)內(nèi)多位安全專家咨詢了他們最不喜歡的指標(biāo)都有哪些��,結(jié)果���,專家們列出來的清單有點長。下面 20 條就是日夜與安全為伍的專業(yè)人士給出的網(wǎng)絡(luò)安全領(lǐng)域最糟糕指標(biāo)�。
1. 太過復(fù)雜的指標(biāo)
Cobalt.io 首席策略官 Caroline Wong 表示,在你拿出依托復(fù)雜計算模型的安全指標(biāo)前�����,無論該指標(biāo)是 FAIR 這種正式的東西�����,還是你內(nèi)部使用的客戶安全評分���,你都得考慮你的受眾對該指標(biāo)背后計算模型的熟悉或不熟悉程度���。如果受眾不熟悉你得出該指標(biāo)的方法����,你會發(fā)現(xiàn)自己更忙于解釋和捍衛(wèi)自己方法的正確性����,而不是討論該安全指標(biāo)本身、其含義���,以及你建議的相應(yīng)操作���。
2. 震懾型指標(biāo)
震懾型指標(biāo)就數(shù)字讓你大吃一驚的那種。比如:有 23,456 個未修復(fù)漏洞���。但數(shù)字本身并沒有上下文或風(fēng)險考慮���。
Optiv CISO Brain Wrozek 表示,這數(shù)字是好是壞�,是正常還是意外,上升還是下降��?漏洞是新是舊?漏洞在高價值資產(chǎn)還是低價值資產(chǎn)上��?是少量資產(chǎn)上的很多漏洞�����,還是很多資產(chǎn)上的少量漏洞�?所有這些上下文表征都很重要。但不幸的是�,太多這種聳人聽聞的安全統(tǒng)計數(shù)據(jù)都缺乏上下文。
3. 質(zhì)性指標(biāo)
Fractional 創(chuàng)始人���、高管�、CISO Rob Black 表示��,質(zhì)性指標(biāo)就是正確組織行為的攔路虎�����。很多企業(yè)都將風(fēng)險劃分為高���、中、低三級�。各個方面上看這么做都錯了�����。
“財政部門就永遠(yuǎn)不會說這個項目我們需要 ‘大量’ 資金支持�。他們會給出一個具體數(shù)額�。網(wǎng)絡(luò)安全人員也應(yīng)該這么做。嘗試獲得‘中等’保障什么的����。這種質(zhì)性指標(biāo)對其他業(yè)務(wù)線完全沒意義。安全部門不應(yīng)該用質(zhì)性指標(biāo)�����。質(zhì)性指標(biāo)應(yīng)該像肘尺那樣扔進(jìn)歷史的垃圾桶�!”
4. 一個攻擊風(fēng)險指標(biāo)走天下
Verodin CISO Brian Contos 表示,面對攻擊我們有多安全����?每當(dāng)我看到用單一指標(biāo)回答此類問題,我都想要退避三舍���,因為該指標(biāo)通常由已發(fā)現(xiàn)漏洞和已修復(fù)漏洞數(shù)量計算得出�。這個指標(biāo)能很好地描述你的漏洞修復(fù)工作成效�����,當(dāng)然,漏洞是必須修復(fù)的�。但這個指標(biāo)并不能真正描述你面對攻擊的安全程度。
“安全程度應(yīng)由細(xì)分為多個方面的 [指標(biāo)衡量]���,比如:我的網(wǎng)絡(luò)����、終端�����、電子郵件和云安全工具有效性如何�����?我的托管安全服務(wù)提供商 (MSSP) 有多遵守他們的服務(wù)水平協(xié)議 (SLA)�����?我的安全團(tuán)隊事件響應(yīng)有效性有多高�?安全團(tuán)隊遵循的各項過程有效程度如何����?”
5. 安全項目增長
ZeroNorth 創(chuàng)始人兼總裁 Ernesto DiGiambattista 表示����,人員���、應(yīng)用和工具的增長常被認(rèn)為是成功的表現(xiàn)��,但這種評價方式是有缺陷的�,因為數(shù)量增加未必等同于安全狀況改善���。更重要的考慮是安全項目空白的填補程度����,而這常常是通過現(xiàn)有人員和工具實現(xiàn)的����。當(dāng)然,某些領(lǐng)域里增長可能是必要的����,但僅這一個指標(biāo)顯然不能衡量成功與否。
6. 基于 CVSS 的風(fēng)險評分
Kenna Security 首席數(shù)據(jù)科學(xué)家 Michael Roytman 表示,僅一小部分漏洞被惡意黑客利用�����,但 CVSS 得分并沒有反映出這一事實�。CVSS 得分沒考慮漏洞的普遍程度和已知漏洞利用的公開可用性?;旧希珻VSS 就沒將漏洞被用于黑客攻擊的可能性或威脅納入考慮��,但仍有很多公司將之作為漏洞修復(fù)工作的唯一指引�。
“安全團(tuán)隊評估哪些漏洞需首先修復(fù)時,除 CVSS 之外還應(yīng)考慮這些漏洞被利用的概率���。”
7. 能力成熟度模型集成 (CMMI) 得分
FRSecure 專業(yè)服務(wù)與創(chuàng)新總監(jiān) Brad Nigh 表示�,公司企業(yè)常將 CMMI 看作其安全項目各部分成熟程度的分類標(biāo)簽����。CMMI 關(guān)注有利于盡可能不中斷過程/項目地引入新員工的過程和文檔。CMMI 得分的問題在于����,并沒有考慮到企業(yè)所擁有的資產(chǎn)的價值。
因此�����,得出的是虛假的安全感���,是僅僅因為過程平滑就認(rèn)為安全的假定�,沒有考慮到這些過程是否適用于自身環(huán)境��,是否解決了自己最大的風(fēng)險/漏洞�����。
8. 平均檢測/響應(yīng)時間
CriticalStart CTO Randy Watkins 表示��,多數(shù)企業(yè)將均檢測時間 (MTTD) 和平均響應(yīng)時間 (MTTR) 視為網(wǎng)絡(luò)安全警報調(diào)查的實際指標(biāo)����。問題出在‘平均’響應(yīng)時間的衡量上。根據(jù)實際需要響應(yīng)的警報數(shù)量����,只看平均時間可能會給入侵分類可用時間設(shè)置人為上限。
為考慮進(jìn)分類和響應(yīng)耗時較長的調(diào)查�,可以選擇計算中位檢測時間。剔除時間線兩端的奇點可以獲得安全團(tuán)隊響應(yīng)效能的準(zhǔn)確視圖���。
9. 完成培訓(xùn)的員工占比
Altitude Networks 共同創(chuàng)始人兼 CEO Micheal Coates 表示�,完成安全培訓(xùn)的員工占比是個偽指標(biāo),只會帶來對安全態(tài)勢和企業(yè)彈性的虛假安全感��。安全意識是個不可或缺的好東西���。但如果企業(yè)僅僅因為接受年度培訓(xùn)的員工占比高就對自身安全意識盲目自信�,那可真是完全看錯了方向��。
10. 被泄記錄數(shù)量
Contrast Security 共同創(chuàng)始人兼 CTO Jeff Williams 表示���,被泄記錄數(shù)量是公司和個人理解數(shù)據(jù)泄露嚴(yán)重性的一個非常糟糕的方式����。黑客不泄露任何一條‘記錄’也可以完全接管公司所有服務(wù)器�,清空公司賬戶,摧毀所有記錄�。
11. 平均故障時間
SecurityFirst 首席產(chǎn)品及策略官 Pankaj Parekh 表示,這個指標(biāo)很具誤導(dǎo)性�����,因為現(xiàn)代復(fù)雜數(shù)據(jù)中心里��,單個組件常會故障。衡量基礎(chǔ)設(shè)施容錯能力和彈性要有意義得多���,這樣即便哪個部分故障了�����,整個數(shù)據(jù)中心運營也不受影響。Netflix 在 2011 年構(gòu)建的‘混世魔猴 (Chaos Monkey)’就是通過隨機禁用某個服務(wù)器�,來驗證各個系統(tǒng)的健壯性,確保整體系統(tǒng)能挺過混亂情況���。
12. 安全控制措施封堵的威脅數(shù)量
Digital Guardian 網(wǎng)絡(luò)安全副總裁 Tim Bandos 表示���,向董事會報告稱各項安全控制措施將千千萬萬個威脅封堵在邊界防火墻之外固然聽起來很有成就感,但實際上這可謂是最糟糕的指標(biāo)了��。這東西根本是在傳達(dá)有關(guān)網(wǎng)絡(luò)安全項目有效性的錯誤信息�����,并未真正衡量公司面對實際威脅的彈性���,比如勒索軟件或國家支持的網(wǎng)絡(luò)攻擊��。
“在我看來�����,更好的指標(biāo)是從初始感染到檢測的平均周期時間��,或者平復(fù)成功威脅的耗時�����,畢竟����,他們總會侵入的。”
13. 漏洞數(shù)量
SecureAuth 策略研究總監(jiān) Martin Gallo 表示�����,常見無效指標(biāo)樣例之一是去數(shù)影響應(yīng)用�、系統(tǒng)或網(wǎng)絡(luò)的漏洞數(shù)量,然后以之評判系統(tǒng)安全程度��。漏洞數(shù)量當(dāng)然很重要�����,但僅僅數(shù)出問題數(shù)量而不考慮潛在影響和漏洞被利用的概率,那就是奔著糟糕風(fēng)險管理去了�����。
類似的���,公司資產(chǎn)關(guān)鍵程度有別����,有些資產(chǎn)就是比別的資產(chǎn)重要����。對最重要資產(chǎn)和不那么重要的資產(chǎn)都應(yīng)用同樣的指標(biāo)����,可能導(dǎo)致混亂,也產(chǎn)生不了什么特別的動作�����。
14. 網(wǎng)絡(luò)釣魚鏈接點擊率
Barracuda Networks 安全意識副總裁 Dennis Dillman 表示��, 雖然降低網(wǎng)絡(luò)釣魚鏈接點擊率看起來像是用戶意識項目投資回報率 (ROI) 的良好體現(xiàn)�,但不應(yīng)作為公司培訓(xùn)項目的主要關(guān)注點�����。關(guān)注重點全放在降低點擊率上時���,管理員傾向于向用戶重復(fù)發(fā)送非常相似的網(wǎng)絡(luò)釣魚郵件。這種重復(fù)能教會用戶識別魚叉式網(wǎng)絡(luò)釣魚攻擊�,但并不能使用戶做好準(zhǔn)備應(yīng)對可能遭遇的各種攻擊。
需要注意的重要指標(biāo)不止點擊率一個�。想更好地評估培訓(xùn)項目有效性,可以看有多少人在假冒登錄頁面上輸入了憑證���,多少人回復(fù)了你的模擬釣魚�,IT 團(tuán)隊收到了多少可疑電子郵件報告����。
15. 漏洞修復(fù)天數(shù)
XM Cyber 產(chǎn)品副總裁 Menacem Shafran 表示,很多公司里�,漏洞修復(fù)天數(shù)都是非常基礎(chǔ)和常用的指標(biāo)�����。因為很容易用漏洞掃描器獲得。大部分企業(yè)會跟蹤自身修復(fù)漏洞所需時長�����,無論是整體耗時還是按 CVSS 風(fēng)險得分和資產(chǎn)分組得出的耗時��。問題是�,這個指標(biāo)并不能真正反映出公司當(dāng)前風(fēng)險。非關(guān)鍵資產(chǎn)上的低風(fēng)險評分漏洞也是可以助黑客染指更為重要的資產(chǎn)的����。
16. 處理事件數(shù)
Siemplify 首席策略官 Nimmy Reichenberg 表示,說到安全運營�,我最不喜歡的無用指標(biāo)是 “處理事件數(shù)”。這個指標(biāo)是典型的報告 “忙碌情況” 而不是 “業(yè)務(wù)情況”��。處理事件數(shù)未能具現(xiàn)化 SecOps 在理解真正需處理事件上的有效性�����,呈現(xiàn)不了處理關(guān)鍵事件以減少威脅駐留時間的效率��,反映不出自動排除誤報以減少需處理事件數(shù)量的功效���。
17. 每員工緩解事件數(shù)
DivvyCloud 共同創(chuàng)始人兼 CTO Chris DeRamus 表示,另一個無用指標(biāo)是跟蹤每個員工所緩解的事件數(shù)量�����。當(dāng)今網(wǎng)絡(luò)安全態(tài)勢下,公司面臨的活躍威脅數(shù)量動輒上百萬���。同樣地�����,在如此龐大的威脅與漏洞數(shù)量面前���,每員工能緩解的事件數(shù)量毫無意義,即使最有經(jīng)驗�、技術(shù)最精湛的安全從業(yè)人員也無濟(jì)于事。
僅靠人力不可能實時追蹤所有活躍威脅并緩解全部安全事件�,所以公司企業(yè)不應(yīng)該在這些指標(biāo)上浪費自身時間。
18. 事件開放時間/完結(jié)時間
Capgemini 首席安全官兼策略主管 Joe McMann 表示�,特別令人生氣的一個指標(biāo)是 “事件完結(jié)時長”,這個指標(biāo)太含混不清了����,變數(shù)很多,有太多依賴關(guān)系���。安全運營的目標(biāo)不應(yīng)該是盡可能快地了結(jié)任務(wù)處理請求�,好讓請求隊列保持為空;安全運營中心不是客服中心����。
作為企業(yè)防御者,我們的真正目標(biāo)應(yīng)該是有效響應(yīng)�、完整且深入的分析,以及利用所學(xué)構(gòu)建更主動的防御態(tài)勢��。我想要衡量枚舉整個進(jìn)攻生命周期的能力��,想確信該分析產(chǎn)生了新的特征碼��、檢測或緩解����。
19. 安全項目控制覆蓋百分比
Cybersecurity GRC 創(chuàng)始人表示,策略中安全項目控制覆蓋的百分比是一柄雙刃劍���。確保策略全面且覆蓋安全項目中的控制措施很重要,所以這里并不是要貶低該指標(biāo)的重要性�����。
但只有理解且遵循了的策略才能減少公司風(fēng)險,所以還需要另一個相應(yīng)的指標(biāo)來衡量員工對策略的理解程度——審查后測試知識��,以及/或評估策略遵從度�����。
20. 分析師待處理工單
Respond Sofware 客戶成功副總裁 Chris Triolo 表示�,我們討厭這個,這就是在比誰更快了結(jié)工單���,而不是分析并修復(fù)�����,或確保不出現(xiàn)問題����。這是典型的 “衡量即完成” 問題�����。
“如果我們衡量已關(guān)閉工單的數(shù)量����,你要么得到大量已處理工單����,要么衡量內(nèi)含真正需緩解事件的工單數(shù)量�����,但是分析和修復(fù)的質(zhì)量才是有價值的指標(biāo)�。”
來源:安全牛
在線咨詢
在線咨詢
0371-63319761