數(shù)據(jù)泄露永遠(yuǎn)不會(huì)杜絕，監(jiān)管規(guī)定只會(huì)層出不窮。對(duì)品牌形象和盈利的潛在影響，令網(wǎng)絡(luò)安全成為了董事會(huì)級(jí)別的主要議題。網(wǎng)絡(luò)安全控制及過程如何適應(yīng)業(yè)務(wù)重點(diǎn)的問題變得前所未有的重要。

[[245450]]

安全公司Varonis最近的調(diào)查研究顯示，業(yè)務(wù)與安全并未完全貼合;雖然安全團(tuán)隊(duì)覺得自己的意見已被聽取，但公司領(lǐng)導(dǎo)層卻承認(rèn)他們有聽根本沒有懂。

問題很明顯：安全與業(yè)務(wù)間語(yǔ)言不通。因?yàn)榘踩幱诙哧P(guān)系中較弱的一方，以業(yè)務(wù)用語(yǔ)驅(qū)動(dòng)對(duì)話的責(zé)任自然就落在了安全身上。只要雙方溝通順暢，安全控制與業(yè)務(wù)重點(diǎn)之間的協(xié)調(diào)也就會(huì)容易得多。

呈現(xiàn)良好的指標(biāo)是雙方都能理解的共同因素，也可作為協(xié)同統(tǒng)一的主要驅(qū)動(dòng)力。但事實(shí)上，這種情況其實(shí)不算常見。

用指標(biāo)協(xié)同安全與業(yè)務(wù)

要理解如何更好地運(yùn)用指標(biāo)來與企業(yè)領(lǐng)導(dǎo)溝通，需要知道：為什么指標(biāo)是必要的?指標(biāo)如何改進(jìn)?問題有哪些?代價(jià)是什么?

破除語(yǔ)言不通障礙

雖然某些董事可能知道防火墻是什么東西，絕大多數(shù)董事卻是根本不了解IDS/IPS、SIEM、代理，或者其他什么安全解決方案都有什么用途的。他們只關(guān)心公司的風(fēng)險(xiǎn)等級(jí)有多高。

CISO雖然了解網(wǎng)絡(luò)風(fēng)險(xiǎn)，卻又未必知道各業(yè)務(wù)部門什么時(shí)候風(fēng)險(xiǎn)最大。同樣的，業(yè)務(wù)主管也不知道不斷變化的網(wǎng)絡(luò)安全威脅會(huì)對(duì)具體業(yè)務(wù)風(fēng)險(xiǎn)造成什么樣的影響。

安全主管應(yīng)先更好地了解公司業(yè)務(wù)層面的事項(xiàng)，以便給出業(yè)務(wù)主管能夠理解的有意義的風(fēng)險(xiǎn)管理指標(biāo)。這么做可以讓安全與業(yè)務(wù)兩方面都能展開多了解對(duì)方的過程。業(yè)務(wù)部門會(huì)開始看到安全部門是如何降低風(fēng)險(xiǎn)的，也就會(huì)開始指定需要更具體防護(hù)措施的其他領(lǐng)域。

此中關(guān)鍵和難點(diǎn)在于找出并呈現(xiàn)推動(dòng)這一過程的初始指標(biāo)，安全與業(yè)務(wù)的分歧也正在于此。CIO領(lǐng)導(dǎo)的IT部門必須維持關(guān)鍵系統(tǒng)的正常運(yùn)行時(shí)間，還要支持?jǐn)?shù)字化轉(zhuǎn)型項(xiàng)目，以便改進(jìn)業(yè)務(wù)部門用以完成其業(yè)務(wù)目標(biāo)所用的技術(shù)。CISO領(lǐng)導(dǎo)的安全部門通常必須維護(hù)公司存儲(chǔ)、處理和傳輸?shù)臄?shù)據(jù)與信息的機(jī)密性、完整性和可用性。這些部門及其主管傾向于圍繞自身戰(zhàn)術(shù)性職責(zé)而非董事會(huì)/高管考慮的業(yè)務(wù)驅(qū)動(dòng)力來提供指標(biāo)。

安全部門聚焦戰(zhàn)術(shù)性指標(biāo)，比如登錄、封禁流量、交易計(jì)數(shù)等等，但這些指標(biāo)大多反映不出業(yè)務(wù)目標(biāo)，或者不是以業(yè)務(wù)主管能夠理解或關(guān)心的形式提出的。好的指標(biāo)因?yàn)榕c業(yè)務(wù)相關(guān)，需與金錢和經(jīng)營(yíng)效率掛鉤，并能展現(xiàn)安全有效性的趨勢(shì)模式。真正的挑戰(zhàn)和難點(diǎn)正在于此。

問題出在IT和安全專業(yè)出身的人往往缺乏基本的業(yè)務(wù)培訓(xùn)上。2017年的首要管理工具是戰(zhàn)略規(guī)劃。戰(zhàn)略規(guī)劃常常躋身業(yè)務(wù)主管五大工具之列。但又有多少安全主管足夠了解戰(zhàn)略規(guī)劃與執(zhí)行呢?他們能確保自己的指標(biāo)對(duì)公司的戰(zhàn)略目標(biāo)有所貢獻(xiàn)嗎?

業(yè)務(wù)主管沒有義務(wù)去了解安全。過去很多CISO的敗筆就是認(rèn)為業(yè)務(wù)需要理解安全。這種想法是十分錯(cuò)誤的。因?yàn)樨?fù)責(zé)安全的是安全部門，安全才需要更好地去理解業(yè)務(wù)，以便能夠闡明不應(yīng)用恰當(dāng)安全防護(hù)的后果。CISO才是那個(gè)需要去了解業(yè)務(wù)并理解公司使命目標(biāo)的人。

這么做值得嗎?

接受訪問調(diào)查的所有CISO都認(rèn)為，更好地呈現(xiàn)正確的安全指標(biāo)可以協(xié)調(diào)安全與業(yè)務(wù)。事實(shí)上，CISO也只有這么做才能讓執(zhí)行管理層理解當(dāng)前的挑戰(zhàn)有哪些，而安全部門又已取得了哪些成果。

除了指標(biāo)和安全/業(yè)務(wù)動(dòng)態(tài)，CISO還必須清楚董事會(huì)的心理——這就各家公司不一而足了。有些董事會(huì)很重視安全，有些則對(duì)安全興趣缺缺。比如說，如果某公司被競(jìng)爭(zhēng)對(duì)手碾壓，但這與安全無關(guān)，那這家公司的董事會(huì)就很可能將安全置于低優(yōu)先級(jí)議題之列。

時(shí)間可能由此成為CISO無法控制的問題：指標(biāo)是應(yīng)該定期給出，還是應(yīng)該只在必要是呈現(xiàn)呢?前者可能不必要地占用業(yè)務(wù)主管過多時(shí)間，而后者則會(huì)讓CISO給人一種厄運(yùn)使者的印象。

有些CISO認(rèn)為，董事會(huì)不應(yīng)經(jīng)常聽到安全部門的聲音。除非有關(guān)鍵問題或重大業(yè)務(wù)轉(zhuǎn)型，否則每年上報(bào)一次主要趨勢(shì)、威脅態(tài)勢(shì)演變、戰(zhàn)略性安全規(guī)劃也就夠了。

這種觀點(diǎn)是少數(shù)派。很多CISO至少覺得應(yīng)經(jīng)常呈遞指標(biāo)報(bào)告以供彰顯安全趨勢(shì)。

然后，呈現(xiàn)風(fēng)格的問題。一旦有機(jī)會(huì)向業(yè)務(wù)主管呈現(xiàn)安全指標(biāo)，最好別浪費(fèi)。太多報(bào)告跟某些頒獎(jiǎng)嘉賓發(fā)言似的，單調(diào)無聊。報(bào)告要么太長(zhǎng)(太多細(xì)節(jié))，要么太多無關(guān)緊要的東西。如果報(bào)告太爛，只會(huì)導(dǎo)致被問及更多問題。

CISO應(yīng)是銷售、市場(chǎng)營(yíng)銷和安全三位一體的專家。安全報(bào)告本身應(yīng)是一份良好的CV，開篇即能抓住眼球，并將受眾的興趣保持到底。最關(guān)鍵的是，報(bào)告應(yīng)回答問題，而不是令董事會(huì)質(zhì)疑該報(bào)告。

這一點(diǎn)直擊安全指標(biāo)報(bào)告核心。如果報(bào)告的目的是展現(xiàn)安全團(tuán)隊(duì)的優(yōu)秀程度，或強(qiáng)調(diào)需分撥更多預(yù)算的新問題，那基本上可以預(yù)期會(huì)招致更多問詢了。但如果報(bào)告的目的是協(xié)調(diào)安全與業(yè)務(wù)重點(diǎn)，那這些指標(biāo)就應(yīng)更為一目了然不言自明。報(bào)告可以略帶挑釁，激起業(yè)務(wù)主管的討論與批評(píng)，但不應(yīng)招致對(duì)報(bào)告本身的質(zhì)疑。

CISO向董事會(huì)上呈的指標(biāo)夠嗎?

CISO可能目前很大程度上并未交付良好的指標(biāo)。

指標(biāo)報(bào)告是個(gè)經(jīng)典的雞生蛋蛋生雞問題。為交付良好的指標(biāo)，CISO必須知道業(yè)務(wù)主管想要的東西;但想了解業(yè)務(wù)主管的需求，又得通過交付有效安全指標(biāo)協(xié)調(diào)安全與業(yè)務(wù)來達(dá)成。

理想狀態(tài)下，CISO應(yīng)已進(jìn)入高管層級(jí)。想要交付以業(yè)務(wù)為中心的指標(biāo)，安全主管就不應(yīng)只是簡(jiǎn)單地向高管匯報(bào)，而是躋身高管行列。只有安全主管進(jìn)駐公司高層，公司才能期望他們的安全方法能反映出對(duì)業(yè)務(wù)戰(zhàn)略、方向與需求的深層次理解。

但很不幸，這種可能性很小。監(jiān)管危機(jī)一直持續(xù)，因?yàn)榻^大多數(shù)CISO依然報(bào)告給CIO。也就是防御協(xié)調(diào)員向攻擊協(xié)調(diào)員報(bào)告。CIO最感興趣的(比如安全部門防止宕機(jī)的頻率)往往不是安全應(yīng)該向業(yè)務(wù)匯報(bào)的(比如為什么會(huì)出現(xiàn)威脅，威脅駐留時(shí)間是怎么被減少的，減少的程度如何等等)。

不良指標(biāo)比毫無指標(biāo)更常見。很多安全項(xiàng)目報(bào)告的是安全工具封鎖威脅的數(shù)量，畢竟解析日志很簡(jiǎn)單，拋出被阻擋的威脅數(shù)量聽起來也挺唬人的。但不幸的是，這種數(shù)據(jù)對(duì)高層業(yè)務(wù)決策毫無用處。

供應(yīng)商從應(yīng)用產(chǎn)生指標(biāo)有所幫助嗎?

供應(yīng)商的應(yīng)用報(bào)告功能若能產(chǎn)出現(xiàn)成的指標(biāo)，會(huì)對(duì)公司安全情況有所幫助。一些供應(yīng)商已經(jīng)開始嘗試這么做了。隨著安全態(tài)勢(shì)量化的復(fù)興，供應(yīng)商也在尋求跨混合基礎(chǔ)設(shè)施不同部分來提供這一信息。這也是服務(wù)供應(yīng)商和托管安全服務(wù)提供商(MSSP)的主要倡議。威瑞森風(fēng)險(xiǎn)報(bào)告就是個(gè)良好的例子。

但并非所有供應(yīng)商都贊同提供應(yīng)用指標(biāo)，也有供應(yīng)商認(rèn)為這不屬于自己的負(fù)責(zé)范圍。

問題的癥結(jié)在于安全部門想要使用的指標(biāo)和董事會(huì)要求的信息之間是否協(xié)調(diào)良好。應(yīng)用通常產(chǎn)生大量的細(xì)節(jié)性數(shù)據(jù)統(tǒng)計(jì)，需要經(jīng)過很多處理(標(biāo)準(zhǔn)化、聚合和分析)才可以轉(zhuǎn)譯上呈董事會(huì)。

上呈董事會(huì)的指標(biāo)應(yīng)傳達(dá)出與每個(gè)受眾特別注意的目標(biāo)相關(guān)的信息，并要簡(jiǎn)潔明了，數(shù)量最好不要超過4到5個(gè)。

還有企業(yè)高管認(rèn)為，依靠供應(yīng)商提供自己產(chǎn)品有效性的指標(biāo)，與讓黃鼠狼看管雞窩無異。而且，也沒有哪家供應(yīng)商的控制措施能夠代表企業(yè)整體網(wǎng)絡(luò)安全戰(zhàn)略的有效性。

供應(yīng)商日子也不好過，經(jīng)常被壓價(jià)，還被要求按客戶需要提供不同形式的安全指標(biāo)，而且他們的安全預(yù)算甚至比很多客戶的都小。大多數(shù)供應(yīng)商提供安全指標(biāo)的意愿越來越強(qiáng)烈，但這些指標(biāo)到公司企業(yè)手上的時(shí)候往往經(jīng)過了精心修飾，不會(huì)呈現(xiàn)真正的問題。

有些供應(yīng)商會(huì)要求將日志聚合到單獨(dú)的報(bào)告服務(wù)器上，由他們自己的分析軟件加以處理，這就可能是個(gè)昂貴而復(fù)雜的解決方案了。而有些供應(yīng)商僅提供封裝好的高層級(jí)報(bào)告，并不能供管理員深挖具體問題，限制了報(bào)告的有用性。

至于董事會(huì)級(jí)指標(biāo)，分析數(shù)據(jù)必須結(jié)合某種形式的成本效益分析，而這種程度的數(shù)據(jù)幾乎沒有供應(yīng)商能夠提供。公司企業(yè)的安全團(tuán)隊(duì)選擇供應(yīng)商時(shí)需考察其能否提供數(shù)據(jù)庫(kù)驅(qū)動(dòng)的報(bào)告，可以方便根據(jù)需求加以定制的那種。

供應(yīng)商需能夠，也應(yīng)該提供其產(chǎn)品性能的原始數(shù)據(jù)，但CISO總得以與業(yè)務(wù)主管的關(guān)注點(diǎn)直接相關(guān)的方式去收集、關(guān)聯(lián)、分析和呈現(xiàn)恰當(dāng)形式的正確指標(biāo)。

好指標(biāo)的要素有哪些?

好的指標(biāo)需是業(yè)務(wù)主管重視，且能用于進(jìn)一步協(xié)調(diào)安全與業(yè)務(wù)的那些。那么，好的指標(biāo)由那些要素構(gòu)成呢?

1. 將安全指標(biāo)轉(zhuǎn)化為業(yè)務(wù)信息需要在關(guān)注焦點(diǎn)和報(bào)告格式上做出改變

業(yè)務(wù)部門用記分卡、月度或季度業(yè)務(wù)審核和關(guān)鍵績(jī)效指標(biāo)(KPI)來衡量進(jìn)展及表現(xiàn)。提供給業(yè)務(wù)部門的安全指標(biāo)應(yīng)對(duì)業(yè)務(wù)部門已在開展的業(yè)績(jī)?cè)u(píng)估有所幫助。提供應(yīng)對(duì)業(yè)務(wù)問題的安全信息，比提供與業(yè)務(wù)目標(biāo)無關(guān)的技術(shù)性信息和日志細(xì)節(jié)要高明得多。

老話說得好：度量指標(biāo)應(yīng)具體、可測(cè)、準(zhǔn)確、可靠、及時(shí)。指標(biāo)做好了，安全部門和業(yè)務(wù)部門協(xié)調(diào)一致奔向公司整體目標(biāo);指標(biāo)做得不好，安全部門和業(yè)務(wù)部門各自為戰(zhàn)甚至互相掣肘，公司目標(biāo)達(dá)成進(jìn)展緩慢甚或倒退。

東西簡(jiǎn)單有用就好。采用標(biāo)準(zhǔn)的紅/黃/綠指示器可以很快向董事會(huì)揭示風(fēng)險(xiǎn)、合規(guī)和監(jiān)管的協(xié)同程度。圖表則可用于顯示風(fēng)險(xiǎn)隨時(shí)間減小的趨勢(shì)和整體框架整合情況。四象限圖能快速展示頂級(jí)風(fēng)險(xiǎn)、需引起管理層注意的問題、重大事件，以及進(jìn)展中的重要項(xiàng)目?？傊?jiǎn)潔明了。指標(biāo)不需要附帶太多技術(shù)細(xì)節(jié)，但要有統(tǒng)計(jì)數(shù)據(jù)，并與業(yè)務(wù)/信息安全協(xié)作關(guān)系相一致。

可以參考個(gè)人信用評(píng)分(FICO)。比如說用百分制的一個(gè)評(píng)分來反映企業(yè)安全與合規(guī)態(tài)勢(shì)。當(dāng)然，這其中應(yīng)避免掉入一葉障目不見泰山的坑。不妨考察黑客滲透和侵害公司的方式，藉由同樣的方法得出安全評(píng)分。你首先發(fā)現(xiàn)并分類各種資源，既有現(xiàn)場(chǎng)的也有云端的，然后評(píng)估各自面臨的內(nèi)部和外部威脅?；谠撛u(píng)估，你識(shí)別出系統(tǒng)中的弱點(diǎn)，再根據(jù)現(xiàn)有控制措施評(píng)估這些資源。

最終結(jié)果，就是反映公司當(dāng)前網(wǎng)絡(luò)狀態(tài)的總得分。修復(fù)識(shí)別出的弱點(diǎn)可以提升得分。其他可以評(píng)分的因素還包括數(shù)據(jù)泄露的概率及其預(yù)期影響。后一個(gè)得分可以映射進(jìn)CIA模型，也就是“機(jī)密性、完整性和可用性”模型。

2. 趨勢(shì)是非常重要的一方面

你能否由平均修復(fù)時(shí)間的大幅降低拿出每個(gè)業(yè)務(wù)部門對(duì)公司固有風(fēng)險(xiǎn)減小程度的月度統(tǒng)計(jì)數(shù)據(jù)?董事會(huì)關(guān)心的指標(biāo)類型是這種，而不是防火墻阻擋了多少攻擊，也不是基礎(chǔ)設(shè)施漏打了多少補(bǔ)丁，更不是其他什么靠巨大的數(shù)量唬人的指標(biāo)。

這種單純的大數(shù)指標(biāo)或許在操作層面上對(duì)信息安全人員有所幫助，但在董事會(huì)層面最好還是說些董事們關(guān)心的事——董事會(huì)有責(zé)任保護(hù)公司業(yè)務(wù)平穩(wěn)發(fā)展。報(bào)告給董事會(huì)的指標(biāo)要與這些公司目標(biāo)相一致。用董事會(huì)能理解的語(yǔ)言表達(dá)這些指標(biāo)，比如對(duì)業(yè)務(wù)的影響而不是對(duì)技術(shù)的影響，并確保他們知道安全部門的訴求是什么。千萬別什么訴求都不提就匆匆結(jié)束董事會(huì)會(huì)議離場(chǎng)。

3. 安全報(bào)告還應(yīng)是個(gè)持續(xù)的過程，及時(shí)報(bào)告安全趨勢(shì)而非靜態(tài)數(shù)據(jù)

比如說反映年度趨勢(shì)的逐月環(huán)比報(bào)告。這樣董事會(huì)才可以清晰地看出做得好的地方、有所改善的地方，以及還需要后續(xù)處理的重點(diǎn)問題。清晰的可視化展示和路線圖可以讓董事會(huì)明白公司安全形勢(shì)，而不是看起來一臉迷惑不解的樣子。

展示中應(yīng)包含具體的指標(biāo)，比如威脅駐留時(shí)間、橫向移動(dòng)、重復(fù)感染、網(wǎng)絡(luò)覆蓋和響應(yīng)時(shí)間。

這些問題可以綜合起來形成以業(yè)務(wù)為中心的指標(biāo)。

比如說，風(fēng)險(xiǎn)可見性占比(處于安全管理之下的系統(tǒng)所占比例)就是個(gè)非常重要的指標(biāo)。不僅僅要報(bào)告你能看到的東西，還要報(bào)告因?yàn)榧夹g(shù)和時(shí)間限制而還沒看到的風(fēng)險(xiǎn)占比是多少。另外還有實(shí)現(xiàn)了某層級(jí)防御的受管系統(tǒng)所占比例。二者間差異很大，即便后者數(shù)據(jù)很棒(受管系統(tǒng)幾乎都實(shí)現(xiàn)了某種防御措施)，如果前者情況糟糕(公司所有系統(tǒng)中只有一小部分處于安全管理之下)，公司風(fēng)險(xiǎn)依然很大。

公司信息供應(yīng)鏈和運(yùn)營(yíng)風(fēng)險(xiǎn)可分為3級(jí)。首先，從威脅追捕團(tuán)隊(duì)的結(jié)果來判斷公司當(dāng)前是否遭受網(wǎng)絡(luò)攻擊，攻擊的規(guī)模有多大?其次，該網(wǎng)絡(luò)犯罪被撲滅和控制最快得要多久?最后，公司是否遵從了行業(yè)和地區(qū)的強(qiáng)制合規(guī)標(biāo)準(zhǔn)?如果沒有合規(guī)，原因是什么?

不同指標(biāo)應(yīng)綜合到一起以揭示公司的整體安全態(tài)勢(shì)。呈現(xiàn)威脅形勢(shì)和公司響應(yīng)隨時(shí)間的發(fā)展變化也很有用。這能讓通常不是網(wǎng)絡(luò)安全專家的公司高級(jí)管理層體會(huì)到為什么安全是以業(yè)務(wù)為中心的，讓他們覺得安全值得持續(xù)投資。CISO需將安全洞見提煉成非技術(shù)受眾也能理解的東西，這些受眾往往對(duì)“為什么”更感興趣，而對(duì)“是什么”興趣缺缺。

信息孤島是必須要杜絕的東西?？梢栽O(shè)置一個(gè)新興威脅儀表板，在一個(gè)地方縱覽所有安全相關(guān)事務(wù)，方便快捷地查看有哪些東西需要多加注意，應(yīng)添加哪些控制措施。

但在最后的分析中，最好的指標(biāo)展現(xiàn)的是網(wǎng)絡(luò)安全項(xiàng)目在達(dá)成關(guān)鍵業(yè)務(wù)目標(biāo)上的有效性。

要點(diǎn)

報(bào)告給業(yè)務(wù)主管的信息安全指標(biāo)沒有固定的形式，各個(gè)行業(yè)間差異很大，同行業(yè)的各個(gè)公司之間也有所不同。指標(biāo)好不好，取決于關(guān)鍵業(yè)務(wù)驅(qū)動(dòng)力。

信息安全必須了解業(yè)務(wù)。CISO不能期待業(yè)務(wù)主管來理解安全。指標(biāo)的目的就是要解釋安全是怎么支持或進(jìn)一步支持業(yè)務(wù)重點(diǎn)的。為做到這一點(diǎn)，CISO必須了解這些業(yè)務(wù)重點(diǎn)。

此中存在的問題是，這種了解最好來自于成為整體業(yè)務(wù)領(lǐng)導(dǎo)層的一部分——極少發(fā)生的一種情況。在一些開明的案例中，CISO至少在董事會(huì)層級(jí)是能發(fā)聲的;但大多數(shù)情況下他們的直屬上級(jí)依然是CIO，而CIO有他自己異于CISO的關(guān)注重點(diǎn)。

指標(biāo)問題必須解決。指標(biāo)問題解決得好，可以獲得極高的回報(bào)，至少可以享有更有效的安全、更好的盈利，可以在必要的時(shí)候爭(zhēng)取到所需的預(yù)算，以及在董事會(huì)層級(jí)刷出更大的個(gè)人存在感。如果能夠在重要的位置提供恰當(dāng)?shù)姆雷o(hù)，安全基本上也就成為了業(yè)務(wù)驅(qū)動(dòng)力和盈利增長(zhǎng)點(diǎn)，而不再是眾人眼中空耗公司預(yù)算的資金黑洞。

如果沒有良好的指標(biāo)，安全和業(yè)務(wù)沒辦法協(xié)同統(tǒng)一。沒有這種協(xié)同統(tǒng)一，安全部門就是救火隊(duì)的角色，而業(yè)務(wù)時(shí)刻面臨風(fēng)險(xiǎn)。

Varonis最近的調(diào)查研究原文地址：

https://www.securityweek.com/continuing-problem-aligning-cybersecurity-business

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文