随着现代企业数字化转型发展的不断深入,在网络安全建设中的投入也在不断增加,力求全方位保障企业的业务系统和数据资产安全。然而,安全上的投资与人员上的投入,并不直接等同于实际防护能力的提升。
网络安全由于其服务支撑功能定位,其能力构成与投入效果很难被量化地感知和考量,往往依靠主观和感性的判断,建设单位投入了大量的资源,最后并没有得到相匹配的安全保障。实践证明,很多企业的安全建设中都存在安全产品堆积、功能落差大、回报率低、实战能力未知等问题。
检测考核是验证一切工作成果最有效的方法,缺失有效的、客观检测和考核量化指标,一旦出现问题,建设单位将付出惨重的代价。在企业实际安全运营工作中,有许多指标需要考虑,比如平均漏洞修补时间、数据传输速率和网络端口暴露面等。但是每个企业都应建立一套基本性的安全建设策略与评价方法,从核心要素入手,对网络安全投入效果与实际能力进行科学、客观的评价,本文讨论了企业要密切跟踪的五个重要安全能力指标。
平均检测时间
平均检测时间(MTTD)是IT运营团队需衡量的标准指标,他们用它来评估识别特定的问题平均用时多久。由于威胁分子使用越来越隐蔽的手法来隐藏攻击意图,因此许多企业很难快速检测到其面临的网络安全威胁,MTTD能力指标目前对企业的价值变得越来越重要。
发现环境中是否存在威胁所需的时间越长,攻击可能造成的危害就越大。如果未能检测并隔离受影响的资源,事件可能愈演愈烈,结果影响更多的应用程序和数据。企业需要定期全面评估安全团队检测网络安全事件需要多长时间,并旨在不断缩短这个指标。
平均处置时间
检测只是解决安全事件的第一步。这就是为什么平均处置时间(MTTR)是同等重要的安全分析指标,需要认真衡量。
MTTR反映了安全事件发生后安全运营团队的工作效率有多高。如果跟踪这个指标,就可以评估改变安全运营策略后可以获得多大的效率,比如采用一种新工具,或者对安全响应团队进行组织层面上的改变。MTTR还可用于评估团队快速解决不同安全事件的能力,比如DDoS攻击、勒索软件攻击和数据泄漏。
平均响应时间
响应通常出现在安全事件检测与有效处置之间。响应是指这个过程:一旦检测到安全事件,隔离受影响的资源,以免使其受到进一步的危害。
平均响应时间(MTTC)在一些方面甚至比MTTR还要重要,因为解决安全事件的总成本很大程度上取决于安全团队对突发事件的快速响应能力,响应时间越短,解决问题的成本就会越低。
因此,除了跟踪MTTD和MTTR外,还要跟踪MTTC。如果管理者发现组织可以迅速检测事件,但之后却需要很长时间才能启动有效的响应机制和流程,这就反映出整体安全能力建设的不均衡,有必要在响应能力提升方面加大投入。
网络资产的识别能力
今天的网络变得非常弹性,各种终端设备不断接入和下线,网络边界已经变得越来越模糊,因为它们不断连接到远程云基础设施和通过VPN连接异地网络等。这意味着企业更加难以准确认定网络设备的合法性和安全性。
在此背景下,安全团队更需要系统地跟踪网络上有多少未识别的设备。未识别的设备是指来源和用途未知的设备。在许多情况下,未识别的设备是良性的。它们可能是工程师创建的新虚拟机,也可能是员工带到现场的移动设备。
不过,网络上未识别设备的数量通常应遵循一致的模式。假设检测到的未知设备突然激增,这可能表明面临风险,比如未遵守公司IT治理规定的员工未经授权创建了新端点,或者更糟糕的是,攻击者将恶意设备带入到环境,导致安全事件升级。
访问控制能力
现代IT环境的访问控制角色和策略很复杂。不同的网络基础设施(比如公共云以及本地服务器和工作站)通常需要匹配不同的访问控制方法,因而需要使用不同类型的设备和策略。
没有哪种简单的方法可以跟踪访问控制配置或积极识别风险。为此,需要全面而详细的访问控制管理技术,比如云安全态势管理(CSPM)和云基础设施权限管理(CIEM)。很多安全分析策略都可以跟踪指标,比如访问控制配置中的用户和角色数量等指标。企业还可以衡量访问控制策略变化的频率。这两个指标若出现异常波动,很大程度上表明可能已经存在安全问题。