随着安全问题越来越多的受到董事会和管理层的关注,不仅管理层需要各种指标以得到对安全态势更为清晰的视角,安全专业人士也逐渐被要求提供一些可以跟踪公司当前防御状态的各项指标。但,哪些数字才是真正有用的呢?
通常情况下,高级管理层不太清楚该过问哪类问题,还可能会太过关注预防而疏于减轻损失。类似响应安全事件的平均费用或是防火墙阻止了多少次攻击这样的指标对非安全人员来说貌似挺合乎情理的,但这些东西真的对公司的安全计划毫无推进效能。相反,专家们建议将注意力放在那些可以影响行为或改变策略的指标上。
像漏洞修补平均成本和打补丁平均时间这样的指标,如果公司拥有成熟和高度优化的流程,那还是很有用的。但问题在于,当前95%的公司都达不到这一标准。不过,度量参与度、有效性和暴露窗口期的几种指标还是可以为公司提供用以制定计划和改善防御项目的信息的。以下就是可指引管理层得出有用结论的四大安全指标:
安全指标 1:项目参与程度
参与度指标着眼于公司内部的覆盖率。它们可能度量有多少业务单位经常进行渗透测试或多少终端处于自动补丁系统维持更新状态。据王所言,这些基本信息能够帮助公司评估安全控制采用级别并标识出潜在的安全空白区。
比如说,能够宣称公司系统100%保持更新到一个月之内或许听起来挺好的,但这其实是个不现实的目标,因为打补丁本身有可能对某些系统带来操作性风险。目光投向参与度指标能够帮助排除那些不符合列入常规补丁规则的系统——专注于那些应该打补丁的系统。
安全指标 2:攻击持续时间
驻留时间,或者说攻击者处在公司网络中的时间,同样可以带来有价值的结论。攻击持续信息能够帮助安全专家们准备好限制和控制威胁并最小化损失。
调查显示,攻击者在公司网络内部潜伏的平均时间一般是几个月,期间熟悉公司的基础设施,进行侦察活动,在网络中游弋,以及偷取信息。
防御目标应该是尽可能减少驻留时间,不给攻击者留下逡巡公司网络删除关键数据的机会。清楚驻留时间可以帮助安全团队找出处理漏洞补救和事件响应的方法。
“攻击者在你网络中停留的时间越长,他们能获取到的信息就越多,能造成的伤害也就越大。”
安全指标 3:代码缺陷密度
缺陷密度,或者说每千行(或百万行)代码中的问题数,可以帮助公司评估自身开发团队的安全实践水平。
不过,上下文是关键。如果一个应用正处于开发初期,那么,高缺陷密度意味着所有问题都被发现了。这是好事。另一方面,如果一个应用已经处于维护模式,缺陷密度就应该更低些,并呈现下降趋势,这样才表明应用随着时间的流逝而变得更安全。如若不然,应用代码有问题是肯定的。
安全指标 4:暴露窗口期
公司有可能找出了应用中的缺陷,但直到解决缺陷问题之前该应用都是脆弱而易被攻破的。暴露窗口期指标着眼于一年中应用对已知严重漏洞和问题毫无防范能力的天数。“我们的目标是:让严重漏洞被发现而补丁尚未出台的时间缩减为0天。”
误导性指标
管理层一般都喜欢关注安全事件预防,其原因有部分是源于固有的“所有的攻击都能被阻挡在外围”的传统观念。比如说,看到被阻止的入侵尝试次数就会令所有人都感觉良好。但这一信息根本不能提供任何可行操作——它帮不了安全团队找出有哪些攻击没被拦住。Raytheon/Websense首席技术官约书亚·道格拉斯说:“你解决不了任何问题。”
平均响应时间,或者说发现并解决问题有多快,是另一个没什么卵用的指标。响应时间忽视了攻击者倾向于在网络中横向移动这一事实。你也许能修复一个问题,但如果没人试图确定攻击者在网络中的其他行为,那么被同一个攻击者侵害的其他系统就有可能一直都没被发现。只关注单个事件而非安全态势整体会导致整个安全环境都很脆弱。
这不是解决一个就万事ok的问题,而是解决一个还得拔除一堆的问题。另一个常见的跟踪指标是漏洞减少数量,但这指标本身也不是那么有用。即使补上了大量低级别漏洞,只要关键漏洞仍然门户洞开,公司风险依然如故。某些漏洞就是比其他的更具重量级。
在近期一次Raytheon/Websense调查中,受访高管里只有28%认为他们公司采用的安全指标是“完全有效的”,65%的高管觉得他们公司所用的指标“一定程度上有效”。安全从业人员需要向高级管理层阐明该怎样关注那些有助于达成明确目标的安全问题。否则,就会有太多的注意力被浪费在根本不能切实降低风险或改善安全状态的信息上。
“你有限的时间和资金都用在正确的地方了吗?”