在首席信息安全官試圖想辦法向高管證明投資回報(bào)率以及提高安全操作的整體效能時(shí)，正確的指標(biāo)可以幫助推動(dòng)他們的工作。作為一個(gè)行業(yè)，信息安全已經(jīng)非常成熟，很多企業(yè)安全領(lǐng)導(dǎo)都發(fā)現(xiàn)了創(chuàng)新的措施來追蹤效能以及推動(dòng)不斷改善。本文中我們介紹了10個(gè)最佳指標(biāo)來幫助企業(yè)證明安全有效性、尋求更大預(yù)算以及推動(dòng)安全人員提高他們的日常工作。

檢測和響應(yīng)的平均時(shí)間

也被稱為平均知道時(shí)間(MTTK)，平均檢測時(shí)間(ATD)衡量問題(攻擊或配置問題)出現(xiàn)以及安全團(tuán)隊(duì)發(fā)現(xiàn)有問題之間的時(shí)間。

Lockheed Martin公司網(wǎng)絡(luò)主管Greg Boison表示：“通過減少ATD，安全運(yùn)營中心(SOC)人員有更多時(shí)間來評(píng)估情況，并決定最佳做法來使企業(yè)完成自己的使命，同時(shí)防止損害企業(yè)的資產(chǎn)。”

同時(shí)，平均解決或響應(yīng)時(shí)間則測量安全團(tuán)隊(duì)適當(dāng)回應(yīng)問題和緩解風(fēng)險(xiǎn)的時(shí)間。

“平均響應(yīng)時(shí)間(ATTR)可以讓SOC管理人員知道他們是否在迅速和正確地響應(yīng)違反安全政策的行為，”Boison表示，“通過降低ATR，SOC人員可以減少安全違反行為的影響。”

持續(xù)追蹤這兩個(gè)指標(biāo)可以說明安全計(jì)劃是否在改善或者惡化，理想情況下，應(yīng)該逐漸改善。 

誤報(bào)率

追蹤誤報(bào)率(FPRR)可以幫助檢查低級(jí)別分析師的工作，確保他們作出的判斷會(huì)自動(dòng)過濾誤報(bào)安全事件數(shù)據(jù)，然后再將篩選后的數(shù)據(jù)發(fā)送給響應(yīng)團(tuán)隊(duì)的其他人。

“盡管部署了自動(dòng)過濾，SOC團(tuán)隊(duì)必須做出最后決定，即他們警告的事件是否是真正的威脅，”Boison稱，“誤報(bào)會(huì)讓事件處理者和更高級(jí)別管理人員增加已經(jīng)繁重的工作，如果過量的話，可能會(huì)降低他們的警惕度。”

高誤報(bào)率可能說明需要對(duì)低級(jí)別分析師進(jìn)行更好的培訓(xùn)，或者更好地調(diào)整分析工具。

“很多時(shí)候低級(jí)別分析師缺乏對(duì)事件原因的良好理解與可實(shí)現(xiàn)，而讓誤報(bào)發(fā)送到高級(jí)別分析師，”Cyberreason公司首席執(zhí)行官Lior Div表示，“這導(dǎo)致了昂貴的資源浪費(fèi)。” 

 #p#

平均修復(fù)軟件漏洞時(shí)間

無論是網(wǎng)絡(luò)、移動(dòng)、云計(jì)算還是內(nèi)部應(yīng)用程序，構(gòu)建定制軟件的企業(yè)都應(yīng)該衡量從發(fā)現(xiàn)漏洞到修復(fù)漏洞的時(shí)間。

“這個(gè)指標(biāo)可以幫助企業(yè)了解生產(chǎn)軟件中的漏洞情況，”Denim Group公司負(fù)責(zé)人John Dickson表示“然而，大多數(shù)企業(yè)不會(huì)內(nèi)部公布這一指標(biāo)，而導(dǎo)致最嚴(yán)重的應(yīng)用程序漏洞(例如SQL注入)很長時(shí)間在生產(chǎn)中。”

實(shí)際上，這個(gè)數(shù)據(jù)可能被沒有發(fā)生的修復(fù)所歪曲，特別是在開發(fā)過程中。因此，企業(yè)應(yīng)該追蹤報(bào)告的關(guān)鍵漏洞數(shù)量和已經(jīng)修復(fù)的漏洞數(shù)量，這將會(huì)顯示靜態(tài)分析對(duì)企業(yè)的有效性。

Cigital公司安全舉措主管Caroline Wong表示：“為了獲得這個(gè)指標(biāo)，軟件安全團(tuán)隊(duì)必須進(jìn)行靜態(tài)分析，計(jì)算最初發(fā)現(xiàn)的漏洞數(shù)量，并計(jì)算實(shí)際修復(fù)的漏洞數(shù)量。只有開發(fā)人員真正修復(fù)軟件漏洞，才可能提高代碼的質(zhì)量。” 

漏洞修復(fù)延遲

漏洞修復(fù)延遲也可以顯示安全計(jì)劃的有效性。

“我們需要證明漏洞修復(fù)的進(jìn)展，對(duì)于擁有成千上萬設(shè)備的很多企業(yè)來說，這可能是一個(gè)艱巨的任務(wù)。他們應(yīng)該專注于關(guān)鍵漏洞，并報(bào)告修復(fù)延遲情況，”咨詢公司W(wǎng)GM Associates安全做法負(fù)責(zé)人Scott Shedd表示，“報(bào)告我們已經(jīng)修復(fù)的漏洞，哪些還未修復(fù)，以及發(fā)現(xiàn)了多少新的漏洞。” 

事件響應(yīng)量

追蹤事件響應(yīng)的數(shù)量可以幫助首席信息安全官確定事件被發(fā)現(xiàn)和解決的情況。

“這可以顯示事件正在進(jìn)行修復(fù)以及根本原因分析，”WGM公司Shedd表示，“這對(duì)于持續(xù)改進(jìn)信息安全計(jì)劃非常重要。” 

已充分了解的事故率

這個(gè)指標(biāo)也可以幫助了解事件響應(yīng)和安全分析師的效率。

Cybereason的Div表示：“在安全事件中，安全團(tuán)隊(duì)對(duì)多少事件有著全面的了解，造成警報(bào)的原因，其影響?”

與整體事故數(shù)量相比，這個(gè)數(shù)據(jù)越低，說明需要更多人力資源或工具。 

分析生產(chǎn)時(shí)間

你的安全計(jì)劃存在信息過量?測量收集數(shù)據(jù)的時(shí)間與分析數(shù)據(jù)的時(shí)間，可以幫助回答這個(gè)問題。

IKANOW公司總裁Christopher Morgan表示：“減少分析事件讓IT團(tuán)隊(duì)可以更快識(shí)別和采取行動(dòng)來防止或檢測和解決安全泄露事故，從而提高整體安全狀況。”

他表示：“縮短分析安全數(shù)據(jù)的時(shí)間—無論是來自內(nèi)部防火墻或SIEM信息或外部威脅情報(bào)源，都需要給數(shù)據(jù)科學(xué)家工具盒時(shí)間來專注于數(shù)據(jù)分析。” 

按時(shí)和按預(yù)算完成項(xiàng)目的百分比

首席信息安全官可以向高管提供按時(shí)按預(yù)算完成IT安全項(xiàng)目的百分比，讓他們了解其開支情況。Security Mentor公司首席戰(zhàn)略官兼首席安全官Dan Lohrmann表示：“這可能是加密項(xiàng)目、新防火墻或其他安全項(xiàng)目。這一指標(biāo)可以確保安全可以向管理團(tuán)隊(duì)提供價(jià)值和改進(jìn)。” 

自動(dòng)控制檢測的安全事件百分比

衡量檢測工具的一種方法是追蹤通過自動(dòng)工具檢測的安全事件的百分比。

Tripwire公司首席技術(shù)官Dwayne Melancon 表示：“這一指標(biāo)不僅可以鼓勵(lì)你熟悉事件檢測情況，還可以讓你專注于自動(dòng)化，這減少了人力資源要求。這還可以更容易地獲得預(yù)算，因?yàn)槟憧梢哉f明自動(dòng)化帶來的成本節(jié)約，同時(shí)提高企業(yè)安全性。” 

員工行為指標(biāo)

安全意識(shí)培訓(xùn)是否有效?我們有很多方法來追蹤和衡量這一點(diǎn)，主要是通過網(wǎng)絡(luò)釣魚和社會(huì)工程學(xué)壓力測試，其中你對(duì)你的員工進(jìn)行相關(guān)測試。

基本上，你需要運(yùn)行一個(gè)假的釣魚網(wǎng)站，并打一些社會(huì)工程學(xué)電話，研究公司主管Santorelli表示：“對(duì)取得好成績的員工予以獎(jiǎng)勵(lì)和宣傳，幫助犯錯(cuò)的員工學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)，這樣，你就會(huì)提高員工的抵御力，至少在幾周時(shí)間內(nèi)是這樣。”

原文地址：http://www.darkreading.com/10-ways-to-measure-it-security-program-effectiveness/d/d-id/1319494?_mc=RSS_DR_EDT&image_number=1