概述

安全人員喜歡用一些比較消極的方法來防御惡意攻擊，比如“沒有消息就是最好的消息”（此說法源自美國南北戰爭時期，由于打戰死人后，家人都要收到陣亡通知書，所以人們很害怕得到噩耗，相反，如果沒有什么消息則證明還活著），當然，專家并不贊同這種做法，認為這種方法并不切合實際。

IDC（國際數據公司）安全研究副總裁Lindstrom說：“作為安全部門，我們應該對安全事件本身給予更多的關注，而不只是關注我們所寫的程序的“位和字節”。

在安全公司中，類似CISO、IT主管之類的安全人員需要向CIO或者團隊的業務主管報告一些指標，以展示他們在整個團隊中的績效。但是現在有一個問題，就是大多數安全團隊在進行績效評判的時候，都缺乏明確的指導方針。

Armour首席客戶運營和安全主管Jeff Schilling：在對安全指標進行評判時，需要克服一些困難，因為在企業中，并不是每個地方你都能顧及到，而這些地方發生的事情，你不一定會知道。因此就可能導致團隊在進行評判時，對一些指標進行錯誤的評判。正因為有很多不確定性，在進行績效評估的時候，很難去進行準確的判斷。

“當然，現代企業安全管理人員也正在積極研究一些指標來評估職員的績效。”Joseph Carson（CISSP信息系統安全認證專家）如是說。舉個例子，一些企業通過他們處理的安全事件數量來評估績效。有些企業則通過系統補丁數量，被泄漏的地方數量，以及已識別的企圖破壞組織內部系統的病毒數量來對他們的系統漏洞進行評估（也是績效的一種）。有些企業則采用另外一個指標——已執行的方案數量。

還有一個難題擺在企業面前。就是在處理業務和安全之間的關系時，企業做的并不好。作為安全專家，在制定安全策略時，應該重點關注信息的可靠度和警報效率的關鍵指標。

Carson進一步解釋說:

我們現在衡量指標有很多都不能轉化為業務。我們很難想象，一旦發生事故，會對業務造成什么影響？

以下是衡量一個企業網絡安全是否強大的八個關鍵指標：

第一：特權賬戶持有人

　　所謂特權賬戶，就是說該賬戶具有一般賬戶所沒有的權限。

對從事安全行業的專業人員來說，數據跟蹤、尤其是對員工的數據訪問跟蹤非常重要。我們都知道，通過訪問和權限控制這兩個功能，我們就可以控制內部員工或者外部伙伴對關鍵信息的訪問權。

作為專業的安全人員，我們應該經常問自己這類問題：是否要創建新用戶？企業環境中存在多少個管理員賬戶？誰可以訪問這些賬戶？

Carson指出：如果企業能詳細的記錄特權賬戶使用記錄，就表明該企業的安全狀況良好。如管理員知道高風險帳戶的使用時間，那他們對信息的暴露時間就有一個更好的掌握。

CISO和CIO在與管理層會面時，需要站在業務的角度，告訴領導跟蹤數據會對員工的數據訪問有很大的幫助。在整個企業中，擁有特權帳戶的人是企業風險的中心。通過這些數據，安全負責人就可以了解誰應該接受網絡安全培訓。

第二：數據風險、精確度和位置

確保數據準確性對企業高管來說是至關重要的，如果你能測量數據的準確性，那你也有能力對與業務相關的可量化數據進行測量。

但這也是一個最難去衡量的一個指標，因為數據總是在變，所以在任何時候都難以確保數據準確。

Carson著重強調了記錄數據流的重要性。管理人員需要對APP進行跟蹤，以便了解哪些應用需要額外的安全分析。

數據是非常重要的，通過挖掘數據，安全專家可以了解數據是否安全，有多少數據被加密了，數據的準確度有多高，多少信息已經改變以及數據如何流動。例如，如果管理人員說90%數據都在內圍，10%的數據流到了外部特定的位置，那么他們就能夠更好地確定信息是否到達符合法規和安全策略的位置了。

當然，數據的位置很難測量。而且隨著越來越多的員工使用基于云服務的app和移動設備，造成更多的信息流出企業，信息變得不容易被跟蹤，這無疑增加了出現風險的概率。

第三：警報的效率和準確性

針對警報效率和準確性，行為攻擊檢測公司LightCyber副總裁Jason Matlof有話說：

警報量必須有一個指標。大多數企業收到的警報都大大超出了個人分析師能夠處理的量，每個企業的警報效率必須要有一個規范，需要走規范化的道路。

為了提高效率，企業需要考慮到收到的安全警報的數量，并按每1000臺主機進行劃分，這樣一來針對不同規模的企業，就能做到警報量的規模化了。效率非常關鍵，因為它能夠讓安全分析師從容處理在自己能力范圍內的報警數量。雖然警報效率是一個需要記錄的重要指標，但其準確性也不能忽視，它具有與警報效率相同的權重。說了這么多，有一個不爭的事實我們不得不承認，那就是警報的數量只有在處理關聯的信息時才比較重要。

安全警報的準確性表明了它的可用性。并非每條警報都有用，很多警報并沒有什么價值，比如有些非常模糊，有些則并不重要。說了這么多，到底警報有效性有沒有一種特殊的表示方法呢？答案是肯定的，安全團隊可以用有用警報占警報總數的百分比來表示。

第四：響應時間

這里的響應時間指的是安全專家在事件響應模式下花費的時間量，只有在真實事件期間才能測量。這一段時間就叫做——“停留時間”，什么意思？說白了就是攻擊從初始狀態到顯著爆發的這段時間（更準確的說，是介于兩個時間點之間的時間）。

本來，大多數企業在響應時間上應該做得更好，他們能夠在漏洞造成危害前對其進行捕獲，但事實并非如此。由于受到缺乏效率和準確性以及封閉率較差等原因影響，平均“停留時間”大概為5-7個月。如果這個時間以月來衡量的話，這就給黑客留下了足夠的時間取得成功。

響應時間不需要根據業務規模來做區分，較短的停留時間減少了黑客對企業造成損害的可能性。響應時間越小，就表明企業的安全策略越強。

第五：關閉率

　　關閉率顯示的是已經完全解決的安全警報和事件的數量。

這個指標與警報準確性密切相關，它會對如何處理事情產生深遠的影響。在企業的系統或者分析不夠準確，并且警報不能正確關閉的情況下，這些警報可能繼續對網絡構成威脅。如果企業有關閉率個指標，就應該努力將這個指標提升至100%。

第六：安全價值比

根據Lindstrom的觀點，安全價值比等于安全成本總價值（以美元計）除以IT和信息資產的總價值（以美元計）。

對企業來說，這是一個非常重要的衡量指標。因為企業在開展業務時，總是期望以最小的成本獲得最大的價值。安全管理人員也希望通過使用更少的人或錢和時間去做更多的事情，因為他們也希望以最低的成本，創建最高水平的風險管理。

Lindstrom說：在面對效率和成本之間的沖突時，企業可能需要進行權衡，才能做出更有利于企業的決策。比如說，就算用戶沒有進行任何驗證，安全部門也可以讓用戶創建屬于他們自己的賬戶（成本降下來了）；但是，問題也隨之而來，由于創建、修改以及刪除賬戶的速率加快，身份管理就弱化了（效率降低），企業在這種情況下就不得不進行權衡。

第七：成本和損失

Lindstrom說，遭遇入侵后的損失需要用成本和損失來計量。這里的損失包括事件響應和恢復的時間成本，或者像監管成本、法律費用之類的貨幣成本。

“我們都不喜歡自己尋找方法來量化風險”，但對CIO來說，就不一樣了，在他們看來，衡量IT操作環境的價值是非常重要的，他們可以通過各種記錄來對網絡活動進行分級。

他們還可以按照地理位置、技術平臺、業務單元或其他方法對這類信息做進一步的細分。隨著時間的推移，安全人員通過將數據池里面的數據進行比較，就可以做一個較為明確的安全預算。

第八：遭遇成功入侵的量

雖說對每個安全部門處理的警報數量進行記錄非常重要，但對黑客成功攻擊的數量進行跟蹤也是同等重要。在涉及到安全漏洞時，不同規模和類型的業務都有不同的暴露因子。相對來說，較大的企業，如金融和醫療行業的企業，由于更多的數據需要處理，因此更容易受到攻擊。

安全管理人員應該對遭遇成功入侵的數量進行跟蹤，這樣就會對安全有效性與時間之間的關系有一個把握。在理想情況下，這項指標應隨著策略的改進而降低。