请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册
搜索

高效CISO需要关注的七个安全指标

[复制链接]
点击蓝字关注我们


014950mb0v22z42mjn10m1.jpg



当企业安全预算的增长面对“不可连续”风险,CISO应该开始器重哪些安全指标?

CISO最具挑衅性的工作之一就是选择正确的指标来量化企业网络安全体系的本领和代价,这是企业网络安全战略和服从的根本。如果说KPI是一种病,那么,没有什么比选择错误的KPI指标更加可骇的变乱了,尤其是企业安全预算开始吃紧的黑天鹅时期。


网络安全预算“无厘头”增长已经不可连续


零信托必要钱、威胁谍报必要钱、毛病管理必要钱、下一代防火墙必要钱、下一代SOC/SOAR/SIEM必要钱、数据防走漏必要钱、打单软件必要钱、等保合规必要钱、安全意识培训必要钱……这些还都是肉眼可见的、优先级很高的“烧钱项”。

但是不少安全主管,以致是着名跨国公司或上市公司的安全主管,兜里的预算,都无法完备覆盖多个安全重点投资范畴。克日埃森哲的一份CISO陈诉给出了逐年递增的安全预算中,“最烧钱”的十七个安全技能,排名如下:


014950oqtt7g4tq8gnizba.jpg

数据来自:埃森哲企业安全主管2020向导力陈诉



【牛调研】




正如埃森哲陈诉中所指出的,当安全投入连续增长与安全“绩效”不成比例的时间,企业安全预算年复一年的“无厘头”增长已经不可连续,CISO必须拿出有说服力的指标为预算正名,否则“没米下锅”的CISO将难以摆脱“救火队员“的荣誉脚色。

起首CISO要熟悉到安全预算是个主观命题,尤其是对于安全预算在整个IT付出占比显着偏低的中国企业,将来很长一段时间,安全预算的增长都是局面所趋。但是,一个根本标题必须得到管理:企业安全预算每每必要借助“想哭病毒”、“删库跑路”之类的巨大安全事故来与企业管理层和董事会告竣阶段性“体谅”,而不是通过可运营可跨部分沟通的安全指标。

固然多年以来,企业安全向导者已经利用过无数指标。但是与业务部分和管理层基于指标的沟通机制却并未通畅起来。很多高管和董事会成员经常会诉苦说,这些步调未能资助他们充实相识或明白安全部分的体现、改历水平以及不敷之处,安全的可视性和可丈量性依然非常糟糕。


安全公司SpearTip总裁兼首席实验官Jarrett Kolthoff说道:


CISO们给首席实验官和董事会的陈诉里包罗太多技能术语,比方严峻毛病和补丁数目,但董事会实在并不相识他在说什么。


他增补说:


这些数字对于CISO大概非常有用,但是CISO必要基于安全指标和尺度来提供配景信息,以便董事会相识风险以及必要在安全方面举行多少投资。


包罗Kolthoff在内的网络安全专家以为,对于不偕行业和规模企业的CISO来说,在权衡安全工作效果和战略方面,并没有一套放之四海皆准的安全指标。但是,有一点可以确定的是:有一些安全指标的组合,对于大多数企业来说,都必要格外器重。


五个对企业依然告急的“旧”安全指标


固然差别地域、差别规模和不偕行业的企业面对的安全威胁优先级不尽雷同,但是在订定有用的新安全指标方面,有着共同诉求和根本原则:

安全指标必要与安全丧失和业务目的挂钩,且可以或许容易被业务部分大概董事会所明白。

只管“站在业务目的角度”评估安全性的新指标体系是当下CISO们关注的热门,但资深的CISO和安全管理顾问体现,已往安全团队利用的很多安全指标依然很有代价,CISO应该思量围绕这些指标添加其他上下文内容。

1
匀称规复时间MTTR


Harmer根据构造已确定的风险意愿,丈量受变乱影响的用户百分比,安全团队管理标题的速率以及该时间是否到达、凌驾或少于目的时间。根据埃森哲2020年CISO向导力陈诉,在进步检测相应速率,淘汰MTTR方面,CISO对新技能采取的优先级如下:


014950un9nitktkttxttoo.jpg



可以看出,SOAR和AI是CISO极为看重的两个安全技能,而且二者具有互补性,AI在快速检测(MTTD)方面有上风,而SOAR则是收缩规复时间的终极方案,因此SOAR和AI对于安全决定者来说,只有双剑合璧才气告竣最佳安全指标。

2
匀称检测时间MTTD


014950kb7j3yvis31vxvtm.jpg



诸如匀称检测时间(权衡从一次乐成攻击到检测出这段时间所耗费的时间)之类的指标,可以反映企业安全体系的运行状态并可以举行跟踪改善。这些指标有助于CISO与最高管理层讨论必要举行哪些投资才气实现改进。别的,如许的度量尺度鼓励连续改进。

3
渗出测试


与模仿网络垂纶攻击一样让渗出测试干系指标可以或许表明构造抵抗此类变乱的本领以及可以随时间推移跟踪改进的水平。这是很多CISO以及高管和董事会成员所明白和器重的指标。

4
毛病管理


CISO可以思量开发毛病管理的指标,以用于陈诉其毛病管理步调的有用性,不应该只陈诉已完成的补丁步调的数目,而应该根据构造的安全状态来权衡安全部分管理毛病的本领,从而最大水平地发挥指标的作用——不是要修补100个低风险补丁,而是要确保尽快修补风险最大的毛病。

5
安全审计


一些CISO利用了NIST、ITIL和互联网安全中央(CIS)框架开发了计分卡,这非常有助于快速展示安全工作的成效和希望。


放弃4个指标


随着用于考量企业安万本领、有用性的性指标的出现,专家发起淘汰以致放弃利用以下安全评估指标:

1
攻击次数


CISO辛普森以为:


没有人关心您是否一个月内克制了10万次攻击,这比如说,如果您的收入为100%,那我为什么还要再给您100万美元呢?


别的,企业面对的威胁不是克制10万次低级别攻击,而是要克制大概使公司倒闭的致命攻击。


2
补丁完成数


缘故原由同上。


3
确定的毛病


缘故原由同上。


4
被克制的病毒


缘故原由同上。


只管上述四个指标对于CISO而言是对已完成工作的内部权衡,大概对于确认构造是否到达合规要求有其意义,但它们本身险些没有代价,而且大概会使企业陷入一种错误的安全感。


必要关注的两个新指标


一些新兴的安全指标每每不在CISO的雷达图内,比方“职员满足度”,比方安全牛曾经保举过网络安全的下一关键指标:MTTH(匀称强化时间)。

1
MTTH(匀称强化时间)


MTTH是指毛病披露到武器化和商品化形成巨大杀伤力之前的这段时间窗口内,企业安全团队怎样收缩毛病缓解和安全加固步调的摆设周期。下一代企业网络安全有两个关键“抓手”,一方面企业必要收缩“反射弧”,大幅进步检测和相应速率,收缩驻留时间,这也是xDR干系产物和概念连续火爆的缘故原由;另一方面,在防备阶段,必要大幅度收缩强化时间,扭转与攻击者龟兔竞走的倒霉局面,但这一点现在受到的器重还不敷。

2
员工安全培训率


014951m3bl3olamlyofdqf.jpg



根据埃森哲的陈诉,网络安全精良向导者平静常向导者对培训的器重水平有巨大差别,从上图的观察数据可以看到,对于新的安全工具和产物,凌驾30%的精良向导者的团队培训率凌驾75%,只有9%的平常向导者的团队得到凌驾75%的培训率。


干系阅读
让业务与安全贴合:顺应业务需求的网络安全指标
网络安全的下一个重点指标:匀称强化时间
网络安全二十年关键词统计,CISO的第二次脚色变革


014951vo0ppav2ews8lmv8.jpg
互助电话:18311333376
互助微信:aqniu001
投稿邮箱:editor@aqniu.com






014951ax0zb3ycnq3b45x4.jpg


本文来自极酷区配资门户--www.jikuqu.com收集于网络整理
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

广告