業(yè)務(wù)主管、副總裁和企業(yè)高管在網(wǎng)絡(luò)安全領(lǐng)域的職業(yè)發(fā)展的區(qū)別在于，他們?nèi)绾螌⑺龅墓ぷ髀?lián)系起來(lái)以實(shí)現(xiàn)業(yè)務(wù)價(jià)值。他們不依賴于安全工具點(diǎn)擊鼠標(biāo)就能生成的數(shù)百個(gè)固定指標(biāo)。與其相反，他們更能分辨出他們制定和共享的指標(biāo)。例如，一個(gè)重點(diǎn)是使用指標(biāo)來(lái)提高端點(diǎn)安全性，并表明它可以提供業(yè)務(wù)價(jià)值。

 

由于知道如何管理和指導(dǎo)網(wǎng)絡(luò)安全戰(zhàn)略以交付業(yè)務(wù)價(jià)值和可衡量結(jié)果，越來(lái)越多首席信息安全官被邀請(qǐng)加入他們所在公司的董事會(huì)。

 

云原生網(wǎng)絡(luò)安全服務(wù)商CrowdStrike公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官George Kurtz在今年九月舉辦的Crowd StrikeFal大會(huì)的主題演講中說(shuō)道，“我看到越來(lái)越多的首席信息安全官加入董事會(huì)。我認(rèn)為這是一個(gè)很好的機(jī)會(huì)，可以讓大家了解首席信息安全官對(duì)企業(yè)業(yè)務(wù)的影響。從職業(yè)生涯的角度來(lái)看，能夠成為董事會(huì)的一員，可以幫助首席信息安全官在這段旅程中順利前行，這非常棒。”

 

 

在Kurtz在會(huì)上發(fā)表主題演講之后，行業(yè)媒體采訪了CrowdStrike公司的一家客戶的首席信息安全官，他們?cè)谶x擇和使用標(biāo)準(zhǔn)向企業(yè)傳達(dá)網(wǎng)絡(luò)安全價(jià)值方面提供了建議。最重要的是只提供支持和顯示企業(yè)范圍內(nèi)平衡記分卡集成價(jià)值的指標(biāo)。平衡計(jì)分卡以首席執(zhí)行官對(duì)董事會(huì)講話的方式來(lái)表達(dá)，所以這是一個(gè)立竿見(jiàn)影的勝利，因?yàn)樗荏w現(xiàn)網(wǎng)絡(luò)安全在量化對(duì)業(yè)務(wù)的直接貢獻(xiàn)方面的價(jià)值。

 

在選擇向業(yè)務(wù)報(bào)告網(wǎng)絡(luò)安全價(jià)值的指標(biāo)時(shí)，首席信息安全官其他一些建議包括:

 

(1)工具驅(qū)動(dòng)的度量通常缺乏場(chǎng)景，所以要謹(jǐn)慎使用

 

鑒于無(wú)惡意軟件攻擊的迅速增加，網(wǎng)絡(luò)安全團(tuán)隊(duì)有增加更多指標(biāo)的趨勢(shì)。網(wǎng)絡(luò)安全團(tuán)隊(duì)將更多的報(bào)告數(shù)據(jù)視為應(yīng)對(duì)風(fēng)險(xiǎn)上升的靈丹妙藥，但目前尚不清楚，他們將盡可能多地采用指標(biāo)，尋找線索。首席信息安全官團(tuán)隊(duì)依靠防病毒軟件、安全信息和事件管理(SIEM)、安全票務(wù)系統(tǒng)、漏洞掃描器等，生成了大量缺乏場(chǎng)景的指標(biāo)。

 

一些首席信息安全官警告說(shuō)，直接從工具中提出指標(biāo)，而沒(méi)有對(duì)這些指標(biāo)進(jìn)行說(shuō)明。首席執(zhí)行官和董事會(huì)成員更關(guān)注與環(huán)境相關(guān)的新見(jiàn)解，而不是一系列戰(zhàn)術(shù)措施。

 

(2)優(yōu)先考慮用戶請(qǐng)求并知道何時(shí)拒絕

 

每一個(gè)新的令人關(guān)注的入侵或破壞都會(huì)導(dǎo)致多達(dá)十幾個(gè)或更多的內(nèi)部用戶要求新的度量標(biāo)準(zhǔn)。根據(jù)用戶請(qǐng)求為場(chǎng)景智能提供的價(jià)值和交付業(yè)務(wù)價(jià)值來(lái)管理用戶請(qǐng)求是至關(guān)重要的。首席信息安全官表示，如果與量化網(wǎng)絡(luò)安全所提供價(jià)值的所需指標(biāo)沒(méi)有聯(lián)系，那么很容易拒絕其他指標(biāo)請(qǐng)求。

 

(3)隨著時(shí)間的推移，最值得信賴的指標(biāo)得到緩慢而謹(jǐn)慎的改進(jìn)

 

網(wǎng)絡(luò)安全供應(yīng)商承諾擁有他們需要的所有安全指標(biāo)，與此相反，首席信息安全官表示，在持續(xù)微調(diào)一些指標(biāo)，以顯示網(wǎng)絡(luò)安全的商業(yè)價(jià)值。最值得信賴的指標(biāo)在精確量化安全支出如何提高抵御力和保障增長(zhǎng)方面有著良好的記錄。

 

美國(guó)亞利桑那州國(guó)土安全部主任兼首席信息官Tim Roemer說(shuō)，“要確保這些指標(biāo)足夠簡(jiǎn)單，無(wú)需冗長(zhǎng)的解釋就能讓企業(yè)高管理解。如果衡量標(biāo)準(zhǔn)太復(fù)雜，它們就沒(méi)有幫助，甚至可能帶來(lái)?yè)p害。”

 

(4)保持精確的測(cè)量和一致的監(jiān)控平衡

 

用數(shù)據(jù)定義度量的場(chǎng)景遠(yuǎn)比依靠故事或軼事更有效。首席信息安全官表示，對(duì)入侵和入侵企圖增加的本能反應(yīng)是收緊度量的粒度。試圖獲得比指標(biāo)設(shè)計(jì)提供的更高的準(zhǔn)確性和精確度是一些首席信息安全官的障礙。與其相反，隨著時(shí)間的推移，數(shù)據(jù)的一致性有助于提供場(chǎng)景，而這正是企業(yè)高管關(guān)注的關(guān)于網(wǎng)絡(luò)安全支出和結(jié)果的內(nèi)容。

 

 

當(dāng)網(wǎng)絡(luò)安全專業(yè)人員升職成為首席信息安全官時(shí)，最初他們通常專注于建立一個(gè)可測(cè)量的安全級(jí)別和風(fēng)險(xiǎn)管理基線。然而，隨著網(wǎng)絡(luò)安全供應(yīng)商繼續(xù)改進(jìn)他們對(duì)預(yù)測(cè)分析和機(jī)器學(xué)習(xí)的使用，人們?cè)絹?lái)越依賴于對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的相對(duì)水平進(jìn)行評(píng)分。首席信息安全官還應(yīng)該開(kāi)始跟蹤基于活動(dòng)的指標(biāo)，包括釣魚(yú)培訓(xùn)電子郵件的時(shí)鐘頻率，因?yàn)樗鼈冇兄诩訌?qiáng)培訓(xùn)項(xiàng)目，并有助于建立更有效的人工防火墻。

 

Roemer說(shuō)，“我們與RiskSense公司合作，讓我們所有的機(jī)構(gòu)都有網(wǎng)絡(luò)風(fēng)險(xiǎn)的信用評(píng)分。這有助于推動(dòng)我們的企業(yè)安全計(jì)劃，將其作為一個(gè)高度優(yōu)先事項(xiàng)，以幫助這些機(jī)構(gòu)通過(guò)采用我們的工具來(lái)提高這些評(píng)分。在提高風(fēng)險(xiǎn)評(píng)分的同時(shí)，我們不斷提高目標(biāo)，并在各機(jī)構(gòu)之間開(kāi)展競(jìng)爭(zhēng)，其結(jié)果將在董事會(huì)會(huì)議公布。”

 

 

首席信息安全官表示，入侵嘗試和威脅越來(lái)越多地跨越網(wǎng)絡(luò)和物理攻擊載體，特別是在企業(yè)園區(qū)和政府大樓。最小權(quán)限訪問(wèn)與標(biāo)記系統(tǒng)和任何企業(yè)數(shù)據(jù)系統(tǒng)、數(shù)據(jù)存儲(chǔ)或網(wǎng)絡(luò)一樣重要。依賴工業(yè)控制系統(tǒng)(ICS)的加工廠是網(wǎng)絡(luò)攻擊者的主要目標(biāo)，他們可以利用U盤(pán)采用勒索軟件感染工廠設(shè)備。電力、石油和電力加工廠運(yùn)行的工業(yè)控制系統(tǒng)(ICS)系統(tǒng)并不是為安全設(shè)計(jì)的。依靠氣隙來(lái)保護(hù)工業(yè)控制系統(tǒng)(ICS)是最危險(xiǎn)的策略之一。在使用集成電路的制造商和工廠中，出現(xiàn)了漏洞泛濫的情況，零信任有助于緩解這種情況。

 

Roemer在最近接受采訪時(shí)說(shuō)，“零信任對(duì)物理安全和網(wǎng)絡(luò)安全同樣重要。因此，作為我們部門(mén)的一項(xiàng)合理的戰(zhàn)略，它在各個(gè)方面都很有效。就像不希望有人持有徽章可以訪問(wèn)國(guó)會(huì)大廈一樣，我們也不希望一個(gè)擁有管理權(quán)限的員工能夠訪問(wèn)他們不需要訪問(wèn)的數(shù)據(jù)。”

 

特權(quán)訪問(wèn)管理(PAM)和身份訪問(wèn)管理(IAM)是許多零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)計(jì)劃的核心，可以提供關(guān)于網(wǎng)絡(luò)安全對(duì)業(yè)務(wù)貢獻(xiàn)的有價(jià)值的場(chǎng)景數(shù)據(jù)。例如，人們經(jīng)常會(huì)發(fā)現(xiàn)CrowdStrike和Elastic儀表板被用于跟蹤管理帳戶的使用情況。一些首席信息安全官表示，他們也使用CrowdStrike的數(shù)據(jù)來(lái)完成定期審計(jì)和評(píng)估登錄嘗試、最后登錄日期、密碼更改歷史和特權(quán)訪問(wèn)歷史。

 

 

幾乎每個(gè)企業(yè)面臨的潛在入侵或威脅活動(dòng)都始于端點(diǎn)攻擊。典型的端點(diǎn)平均安裝了11.7個(gè)安全控件，每個(gè)控件都以不同的速度衰減，從而產(chǎn)生多個(gè)威脅面。bsolute Software公司的2021年端點(diǎn)風(fēng)險(xiǎn)報(bào)告發(fā)現(xiàn)，52%的端點(diǎn)安裝了三個(gè)或更多端點(diǎn)管理客戶端，59%的端點(diǎn)安裝了一個(gè)以上身份訪問(wèn)管理(IAM)客戶端。根據(jù)Tanium公司最近進(jìn)行的一項(xiàng)調(diào)查，55%的網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理專業(yè)人士估計(jì)，超過(guò)75%的端點(diǎn)攻擊無(wú)法被他們現(xiàn)有的安全系統(tǒng)阻止，這使得旨在防止端點(diǎn)攻擊的指標(biāo)成為優(yōu)先事項(xiàng)。

 

了解每個(gè)端點(diǎn)上的內(nèi)容以及每個(gè)端點(diǎn)的位置是ZTNA成功的戰(zhàn)略的核心。Absolute Resilience、CrowdStrike Falcon、Ivanti Endpoint Manager、Trend Micro、SentinelOne等是端點(diǎn)保護(hù)平臺(tái)的行業(yè)領(lǐng)導(dǎo)者，他們可以跟蹤每個(gè)端點(diǎn)資產(chǎn)及其配置。首席信息安全官希望將所有這些數(shù)據(jù)放在一個(gè)平臺(tái)上，以獲得場(chǎng)景洞察力，并表明網(wǎng)絡(luò)安全正在提供價(jià)值。

 

當(dāng)行業(yè)媒體詢問(wèn)Roemer威脅檢測(cè)作為一個(gè)指標(biāo)有多重要時(shí)，他說(shuō):“這是非常有價(jià)值的。我們使用的CrowdStrike儀表板是我們之前儀表板的巨大升級(jí)，我甚至無(wú)法想象如果沒(méi)有它們，首席信息安全官將會(huì)如何應(yīng)對(duì)。此外，每當(dāng)我們?yōu)槲覀兊臋C(jī)構(gòu)設(shè)置網(wǎng)絡(luò)安全措施時(shí)，他們總是會(huì)立即向我們提供令人滿意的反饋結(jié)果。”

 

當(dāng)被問(wèn)及如何將終端保護(hù)和資產(chǎn)管理作為部門(mén)目標(biāo)的核心部分時(shí)，Roemer表示:“CrowdStrike和Tanium在我們的整個(gè)企業(yè)安全項(xiàng)目中合作得很好。當(dāng)新冠疫情發(fā)生時(shí)，這對(duì)我們來(lái)說(shuō)是游戲規(guī)則的改變，隨著遠(yuǎn)程工作人員的增加，這對(duì)我們來(lái)說(shuō)仍然至關(guān)重要。它允許我們監(jiān)控終端上的軟件，并遠(yuǎn)程推送補(bǔ)丁。”

 

端點(diǎn)可見(jiàn)性指標(biāo)在證明跨組織的安全性價(jià)值方面很有價(jià)值。通過(guò)端點(diǎn)類型、位置和分段將重點(diǎn)放在跟蹤公開(kāi)和修復(fù)的漏洞上。Roemer說(shuō)，“通過(guò)Tanium，我們的庫(kù)存管理工具可以查看網(wǎng)絡(luò)連接內(nèi)容，能夠看到幾個(gè)漏洞被迅速修復(fù)和打開(kāi)的漏洞數(shù)量，這很有用。”

 

 

這兩個(gè)指標(biāo)都衡量了安全部門(mén)的運(yùn)營(yíng)效率水平，以及跨其他部門(mén)的安全協(xié)調(diào)情況。例如，首席信息安全官通常依賴平均檢測(cè)時(shí)間作為跨部門(mén)的高級(jí)度量平均值來(lái)了解系統(tǒng)檢測(cè)事件的效果。具體措施的例子包括威脅行為人的停留時(shí)間。它還被用作內(nèi)部指標(biāo)，以量化安全操作中心(SOC)結(jié)合工具檢測(cè)事件的速度。

 

Roemer表示，準(zhǔn)確測(cè)量平均恢復(fù)時(shí)間更具挑戰(zhàn)性，因?yàn)檫@并不總是安全團(tuán)隊(duì)的性能指標(biāo)。他指出，要獲得準(zhǔn)確的度量，通常需要IT運(yùn)營(yíng)和業(yè)務(wù)支持，并在很大程度上依賴于準(zhǔn)備工作作為改進(jìn)度量的輸入，包括良好的離線備份、彈性云環(huán)境、業(yè)務(wù)連續(xù)性、應(yīng)急和災(zāi)難恢復(fù)計(jì)劃。

 

Roemer說(shuō):“我們能做的事情就是確保各機(jī)構(gòu)遵守當(dāng)?shù)胤ㄒ?guī)和政策，這些政策要求制定應(yīng)急計(jì)劃、事件應(yīng)對(duì)計(jì)劃，并幫助定期測(cè)試和執(zhí)行這些計(jì)劃，以便他們能夠做好應(yīng)對(duì)重大事件和從重大事件中恢復(fù)的最佳準(zhǔn)備。”

 

 

大多數(shù)儀表板有很多的指標(biāo)來(lái)傳達(dá)網(wǎng)絡(luò)安全給企業(yè)帶來(lái)的價(jià)值。而現(xiàn)在是認(rèn)真審視儀表板的時(shí)候了，削減那些不會(huì)影響彈性、增長(zhǎng)或終端安全的指標(biāo)。每一個(gè)新的違規(guī)行為都會(huì)導(dǎo)致10多個(gè)新的度量請(qǐng)求。增加更多指標(biāo)并不是避免網(wǎng)絡(luò)攻擊的靈丹妙藥，擁有可靠的、值得信賴的數(shù)據(jù)才是。

 

 

國(guó)內(nèi)主流的to B IT門(mén)戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智（www.cioall.com）。同時(shí)運(yùn)營(yíng)18個(gè)IT行業(yè)公眾號(hào)（微信搜索D1net即可關(guān)注）。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。