评判企业安全团队是否强大的八个关键指标

发布日期：2016-12-06

安全人员喜欢用一些比较消极的方法来防御恶意攻击，比如“没有消息就是最好的消息”(此说法源自美国南北战争时期，由于打战死人后，家人都要收到阵亡通知书，所以人们很害怕得到噩耗，相反，如果没有什么消息则证明还活着)，当然，专家并不赞同这种做法，认为这种方法并不切合实际。

IDC(国际数据公司)安全研究副总裁Lindstrom说：“作为安全部门，我们应该对安全事件本身给予更多的关注，而不只是关注我们所写的程序的“位和字节”。

在安全公司中，类似CISO、IT主管之类的安全人员需要向CIO或者团队的业务主管报告一些指标，以展示他们在整个团队中的绩效。但是现在有一个问题，就是大多数安全团队在进行绩效评判的时候，都缺乏明确的指导方针。

Armour首席客户运营和安全主管Jeff Schilling：在对安全指标进行评判时，需要克服一些困难，因为在企业中，并不是每个地方你都能顾及到，而这些地方发生的事情，你不一定会知道。因此就可能导致团队在进行评判时，对一些指标进行错误的评判。正因为有很多不确定性，在进行绩效评估的时候，很难去进行准确的判断。

“当然，现代企业安全管理人员也正在积极研究一些指标来评估职员的绩效。”Joseph Carson(CISSP信息系统安全认证专家)如是说。举个例子，一些企业通过他们处理的安全事件数量来评估绩效。有些企业则通过系统补丁数量，被泄漏的地方数量，以及已识别的企图破坏组织内部系统的病毒数量来对他们的系统漏洞进行评估(也是绩效的一种)。有些企业则采用另外一个指标——已执行的方案数量。

还有一个难题摆在企业面前。就是在处理业务和安全之间的关系时，企业做的并不好。作为安全专家，在制定安全策略时，应该重点关注信息的可靠度和警报效率的关键指标。

Carson进一步解释说:

我们现在衡量指标有很多都不能转化为业务。我们很难想象，一旦发生事故，会对业务造成什么影响?

以下是衡量一个企业网络安全是否强大的八个关键指标：

第一：特权账户持有人

所谓特权账户，就是说该账户具有一般账户所没有的权限。

对从事安全行业的专业人员来说，数据跟踪、尤其是对员工的数据访问跟踪非常重要。我们都知道，通过访问和权限控制这两个功能，我们就可以控制内部员工或者外部伙伴对关键信息的访问权。

作为专业的安全人员，我们应该经常问自己这类问题：是否要创建新用户?企业环境中存在多少个管理员账户?谁可以访问这些账户?

Carson指出：如果企业能详细的记录特权账户使用记录，就表明该企业的安全状况良好。如管理员知道高风险帐户的使用时间，那他们对信息的暴露时间就有一个更好的掌握。

CISO和CIO在与管理层会面时，需要站在业务的角度，告诉领导跟踪数据会对员工的数据访问有很大的帮助。在整个企业中，拥有特权帐户的人是企业风险的中心。通过这些数据，安全负责人就可以了解谁应该接受网络安全培训。

第二：数据风险、精确度和位置

确保数据准确性对企业高管来说是至关重要的，如果你能测量数据的准确性，那你也有能力对与业务相关的可量化数据进行测量。

但这也是一个最难去衡量的一个指标，因为数据总是在变，所以在任何时候都难以确保数据准确。

Carson着重强调了记录数据流的重要性。管理人员需要对APP进行跟踪，以便了解哪些应用需要额外的安全分析。

数据是非常重要的，通过挖掘数据，安全专家可以了解数据是否安全，有多少数据被加密了，数据的准确度有多高，多少信息已经改变以及数据如何流动。例如，如果管理人员说90%数据都在内围，10%的数据流到了外部特定的位置，那么他们就能够更好地确定信息是否到达符合法规和安全策略的位置了。

当然，数据的位置很难测量。而且随着越来越多的员工使用基于云服务的app和移动设备，造成更多的信息流出企业，信息变得不容易被跟踪，这无疑增加了出现风险的概率。

第三：警报的效率和准确性

针对警报效率和准确性，行为攻击检测公司LightCyber副总裁Jason Matlof有话说：

警报量必须有一个指标。大多数企业收到的警报都大大超出了个人分析师能够处理的量，每个企业的警报效率必须要有一个规范，需要走规范化的道路。

为了提高效率，企业需要考虑到收到的安全警报的数量，并按每1000台主机进行划分，这样一来针对不同规模的企业，就能做到警报量的规模化了。效率非常关键，因为它能够让安全分析师从容处理在自己能力范围内的报警数量。虽然警报效率是一个需要记录的重要指标，但其准确性也不能忽视，它具有与警报效率相同的权重。说了这么多，有一个不争的事实我们不得不承认，那就是警报的数量只有在处理关联的信息时才比较重要。

安全警报的准确性表明了它的可用性。并非每条警报都有用，很多警报并没有什么价值，比如有些非常模糊，有些则并不重要。说了这么多，到底警报有效性有没有一种特殊的表示方法呢?答案是肯定的，安全团队可以用有用警报占警报总数的百分比来表示。

第四：响应时间

这里的响应时间指的是安全专家在事件响应模式下花费的时间量，只有在真实事件期间才能测量。这一段时间就叫做——“停留时间”，什么意思?说白了就是攻击从初始状态到显著爆发的这段时间(更准确的说，是介于两个时间点之间的时间)。

本来，大多数企业在响应时间上应该做得更好，他们能够在漏洞造成危害前对其进行捕获，但事实并非如此。由于受到缺乏效率和准确性以及封闭率较差等原因影响，平均“停留时间”大概为5-7个月。如果这个时间以月来衡量的话，这就给黑客留下了足够的时间取得成功。

响应时间不需要根据业务规模来做区分，较短的停留时间减少了黑客对企业造成损害的可能性。响应时间越小，就表明企业的安全策略越强。

第五：关闭率

关闭率显示的是已经完全解决的安全警报和事件的数量。

这个指标与警报准确性密切相关，它会对如何处理事情产生深远的影响。在企业的系统或者分析不够准确，并且警报不能正确关闭的情况下，这些警报可能继续对网络构成威胁。如果企业有关闭率个指标，就应该努力将这个指标提升至100%。

第六：安全价值比

根据Lindstrom的观点，安全价值比等于安全成本总价值(以美元计)除以IT和信息资产的总价值(以美元计)。

对企业来说，这是一个非常重要的衡量指标。因为企业在开展业务时，总是期望以最小的成本获得最大的价值。安全管理人员也希望通过使用更少的人或钱和时间去做更多的事情，因为他们也希望以最低的成本，创建最高水平的风险管理。

Lindstrom说：在面对效率和成本之间的冲突时，企业可能需要进行权衡，才能做出更有利于企业的决策。比如说，就算用户没有进行任何验证，安全部门也可以让用户创建属于他们自己的账户(成本降下来了);但是，问题也随之而来，由于创建、修改以及删除账户的速率加快，身份管理就弱化了(效率降低)，企业在这种情况下就不得不进行权衡。

第七：成本和损失

Lindstrom说，遭遇入侵后的损失需要用成本和损失来计量。这里的损失包括事件响应和恢复的时间成本，或者像监管成本、法律费用之类的货币成本。

“我们都不喜欢自己寻找方法来量化风险”，但对CIO来说，就不一样了，在他们看来，衡量IT操作环境的价值是非常重要的，他们可以通过各种记录来对网络活动进行分级。

他们还可以按照地理位置、技术平台、业务单元或其他方法对这类信息做进一步的细分。随着时间的推移，安全人员通过将数据池里面的数据进行比较，就可以做一个较为明确的安全预算。

第八：遭遇成功入侵的量

虽说对每个安全部门处理的警报数量进行记录非常重要，但对黑客成功攻击的数量进行跟踪也是同等重要。在涉及到安全漏洞时，不同规模和类型的业务都有不同的暴露因子。相对来说，较大的企业，如金融和医疗行业的企业，由于更多的数据需要处理，因此更容易受到攻击。

安全管理人员应该对遭遇成功入侵的数量进行跟踪，这样就会对安全有效性与时间之间的关系有一个把握。在理想情况下，这项指标应随着策略的改进而降低。

评判企业安全团队是否强大的八个关键指标

数字证书

技术支持

关于沃通

旗下网站