隨著安全問題越來越多的受到董事會和管理層的關(guān)注，不僅管理層需要各種指標以得到對安全態(tài)勢更為清晰的視角，安全專業(yè)人士也逐漸被要求提供一些可以跟蹤公司當前防御狀態(tài)的各項指標。但，哪些數(shù)字才是真正有用的呢?

[[148302]]

通常情況下，高級管理層不太清楚該過問哪類問題，還可能會太過關(guān)注預防而疏于減輕損失。類似響應安全事件的平均費用或是防火墻阻止了多少次攻擊這樣的指標對非安全人員來說貌似挺合乎情理的，但這些東西真的對公司的安全計劃毫無推進效能。相反，專家們建議將注意力放在那些可以影響行為或改變策略的指標上。

像漏洞修補平均成本和打補丁平均時間這樣的指標，如果公司擁有成熟和高度優(yōu)化的流程，那還是很有用的。但問題在于，當前95%的公司都達不到這一標準。不過，度量參與度、有效性和暴露窗口期的幾種指標還是可以為公司提供用以制定計劃和改善防御項目的信息的。以下就是可指引管理層得出有用結(jié)論的四大安全指標：

安全指標 1：項目參與程度

參與度指標著眼于公司內(nèi)部的覆蓋率。它們可能度量有多少業(yè)務單位經(jīng)常進行滲透測試或多少終端處于自動補丁系統(tǒng)維持更新狀態(tài)。據(jù)王所言，這些基本信息能夠幫助公司評估安全控制采用級別并標識出潛在的安全空白區(qū)。

比如說，能夠宣稱公司系統(tǒng)100%保持更新到一個月之內(nèi)或許聽起來挺好的，但這其實是個不現(xiàn)實的目標，因為打補丁本身有可能對某些系統(tǒng)帶來操作性風險。目光投向參與度指標能夠幫助排除那些不符合列入常規(guī)補丁規(guī)則的系統(tǒng)——專注于那些應該打補丁的系統(tǒng)。

安全指標 2：攻擊持續(xù)時間

駐留時間，或者說攻擊者處在公司網(wǎng)絡中的時間，同樣可以帶來有價值的結(jié)論。攻擊持續(xù)信息能夠幫助安全專家們準備好限制和控制威脅并最小化損失。

調(diào)查顯示，攻擊者在公司網(wǎng)絡內(nèi)部潛伏的平均時間一般是幾個月，期間熟悉公司的基礎設施，進行偵察活動，在網(wǎng)絡中游弋，以及偷取信息。

防御目標應該是盡可能減少駐留時間，不給攻擊者留下逡巡公司網(wǎng)絡刪除關(guān)鍵數(shù)據(jù)的機會。清楚駐留時間可以幫助安全團隊找出處理漏洞補救和事件響應的方法。

“攻擊者在你網(wǎng)絡中停留的時間越長，他們能獲取到的信息就越多，能造成的傷害也就越大。”

安全指標 3：代碼缺陷密度

缺陷密度，或者說每千行(或百萬行)代碼中的問題數(shù)，可以幫助公司評估自身開發(fā)團隊的安全實踐水平。

不過，上下文是關(guān)鍵。如果一個應用正處于開發(fā)初期，那么，高缺陷密度意味著所有問題都被發(fā)現(xiàn)了。這是好事。另一方面，如果一個應用已經(jīng)處于維護模式，缺陷密度就應該更低些，并呈現(xiàn)下降趨勢，這樣才表明應用隨著時間的流逝而變得更安全。如若不然，應用代碼有問題是肯定的。

安全指標 4：暴露窗口期

公司有可能找出了應用中的缺陷，但直到解決缺陷問題之前該應用都是脆弱而易被攻破的。暴露窗口期指標著眼于一年中應用對已知嚴重漏洞和問題毫無防范能力的天數(shù)。“我們的目標是：讓嚴重漏洞被發(fā)現(xiàn)而補丁尚未出臺的時間縮減為0天。”

誤導性指標

管理層一般都喜歡關(guān)注安全事件預防，其原因有部分是源于固有的“所有的攻擊都能被阻擋在外圍”的傳統(tǒng)觀念。比如說，看到被阻止的入侵嘗試次數(shù)就會令所有人都感覺良好。但這一信息根本不能提供任何可行操作——它幫不了安全團隊找出有哪些攻擊沒被攔住。Raytheon/Websense首席技術(shù)官約書亞·道格拉斯說：“你解決不了任何問題。”

平均響應時間，或者說發(fā)現(xiàn)并解決問題有多快，是另一個沒什么卵用的指標。響應時間忽視了攻擊者傾向于在網(wǎng)絡中橫向移動這一事實。你也許能修復一個問題，但如果沒人試圖確定攻擊者在網(wǎng)絡中的其他行為，那么被同一個攻擊者侵害的其他系統(tǒng)就有可能一直都沒被發(fā)現(xiàn)。只關(guān)注單個事件而非安全態(tài)勢整體會導致整個安全環(huán)境都很脆弱。

這不是解決一個就萬事ok的問題，而是解決一個還得拔除一堆的問題。另一個常見的跟蹤指標是漏洞減少數(shù)量，但這指標本身也不是那么有用。即使補上了大量低級別漏洞，只要關(guān)鍵漏洞仍然門戶洞開，公司風險依然如故。某些漏洞就是比其他的更具重量級。

在近期一次Raytheon/Websense調(diào)查中，受訪高管里只有28%認為他們公司采用的安全指標是“完全有效的”，65%的高管覺得他們公司所用的指標“一定程度上有效”。安全從業(yè)人員需要向高級管理層闡明該怎樣關(guān)注那些有助于達成明確目標的安全問題。否則，就會有太多的注意力被浪費在根本不能切實降低風險或改善安全狀態(tài)的信息上。

“你有限的時間和資金都用在正確的地方了嗎?”