|
|
51CTO旗下网站
|
|
移步端
创造专栏

很快CISO要求关怀的七个安全指标

顶企业安全预算之增强面临“不可持续”风险,CISO有道是开始重视哪些安全指标?

笔者:安全牛| 2020-03-23 10:59

顶企业安全预算之增强面临“不可持续”风险,CISO有道是开始重视哪些安全指标?

CISO最具权威性的上班之一就是选择正确的指标来量化企业网络安全体系的力量和附加值,这是集团网络安全策略和频率的根基。如果说KPI是一种病,这就是说,没有什么比选择错误的KPI指标更加可怕的作业了,尤其是集团安全预算开始紧张的黑天鹅时期。

CISO

网络安全预算“无厘头”增强已经不可持续

京信任需要钱、威胁情报需要钱、漏洞管理要求钱、下一代防火墙需要钱、下一代SOC/SOAR/SIEM要求钱、数量防泄漏需要钱、勒索软件需要钱、等保合规需要钱、安全意识培训需要钱……该署还都是肉眼可见的、优先级很高的“烧钱项”。

但是不少安全主管,甚至是出名跨国公司或上市公司的平安主管,村里的结算,都无法完整覆盖多个安全第一投资领域。前不久埃森哲之一份CISO告知给出了逐年递增的平安预算中,“最烧钱”的十七个安全技术,行如下:

CISO

数量来自:埃森哲集团安全主管2020领导力报告

正如埃森哲告诉中所指出的,顶安全投入持续增长与安全“长效”不成比例的时候,集团安全预算年复一年的“无厘头”增强已经不可持续,CISO必须拿出有竞争力的指标为预算正名,否则“没米下锅”的CISO名将难以摆脱“救火队员“的荣耀角色。

第一CISO要认识到安全预算是个主观命题,尤其是对于安全预算在任何IT开发占比显然偏低的中华企业,前途很长一段日子,安全预算之增强都是大势所趋。但是,一度根本问题不能不得到解决:集团安全预算往往需要借助“想哭病毒”、“删库跑路”等等的第一安全问题来与企业管理层和董事会达成阶段性“谅解”,而不是通过可运营可跨部门沟通的平安指标。

虽然多年以来,集团安全领导已经采取过不少指标。但是与工作单位和管理层基于指标的关联机制却并未通畅起来。诸多高管和董事会成员经常会抱怨说,该署办法未能帮助她们丰硕了解或理解安全机关的显示、改善程度以及不足的处,安全的民族性和可测量性依然非常糟糕。

安全公司SpearTip总理兼首席执行官Jarrett Kolthoff商讨:

CISO们送首席执行官和董事会的报告里包含太多技术术语,例如严重漏洞和补丁数量,但董事会其实并不了解他在说什么。

她补说:

该署数字对于CISO可能非常有用,但是CISO要求基于安全指标和专业来提供背景信息,以便董事会了解风险以及需要在安全地方展开多少投资。

包括Kolthoff在内的网络安全专家认为,对于不同行业和范围企业之CISO来说,在衡量安全工作成效和政策方面,并没有一套放的所在皆准的平安指标。但是,有一点可以肯定的是:有部分安全指标的结合,对于绝大多数企业来说,都要求格外青睐。

五个对集团依然重要的“旧”安全指标

虽然不同地区、不同层面和不同行业之集团面临的平安威胁优先级不尽相同,但是在制定有效的新安全指标方面,有着共同诉求和基本条件:

安全指标需要与安全损失和工作目标挂钩,且能够容易把业务单位或者董事会所知道。

尽管“站在工作目标角度”评估安全性的新指标体系是那时CISO们关注的紧俏,但资深的CISO和安全管理顾问表示,过去安全团队使用的许多安全指标依然很有价值,CISO有道是考虑围绕这些指标添加其他上下文内容。

1. 平均恢复时间MTTR

Harmer根据组织已确定的风险意愿,测量受事件影响之客户比例,安全团队解决问题的进度以及该时间是否达到、超过或有限目标时间。根据埃森哲2020年CISO领导力报告,在滋长检测响应速度,调减MTTR地方,CISO对新技术采用的优先级如下:

可以看到,SOAR和AI是CISO极为重视的两个安全技术,而且二者具有代表性,AI在高速检测(MTTD)地方有优势,而SOAR则是缩短恢复时间之极限方案,故此SOAR和AI对于安全领导来说,只有双剑合璧才能达成最佳安全指标。

2. 平均检测时间MTTD

诸如平均检测时间(权衡从一次成功攻击到检测出这段时间所花费的年华)等等的指标,可以举报企业安全体系之运作状况并可以拓展跟踪改善。该署指标有助于CISO与最高管理层讨论需要展开哪些投资才能实现改进。另外,这样的心地标准鼓励持续改善。

3. 渗透测试

与模拟网络钓鱼攻击一样让渗透测试相关指标能够表明组织抵御此类事件的力量以及可以随时间推移跟踪改进的水准。这是很多CISO以及高管和董事会成员所知道和强调的指标。

4. 漏洞管理

CISO可以考虑开发漏洞管理的指标,以用于报告其漏洞管理程序的行之有效,不应当只报告已完成的补丁程序的多寡,而应当依据组织的平安状况来衡量安全机关管理漏洞的力量,故而最大程度地表达指标的企图——不是中心修补100个低风险补丁,而是要确保尽快修补风险最大的尾巴。

5. 安全审计

一部分CISO采用了NIST、ITIL和互联网安全中心(CIS)框架开发了计分卡,这突出有助于快速展示安全工作之效应和拓展。

放弃4个指标

随着用于考量企业安全能力、有效的性指标的出现,家建议减少甚至放弃使用以下安全评估指标:

1. 攻击次数

CISO辛普森以为:

没有人关心您是否一个月内阻止了10万次攻击,这好比说,如果您的收益为100%,那我为什么还要再送您100万港币呢?

另外,集团面临的威慑不是阻碍10万次低级别攻击,而是要阻止可能行使企业关门之沉重攻击。

2. 补丁完成数

原因同上。

3. 确认的尾巴

原因同上。

4. 把阻止的艾滋病毒

原因同上。

尽管上述四个指标对于CISO这样一来是对已完成工作之里间衡量,或者对于确认组织是否达到合规要求有他意思,但它们本身几乎没有价值,而且可能会使企业陷入一种错误的荣誉感。

要求关怀的两个新指标

一部分新兴的平安指标往往不在CISO的雷达图内,例如“人口角度”,例如安全牛曾经推荐过网络安全的副一关键指标:MTTH(平均强化时间)。

1. MTTH(平均强化时间)

MTTH是指漏洞披露到武器化和市场化形成巨大杀伤力之前的这段时间窗口内,集团安全团队如何缩短漏洞缓解和安全加固措施的调度周期。下一代企业网络安全有两个主要“拉手”,一边企业要求缩短“反射弧”,大幅增长检测和响应速度,缩短驻留时间,这也是xDR相关产品和概念持续火爆的由来;一边,在预防阶段,要求巨大缩短强化时间,浮动与攻击者龟兔赛跑的坎坷局面,但这一点目前受到的青睐还缺乏。

2. 职工安全培训率

根据埃森哲之报告,网络安全优秀领导和一般领导者对培训之青睐程度有重点差异,副上图的检察数据可以看出,对于新的安全工具和产品,超过30%的可以领导的团体培训率超过75%,只有9%的一般领导者的团体获得超过75%的塑造率。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,瞧该作者更多好文 

【编纂推荐】

  1. 远程办公十大网络安全意识隐患
  2. 很快漏洞管理的六个锦囊
  3. 网络安全二十年关键词统计,CISO的第二次角色转变
  4. 新冠疫情中网络安全的危与飞机
  5. 必发娱乐手机版开放源代码漏洞激增50%
【义务编辑: 赵宁宁 TEL:(010)68476606】

点赞 0
  • CISO  网络安全  漏洞
  • 分享:
    大家都在看
    猜你喜欢
  • 
       
       
       
        
       

    <u id="0afbe9f3"></u>


  • <em id="058ec852"></em>