4个重要的安全指标

如今,管理人员要求指标以更清楚地了解安全性。以下是四个可提供可行见解的指标-其他一些指标的价值却较低

4个重要的安全指标

随着安全性在董事会和高级管理人员中获得更大的可见性,越来越多的安全专业人员被要求提供跟踪公司防御现状的指标。但是哪个数字真的很重要?

高级管理层常常不知道应该问什么样的问题,可能过多地专注于预防而很少关注缓解。对于非安全人员来说,诸如响应事件的平均成本或防火墙阻止的攻击数量之类的指标对于合理的人来说似乎是合理的,但是它们并没有真正促进组织的安全计划。

相反,专家建议重点关注影响行为或变更策略的指标。

“有了这个指标,您将有何不同?”安全软件和咨询公司Cigital的安全倡议主管Caroline Wong问。她说,如果组织拥有成熟且高度优化的流程,则减轻漏洞的平均成本和修补时间等指标将很有帮助,但不适用于当今95%的组织。

但是,衡量参与度,有效性和暴露窗口的度量标准可以提供组织可以用来制定计划和改进计划的信息。

安全度量标准1:计划参与级别

参与度指标着眼于组织内部的覆盖范围。他们可以衡量有多少个业务部门定期进行渗透测试,或者当前有多少个端点正在由自动修补系统更新。 Wong认为,这些基本信息可帮助组织评估安全控制的采用水平并找出潜在的差距。

例如,虽然可以说一个组织在可用的新更新后的一个月内对其系统的100%进行了修补,但这并不是一个现实的目标,因为修补可能会给某些系统带来操作风险。查看参与情况有助于排除那些不属于常规补丁程序规则的系统,并将注意力集中在那些应进行补丁程序的系统上。

安全度量标准2:攻击持续时间

停留时间或攻击者在网络中停留的时间也可以提供宝贵的见解。攻击持续时间信息可帮助安全专业人员准备,控制和控制威胁,并最大程度地减少破坏。

调查显示,攻击者在被发现之前平均在公司网络内部花费数月。他们花时间学习基础架构,执行侦察活动,在网络中移动以及窃取信息。

道格拉斯说,目标应该是尽可能减少停留时间,以使攻击者获得横向移动和删除关键数据的机会更少。了解驻留时间有助于安全团队确定如何处理漏洞缓解措施和事件响应。

道格拉斯说:“攻击者在您的网络中停留的时间越长,他们可以获得的信息就越多,所造成的损害也就越大。”

安全度量标准3:代码缺陷密度

缺陷密度或每千(或百万,取决于代码库)代码行中发现的问题数量可帮助组织评估其开发团队的安全实践。

但是,上下文是关键。如果应用程序处于开发的早期阶段,那么高缺陷密度意味着将发现所有问题。那很好。另一方面,如果应用程序处于维护模式,则缺陷密度应该降低-并呈下降趋势-以表明应用程序随着时间的推移变得越来越安全。如果没有,那就有问题了。

安全度量标准4:暴露的窗口

组织可以识别应用程序中的缺陷,但是在解决缺陷之前,应用程序仍然容易受到攻击。暴露时间窗口查看的是一年中有多少天某个应用程序仍然容易受到已知严重漏洞和问题的攻击。 Wong说:“目标是在一年之内有零天,在此期间已知已发现严重缺陷并且尚未解决。”

误导性指标

总体而言,管理层喜欢将重点放在安全事件的预防上,部分原因是传统观念认为组织可以在外围阻止所有攻击。例如,让每个人看到被阻止的入侵尝试次数可能会让每个人感觉很好,但是该信息没有可采取的行动-它不会帮助安全团队确定哪些攻击未被阻止。雷神公司/ Websense的首席技术官约书亚·道格拉斯(Joshua Douglas)说:“您什么都没有解决。”

平均响应时间,或发现和缓解问题的速度,是另一个没有用的指标。响应时间忽略了攻击者倾向于通过网络横向移动这一事实。您可以解决一个问题,但是如果没有人试图确定攻击者可能还做了其他事情,那么同一攻击者入侵的另一种系统可能就不会引起注意。仅关注单个问题而不是整个安全,会使环境容易受到攻击。

道格拉斯说:“这不是一个完成的事情,而是一个可以理解的事情。”

跟踪的另一个常见指标是减少漏洞,但它本身并没有那么有用。如果修复了许多低级漏洞,则组织的风险将保持不变,而关键问题仍然存在。有些漏洞比其他漏洞更有意义。

在最近的雷神公司/ Websense调查中,只有28%的高管认为组织中使用的安全性指标“完全有效”,而65%的高管认为“有些有效”。安全从业人员需要向高级管理层解释如何关注于有助于实现明确目标的安全问题。否则,将过多的注意力浪费在实际上无法降低风险或提高安全性的信息上。

“那真的是您度过有限的时间和金钱的最佳去处吗?”黄问。

这个故事“重要的4个安全指标”最初是由 信息世界 .

有关:

版权 © 2015 IDG通讯 ,Inc.