在首席信息安全官試圖想辦法向高管證明投資回報率以及提高安全操作的整體效能時,正確的指標可以幫助推動他們的工作。作為一個行業(yè),信息安全已經(jīng)非常成熟,很多企業(yè)安全領(lǐng)導(dǎo)都發(fā)現(xiàn)了創(chuàng)新的措施來追蹤效能以及推動不斷改善。本文中我們介紹了10個最佳指標來幫助企業(yè)證明安全有效性、尋求更大預(yù)算以及推動安全人員提高他們的日常工作。
檢測和響應(yīng)的平均時間
也被稱為平均知道時間(MTTK),平均檢測時間(ATD)衡量問題(攻擊或配置問題)出現(xiàn)以及安全團隊發(fā)現(xiàn)有問題之間的時間。
Lockheed Martin公司網(wǎng)絡(luò)主管Greg Boison表示:“通過減少ATD,安全運營中心(SOC)人員有更多時間來評估情況,并決定最佳做法來使企業(yè)完成自己的使命,同時防止損害企業(yè)的資產(chǎn)。”
同時,平均解決或響應(yīng)時間則測量安全團隊適當回應(yīng)問題和緩解風險的時間。
“平均響應(yīng)時間(ATTR)可以讓SOC管理人員知道他們是否在迅速和正確地響應(yīng)違反安全政策的行為,”Boison表示,“通過降低ATR,SOC人員可以減少安全違反行為的影響。”
持續(xù)追蹤這兩個指標可以說明安全計劃是否在改善或者惡化,理想情況下,應(yīng)該逐漸改善。
誤報率
追蹤誤報率(FPRR)可以幫助檢查低級別分析師的工作,確保他們作出的判斷會自動過濾誤報安全事件數(shù)據(jù),然后再將篩選后的數(shù)據(jù)發(fā)送給響應(yīng)團隊的其他人。
“盡管部署了自動過濾,SOC團隊必須做出最后決定,即他們警告的事件是否是真正的威脅,”Boison稱,“誤報會讓事件處理者和更高級別管理人員增加已經(jīng)繁重的工作,如果過量的話,可能會降低他們的警惕度。”
高誤報率可能說明需要對低級別分析師進行更好的培訓(xùn),或者更好地調(diào)整分析工具。
“很多時候低級別分析師缺乏對事件原因的良好理解與可實現(xiàn),而讓誤報發(fā)送到高級別分析師,”Cyberreason公司首席執(zhí)行官Lior Div表示,“這導(dǎo)致了昂貴的資源浪費。”
平均修復(fù)軟件漏洞時間
無論是網(wǎng)絡(luò)、移動、云計算還是內(nèi)部應(yīng)用程序,構(gòu)建定制軟件的企業(yè)都應(yīng)該衡量從發(fā)現(xiàn)漏洞到修復(fù)漏洞的時間。
“這個指標可以幫助企業(yè)了解生產(chǎn)軟件中的漏洞情況,”Denim Group公司負責人John Dickson表示“然而,大多數(shù)企業(yè)不會內(nèi)部公布這一指標,而導(dǎo)致最嚴重的應(yīng)用程序漏洞(例如SQL注入)很長時間在生產(chǎn)中。”
實際上,這個數(shù)據(jù)可能被沒有發(fā)生的修復(fù)所歪曲,特別是在開發(fā)過程中。因此,企業(yè)應(yīng)該追蹤報告的關(guān)鍵漏洞數(shù)量和已經(jīng)修復(fù)的漏洞數(shù)量,這將會顯示靜態(tài)分析對企業(yè)的有效性。
Cigital公司安全舉措主管Caroline Wong表示:“為了獲得這個指標,軟件安全團隊必須進行靜態(tài)分析,計算最初發(fā)現(xiàn)的漏洞數(shù)量,并計算實際修復(fù)的漏洞數(shù)量。只有開發(fā)人員真正修復(fù)軟件漏洞,才可能提高代碼的質(zhì)量。”
漏洞修復(fù)延遲
漏洞修復(fù)延遲也可以顯示安全計劃的有效性。
“我們需要證明漏洞修復(fù)的進展,對于擁有成千上萬設(shè)備的很多企業(yè)來說,這可能是一個艱巨的任務(wù)。他們應(yīng)該專注于關(guān)鍵漏洞,并報告修復(fù)延遲情況,”咨詢公司W(wǎng)GM Associates安全做法負責人Scott Shedd表示,“報告我們已經(jīng)修復(fù)的漏洞,哪些還未修復(fù),以及發(fā)現(xiàn)了多少新的漏洞。”
事件響應(yīng)量
追蹤事件響應(yīng)的數(shù)量可以幫助首席信息安全官確定事件被發(fā)現(xiàn)和解決的情況。
“這可以顯示事件正在進行修復(fù)以及根本原因分析,”WGM公司Shedd表示,“這對于持續(xù)改進信息安全計劃非常重要。”
已充分了解的事故率
這個指標也可以幫助了解事件響應(yīng)和安全分析師的效率。
Cybereason的Div表示:“在安全事件中,安全團隊對多少事件有著全面的了解,造成警報的原因,其影響?”
與整體事故數(shù)量相比,這個數(shù)據(jù)越低,說明需要更多人力資源或工具。
分析生產(chǎn)時間
你的安全計劃存在信息過量?測量收集數(shù)據(jù)的時間與分析數(shù)據(jù)的時間,可以幫助回答這個問題。
IKANOW公司總裁Christopher Morgan表示:“減少分析事件讓IT團隊可以更快識別和采取行動來防止或檢測和解決安全泄露事故,從而提高整體安全狀況。”
他表示:“縮短分析安全數(shù)據(jù)的時間—無論是來自內(nèi)部防火墻或SIEM信息或外部威脅情報源,都需要給數(shù)據(jù)科學(xué)家工具盒時間來專注于數(shù)據(jù)分析。”
按時和按預(yù)算完成項目的百分比
首席信息安全官可以向高管提供按時按預(yù)算完成IT安全項目的百分比,讓他們了解其開支情況。Security Mentor公司首席戰(zhàn)略官兼首席安全官Dan Lohrmann表示:“這可能是加密項目、新防火墻或其他安全項目。這一指標可以確保安全可以向管理團隊提供價值和改進。”
自動控制檢測的安全事件百分比
衡量檢測工具的一種方法是追蹤通過自動工具檢測的安全事件的百分比。
Tripwire公司首席技術(shù)官Dwayne Melancon 表示:“這一指標不僅可以鼓勵你熟悉事件檢測情況,還可以讓你專注于自動化,這減少了人力資源要求。這還可以更容易地獲得預(yù)算,因為你可以說明自動化帶來的成本節(jié)約,同時提高企業(yè)安全性。”
員工行為指標
安全意識培訓(xùn)是否有效?我們有很多方法來追蹤和衡量這一點,主要是通過網(wǎng)絡(luò)釣魚和社會工程學(xué)壓力測試,其中你對你的員工進行相關(guān)測試。
基本上,你需要運行一個假的釣魚網(wǎng)站,并打一些社會工程學(xué)電話,研究公司主管Santorelli表示:“對取得好成績的員工予以獎勵和宣傳,幫助犯錯的員工學(xué)習(xí)經(jīng)驗教訓(xùn),這樣,你就會提高員工的抵御力,至少在幾周時間內(nèi)是這樣。”
原文地址:http://www.darkreading.com/10-ways-to-measure-it-security-program-effectiveness/d/d-id/1319494?_mc=RSS_DR_EDT&image_number=1
京公網(wǎng)安備 11010502049343號