网络日志、漏洞管理、基础设施监控工具和安全设备不断在产生大量实时数据,IT风险管理人员必须想办法将这些数据转换成一套统一的风险指标,从而来帮助企业作出决策。
规范化企业内的各种安全数据是帮助企业创建风险指标的关键
Tripwire公司首席技术官Dwayne Melancon表示:“我们如何将这些数据转变成有用的指标来帮助企业确定其安全性,或者风险评分正在下降呢?”
这不是简单的事情,但企业可以从某种类型的数据规范化过程开始。数据规范化可以帮助企业更好地进行数据比对,从而发现异常数据。
RSA公司eGRC解决方案经理Steve Schlarman认为这些指标不应该过于复杂,“规范化安全数据的过程应该着眼于列出企业面临的关键的安全风险,这些风险可以通过量化的、一致的和可测量的指标来评估,如果数据需要花很长时间来编译、报告或者评估,那么企业将无法得出可行的指标。”
为了规范化安全数据,并将其转化为风险指标,Melancon认为首先应该从业务部分开始,这样做能够列出更短和更相关的需要规范化的数据清单。他表示:“很多人习惯从控制开始,而最后结果是他们得到更多的控制,更加复杂化。”
因此,如果是一家上市公司,首先应该通过查看其年度报告来了解该公司如何赚钱,并思考威胁其主要收入的最大风险。
“然后回过头来说,‘我们有哪些控制来帮助我们监控这些风险?’”他表示来自这些工具的数据就是企业用于建立安全性能指标和风险评分的数据。Melancon说道,企业应该基于某些资产对企业的重要程度来规范化数据。
在评估企业资产来确定哪些数据应该被规范化后,企业将能够确定规范化其测量指标所需要的控制数量。这不仅能帮助建立一致性,而且能提高响应速度。Cirries Technology公司总裁Rick Aguirre表示,“数据规范化的现实目标是能够实时分析有用的数据,特别是用于风险评估和管理。” 企业应该为每个指标明确定义7个核心属性:指标描述、指标测量过程或公示、指标所有权、指标范围、指标来源、测量频率以及趋势预期。在此基础上,风险管理团队应该为指标所有者提供某种形式的论坛来进行报告以及分析根本原因。
他表示:“我们的目标是建立可持续使用的程序,而不是一次性,然后,随着时间的推移,程序内某些指标在必要时‘被激活’或‘废除’。”
目前,企业对其资产数据的安全和风险评级有些混乱,有些使用保密性、完整性和可用性评级,有些可能会使用NIST框架。其中,他认为由NIST和美国国土安全局共同开发的持续资产评估、情境感知和风险评分(CAESARS)框架比较具有潜力。
Melancon 表示:“其概念是将防病毒、IDS、IPS、文件完整性监控、数据库活动监控等所有不同的评分,变成一个综合指标,然后你使用该指标来追踪你的风险情况,这是个很好的想法,但执行很困难。”
他认为业界需要推出“更轻量级”版本的CAESARS,这样,即使是预算有限或者人员有限的企业,仍然可以利用其中的5到10个指标来评估风险。
通过建立这些指标,IT部门能够更容易地向高层关键风险指标,从而帮助他们做出正确的决策。
