當(dāng)企業(yè)安全預(yù)算的增長(zhǎng)面臨“不可持續(xù)”風(fēng)險(xiǎn)，CISO應(yīng)該開始重視哪些安全指標(biāo)?

CISO最具挑戰(zhàn)性的工作之一就是選擇正確的指標(biāo)來量化企業(yè)網(wǎng)絡(luò)安全體系的能力和價(jià)值，這是企業(yè)網(wǎng)絡(luò)安全策略和效率的基礎(chǔ)。如果說KPI是一種病，那么，沒有什么比選擇錯(cuò)誤的KPI指標(biāo)更加可怕的事情了，尤其是企業(yè)安全預(yù)算開始吃緊的黑天鵝時(shí)期。

[[319526]]

網(wǎng)絡(luò)安全預(yù)算“無厘頭”增長(zhǎng)已經(jīng)不可持續(xù)

零信任需要錢、威脅情報(bào)需要錢、漏洞管理需要錢、下一代防火墻需要錢、下一代SOC/SOAR/SIEM需要錢、數(shù)據(jù)防泄漏需要錢、勒索軟件需要錢、等保合規(guī)需要錢、安全意識(shí)培訓(xùn)需要錢……這些還都是肉眼可見的、優(yōu)先級(jí)很高的“燒錢項(xiàng)”。

但是不少安全主管，甚至是知名跨國(guó)公司或上市公司的安全主管，兜里的預(yù)算，都無法完整覆蓋多個(gè)安全重點(diǎn)投資領(lǐng)域。近日埃森哲的一份CISO報(bào)告給出了逐年遞增的安全預(yù)算中，“最燒錢”的十七個(gè)安全技術(shù)，排名如下：

數(shù)據(jù)來自：埃森哲企業(yè)安全主管2020領(lǐng)導(dǎo)力報(bào)告

正如埃森哲報(bào)告中所指出的，當(dāng)安全投入持續(xù)增長(zhǎng)與安全“績(jī)效”不成比例的時(shí)候，企業(yè)安全預(yù)算年復(fù)一年的“無厘頭”增長(zhǎng)已經(jīng)不可持續(xù)，CISO必須拿出有說服力的指標(biāo)為預(yù)算正名，否則“沒米下鍋”的CISO將難以擺脫“救火隊(duì)員“的榮譽(yù)角色。

首先CISO要認(rèn)識(shí)到安全預(yù)算是個(gè)主觀命題，尤其是對(duì)于安全預(yù)算在整個(gè)IT支出占比明顯偏低的中國(guó)企業(yè)，未來很長(zhǎng)一段時(shí)間，安全預(yù)算的增長(zhǎng)都是大勢(shì)所趨。但是，一個(gè)根本問題必須得到解決：企業(yè)安全預(yù)算往往需要借助“想哭病毒”、“刪庫(kù)跑路”之類的重大安全事故來與企業(yè)管理層和董事會(huì)達(dá)成階段性“諒解”，而不是通過可運(yùn)營(yíng)可跨部門溝通的安全指標(biāo)。

雖然多年以來，企業(yè)安全領(lǐng)導(dǎo)者已經(jīng)使用過無數(shù)指標(biāo)。但是與業(yè)務(wù)部門和管理層基于指標(biāo)的溝通機(jī)制卻并未通暢起來。許多高管和董事會(huì)成員經(jīng)常會(huì)抱怨說，這些措施未能幫助他們充分了解或理解安全部門的表現(xiàn)、改進(jìn)程度以及不足之處，安全的可視性和可測(cè)量性依然非常糟糕。

安全公司SpearTip總裁兼首席執(zhí)行官Jarrett Kolthoff說道：

他補(bǔ)充說：

包括Kolthoff在內(nèi)的網(wǎng)絡(luò)安全專家認(rèn)為，對(duì)于不同行業(yè)和規(guī)模企業(yè)的CISO來說，在衡量安全工作效果和策略方面，并沒有一套放之四海皆準(zhǔn)的安全指標(biāo)。但是，有一點(diǎn)可以確定的是：有一些安全指標(biāo)的組合，對(duì)于大多數(shù)企業(yè)來說，都需要格外重視。

五個(gè)對(duì)企業(yè)依然重要的“舊”安全指標(biāo)

雖然不同地域、不同規(guī)模和不同行業(yè)的企業(yè)面臨的安全威脅優(yōu)先級(jí)不盡相同，但是在制定有效的新安全指標(biāo)方面，有著共同訴求和基本原則：

安全指標(biāo)需要與安全損失和業(yè)務(wù)目標(biāo)掛鉤，且能夠容易被業(yè)務(wù)部門或者董事會(huì)所理解。

盡管“站在業(yè)務(wù)目標(biāo)角度”評(píng)估安全性的新指標(biāo)體系是當(dāng)下CISO們關(guān)注的熱點(diǎn)，但資深的CISO和安全管理顧問表示，過去安全團(tuán)隊(duì)使用的很多安全指標(biāo)依然很有價(jià)值，CISO應(yīng)該考慮圍繞這些指標(biāo)添加其他上下文內(nèi)容。

1. 平均恢復(fù)時(shí)間MTTR

Harmer根據(jù)組織已確定的風(fēng)險(xiǎn)意愿，測(cè)量受事件影響的用戶百分比，安全團(tuán)隊(duì)解決問題的速度以及該時(shí)間是否達(dá)到、超過或少于目標(biāo)時(shí)間。根據(jù)埃森哲2020年CISO領(lǐng)導(dǎo)力報(bào)告，在提高檢測(cè)響應(yīng)速度，減少M(fèi)TTR方面，CISO對(duì)新技術(shù)采用的優(yōu)先級(jí)如下：

可以看出，SOAR和AI是CISO極為看重的兩個(gè)安全技術(shù)，而且二者具有互補(bǔ)性，AI在快速檢測(cè)(MTTD)方面有優(yōu)勢(shì)，而SOAR則是縮短恢復(fù)時(shí)間的終極方案，因此SOAR和AI對(duì)于安全決策者來說，只有雙劍合璧才能達(dá)成最佳安全指標(biāo)。

2. 平均檢測(cè)時(shí)間MTTD

諸如平均檢測(cè)時(shí)間(衡量從一次成功攻擊到檢測(cè)出這段時(shí)間所花費(fèi)的時(shí)間)之類的指標(biāo)，可以反映企業(yè)安全系統(tǒng)的運(yùn)行狀況并可以進(jìn)行跟蹤改善。這些指標(biāo)有助于CISO與最高管理層討論需要進(jìn)行哪些投資才能實(shí)現(xiàn)改進(jìn)。此外，這樣的度量標(biāo)準(zhǔn)鼓勵(lì)持續(xù)改進(jìn)。

3. 滲透測(cè)試

與模擬網(wǎng)絡(luò)釣魚攻擊一樣讓滲透測(cè)試相關(guān)指標(biāo)能夠表明組織抵御此類事件的能力以及可以隨時(shí)間推移跟蹤改進(jìn)的程度。這是很多CISO以及高管和董事會(huì)成員所理解和重視的指標(biāo)。

4. 漏洞管理

CISO可以考慮開發(fā)漏洞管理的指標(biāo)，以用于報(bào)告其漏洞管理程序的有效性，不應(yīng)該只報(bào)告已完成的補(bǔ)丁程序的數(shù)量，而應(yīng)該根據(jù)組織的安全狀況來衡量安全部門管理漏洞的能力，從而最大程度地發(fā)揮指標(biāo)的作用——不是要修補(bǔ)100個(gè)低風(fēng)險(xiǎn)補(bǔ)丁，而是要確保盡快修補(bǔ)風(fēng)險(xiǎn)最大的漏洞。

5. 安全審計(jì)

一些CISO使用了NIST、ITIL和互聯(lián)網(wǎng)安全中心(CIS)框架開發(fā)了計(jì)分卡，這非常有助于快速展示安全工作的成效和進(jìn)展。

放棄4個(gè)指標(biāo)

隨著用于考量企業(yè)安全能力、有效性的性指標(biāo)的出現(xiàn)，專家建議減少甚至放棄使用以下安全評(píng)估指標(biāo)：

1. 攻擊次數(shù)

CISO辛普森認(rèn)為：

此外，企業(yè)面臨的威脅不是阻止10萬次低級(jí)別攻擊，而是要阻止可能使公司倒閉的致命攻擊。

2. 補(bǔ)丁完成數(shù)

原因同上。

3. 確定的漏洞

原因同上。

4. 被阻止的病毒

原因同上。

盡管上述四個(gè)指標(biāo)對(duì)于CISO而言是對(duì)已完成工作的內(nèi)部衡量，或者對(duì)于確認(rèn)組織是否達(dá)到合規(guī)要求有其意義，但它們本身幾乎沒有價(jià)值，而且可能會(huì)使企業(yè)陷入一種錯(cuò)誤的安全感。

需要關(guān)注的兩個(gè)新指標(biāo)

一些新興的安全指標(biāo)往往不在CISO的雷達(dá)圖內(nèi)，例如“人員滿意度”，例如安全牛曾經(jīng)推薦過網(wǎng)絡(luò)安全的下一關(guān)鍵指標(biāo)：MTTH(平均強(qiáng)化時(shí)間)。

1. MTTH(平均強(qiáng)化時(shí)間)

MTTH是指漏洞披露到武器化和商品化形成巨大殺傷力之前的這段時(shí)間窗口內(nèi)，企業(yè)安全團(tuán)隊(duì)如何縮短漏洞緩解和安全加固措施的部署周期。下一代企業(yè)網(wǎng)絡(luò)安全有兩個(gè)關(guān)鍵“抓手”，一方面企業(yè)需要縮短“反射弧”，大幅提高檢測(cè)和響應(yīng)速度，縮短駐留時(shí)間，這也是xDR相關(guān)產(chǎn)品和概念持續(xù)火爆的原因;另一方面，在預(yù)防階段，需要大幅度縮短強(qiáng)化時(shí)間，扭轉(zhuǎn)與攻擊者龜兔賽跑的不利局面，但這一點(diǎn)目前受到的重視還不夠。

2. 員工安全培訓(xùn)率

根據(jù)埃森哲的報(bào)告，網(wǎng)絡(luò)安全優(yōu)秀領(lǐng)導(dǎo)者和普通領(lǐng)導(dǎo)者對(duì)培訓(xùn)的重視程度有重大差異，從上圖的調(diào)查數(shù)據(jù)可以看到，對(duì)于新的安全工具和產(chǎn)品，超過30%的優(yōu)秀領(lǐng)導(dǎo)者的團(tuán)隊(duì)培訓(xùn)率超過75%，只有9%的普通領(lǐng)導(dǎo)者的團(tuán)隊(duì)獲得超過75%的培訓(xùn)率。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文