图片来源:darkreading.com

安全专家评述如何选择关键指标,反映安全团队运营效率及风险降低程度。

衡量安全运营绩效指标、威胁统计数据和风险水平,是高级安全主管管理网络安全项目的核心任务。正确的安全指标可帮助CISO及其助理规划出安全路线图,跟踪技术及战略进展,证明投资回报率,以及向董事会解释额外开支的必要性。

然而,选择正确的安全指标和正确运用这些指标,却是说起来容易做起来难。资深安全人士一直在寻找正确的衡量标准组合,为安全团队和业务利益相关者提供切中要害的安全洞察。针对安全项目如何充分利用安全指标的问题,专家们给出了以下建议。

别陷入“那又怎样?”型指标

“用警报/通知数量之类简单统计数据代替有效指标的情况太常见了。这个月某个供应商端点解决方案产生了‘X’个警报或阻止了‘Y’起事件——这种报告毫无价值。工作量可不是衡量有效性的天然指标。”

“会出现这种风格的警报,常常是为了合理化开支:有人刚刚购买并部署了这个工具,所以我们必须显示出这个工具在用、在产生活动,不管这些活动是否有用。这就是个‘那又怎样’型的指标,因为你根本不能靠它产出关于威胁的任何洞察。”

——Joe McMann,Capgemini首席安全官兼战略主管

利用大数据工具和更多数据源

“随着数据挖掘、数据湖技术的出现,以及其他技术的发展,指标可以自多个数据源导出。我们可以挖掘数据以了解当前运营,还可以利用数据简化流程,增加有效性。对结构化数据的依赖不再成为问题。很多客户已经具备挖掘数据并创建有用指标的能力,这一能力还将继续扩展并增强指标。

“指标现在被用于跟踪进展、验证改善,某些情况下还用于识别和跟踪服务降级。通过提供清晰明确的结果数据分析,指标也可用于验证传言。”

--James Bundy,Optiv Security风险管理实践总监

考虑“成熟度”指标

“我们发现,采用五分制的成熟度指标,是每个公司都应该提供的通用指标。应用到业务过程上时,大多数业务主管都采用1~5分的能力成熟度模型。在衡量网络安全项目当前及目标状态的时候,他们也会运用这一模型呈现优势和机会所在。”

“成熟度还可帮助CISO将对话导引到正确的方向,比如安全投资和计划对于成熟度水平的整体提升有何作用,是怎么增强特定薄弱环节的。有用的指标还有其他几种,但成熟度似乎是公司企业的通用指标。”

--John Hellickson,Coalfire网络战略首席级高管顾问

将指标映射到业务效果

“当前很多衡量指标依然关注技术效果或合规效果。这些指标对业务效果一带而过,很多情况下其间联系很弱。随着安全日渐成为愈加重要的日常业务职能,公司企业需确保技术安全风险贴合业务风险,安全活动以业务效果为导向。”

--Brandon Hoffman,Netenrich首席信息安全官

基于公司目标和受众定制指标

“每家公司都很独特,所以指标也必须根据公司目标和需要这些信息的具体管理层而制定。尽管有些指标能够给出当前安全项目有效性的重要反馈,只关注少数数据点还是会存在盲区。”

“全面有效的网络安全项目涉及公司方方面面的交互,包括技术、业务和监管。没有哪一个指标能够覆盖所有领域。”

--Joe Urbaniak,Tier 1 Cyber首席运营官兼首席信息安全官

向董事会呈现进展

“董事会各不相同,但通常都喜欢看到进展。他们想要了解自身风险暴露的方向。尽量避免FUD(恐惧、不确定、怀疑),专注底线的重要方面。防火墙阻止的连接数量或杀毒软件检测到的病毒数量无关紧要。与关键业务过程防护及其改善相关的指标,才是董事会想要知道东西。如果你手上有指标围绕风险缓解开支和减少风险可能带来的成本节省,向董事会呈报上去。”

“指标应该用于讲述项目或新过程的效果。我们实现了X产品以降低此潜在后果的影响。对新控制措施的测试将影响降低了Y。这降低了为技术而技术的可能性。正在产生效果和推动改进。”

--James Bundy,Optiv Security风险管理实践总监

指标支持董事层叙述,而不是相反

“董事会和首席级高管对运营层面的安全指标毫无兴趣。他们感兴趣的是贴合业务计划的指标。高级网络事件趋势可能会引起他们的一点点兴趣,但是需要配合‘讲故事’。人都喜欢听故事,所以,精心组织你的叙事,引起非网络安全专家的共鸣。”

“讲讲同行公司是怎么被勒索软件盯上的,然后强调你用来缓解自家企业勒索软件风险的控制措施。中间闪现几个相关指标来支持你的故事,但要记住,这些数据只是配菜,而不是主菜。”

--Rick Holland,Digital Shadows首席信息安全官兼副战略总裁

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。