安全投入效果的五大安全能力指標(biāo)需關(guān)注

2022-05-20 15:11:00　來(lái)源：本站　瀏覽：661

隨著現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展的不斷深入，在網(wǎng)絡(luò)安全建設(shè)中的投入也在不斷增加，力求全方位保障企業(yè)的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)資產(chǎn)安全。然而，安全上的投資與人員上的投入，并不直接等同于實(shí)際防護(hù)能力的提升。

網(wǎng)絡(luò)安全由于其服務(wù)支撐功能定位，其能力構(gòu)成與投入效果很難被量化地感知和考量，往往依靠主觀和感性的判斷，建設(shè)單位投入了大量的資源，最后并沒(méi)有得到相匹配的安全保障。實(shí)踐證明，很多企業(yè)的安全建設(shè)中都存在安全產(chǎn)品堆積、功能落差大、回報(bào)率低、實(shí)戰(zhàn)能力未知等問(wèn)題。

檢測(cè)考核是驗(yàn)證一切工作成果最有效的方法，缺失有效的、客觀檢測(cè)和考核量化指標(biāo)，一旦出現(xiàn)問(wèn)題，建設(shè)單位將付出慘重的代價(jià)。在企業(yè)實(shí)際安全運(yùn)營(yíng)工作中，有許多指標(biāo)需要考慮，比如平均漏洞修補(bǔ)時(shí)間、數(shù)據(jù)傳輸速率和網(wǎng)絡(luò)端口暴露面等。但是每個(gè)企業(yè)都應(yīng)建立一套基本性的安全建設(shè)策略與評(píng)價(jià)方法，從核心要素入手，對(duì)網(wǎng)絡(luò)安全投入效果與實(shí)際能力進(jìn)行科學(xué)、客觀的評(píng)價(jià)，本文討論了企業(yè)要密切跟蹤的五個(gè)重要安全能力指標(biāo)。

平均檢測(cè)時(shí)間

平均檢測(cè)時(shí)間（MTTD）是IT運(yùn)營(yíng)團(tuán)隊(duì)需衡量的標(biāo)準(zhǔn)指標(biāo)，他們用它來(lái)評(píng)估識(shí)別特定的問(wèn)題平均用時(shí)多久。由于威脅分子使用越來(lái)越隱蔽的手法來(lái)隱藏攻擊意圖，因此許多企業(yè)很難快速檢測(cè)到其面臨的網(wǎng)絡(luò)安全威脅，MTTD能力指標(biāo)目前對(duì)企業(yè)的價(jià)值變得越來(lái)越重要。

發(fā)現(xiàn)環(huán)境中是否存在威脅所需的時(shí)間越長(zhǎng)，攻擊可能造成的危害就越大。如果未能檢測(cè)并隔離受影響的資源，事件可能愈演愈烈，結(jié)果影響更多的應(yīng)用程序和數(shù)據(jù)。企業(yè)需要定期全面評(píng)估安全團(tuán)隊(duì)檢測(cè)網(wǎng)絡(luò)安全事件需要多長(zhǎng)時(shí)間，并旨在不斷縮短這個(gè)指標(biāo)。

平均處置時(shí)間

檢測(cè)只是解決安全事件的第一步。這就是為什么平均處置時(shí)間（MTTR）是同等重要的安全分析指標(biāo)，需要認(rèn)真衡量。

MTTR反映了安全事件發(fā)生后安全運(yùn)營(yíng)團(tuán)隊(duì)的工作效率有多高。如果跟蹤這個(gè)指標(biāo)，就可以評(píng)估改變安全運(yùn)營(yíng)策略后可以獲得多大的效率，比如采用一種新工具，或者對(duì)安全響應(yīng)團(tuán)隊(duì)進(jìn)行組織層面上的改變。MTTR還可用于評(píng)估團(tuán)隊(duì)快速解決不同安全事件的能力，比如DDoS攻擊、勒索軟件攻擊和數(shù)據(jù)泄漏。

平均響應(yīng)時(shí)間

響應(yīng)通常出現(xiàn)在安全事件檢測(cè)與有效處置之間。響應(yīng)是指這個(gè)過(guò)程：一旦檢測(cè)到安全事件，隔離受影響的資源，以免使其受到進(jìn)一步的危害。

平均響應(yīng)時(shí)間（MTTC）在一些方面甚至比MTTR還要重要，因?yàn)榻鉀Q安全事件的總成本很大程度上取決于安全團(tuán)隊(duì)對(duì)突發(fā)事件的快速響應(yīng)能力，響應(yīng)時(shí)間越短，解決問(wèn)題的成本就會(huì)越低。

因此，除了跟蹤MTTD和MTTR外，還要跟蹤MTTC。如果管理者發(fā)現(xiàn)組織可以迅速檢測(cè)事件，但之后卻需要很長(zhǎng)時(shí)間才能啟動(dòng)有效的響應(yīng)機(jī)制和流程，這就反映出整體安全能力建設(shè)的不均衡，有必要在響應(yīng)能力提升方面加大投入。

網(wǎng)絡(luò)資產(chǎn)的識(shí)別能力

今天的網(wǎng)絡(luò)變得非常彈性，各種終端設(shè)備不斷接入和下線(xiàn)，網(wǎng)絡(luò)邊界已經(jīng)變得越來(lái)越模糊，因?yàn)樗鼈儾粩噙B接到遠(yuǎn)程云基礎(chǔ)設(shè)施和通過(guò)VPN連接異地網(wǎng)絡(luò)等。這意味著企業(yè)更加難以準(zhǔn)確認(rèn)定網(wǎng)絡(luò)設(shè)備的合法性和安全性。

在此背景下，安全團(tuán)隊(duì)更需要系統(tǒng)地跟蹤網(wǎng)絡(luò)上有多少未識(shí)別的設(shè)備。未識(shí)別的設(shè)備是指來(lái)源和用途未知的設(shè)備。在許多情況下，未識(shí)別的設(shè)備是良性的。它們可能是工程師創(chuàng)建的新虛擬機(jī)，也可能是員工帶到現(xiàn)場(chǎng)的移動(dòng)設(shè)備。

不過(guò)，網(wǎng)絡(luò)上未識(shí)別設(shè)備的數(shù)量通常應(yīng)遵循一致的模式。假設(shè)檢測(cè)到的未知設(shè)備突然激增，這可能表明面臨風(fēng)險(xiǎn)，比如未遵守公司IT治理規(guī)定的員工未經(jīng)授權(quán)創(chuàng)建了新端點(diǎn)，或者更糟糕的是，攻擊者將惡意設(shè)備帶入到環(huán)境，導(dǎo)致安全事件升級(jí)。

訪(fǎng)問(wèn)控制能力

現(xiàn)代IT環(huán)境的訪(fǎng)問(wèn)控制角色和策略很復(fù)雜。不同的網(wǎng)絡(luò)基礎(chǔ)設(shè)施（比如公共云以及本地服務(wù)器和工作站）通常需要匹配不同的訪(fǎng)問(wèn)控制方法，因而需要使用不同類(lèi)型的設(shè)備和策略。

沒(méi)有哪種簡(jiǎn)單的方法可以跟蹤訪(fǎng)問(wèn)控制配置或積極識(shí)別風(fēng)險(xiǎn)。為此，需要全面而詳細(xì)的訪(fǎng)問(wèn)控制管理技術(shù)，比如云安全態(tài)勢(shì)管理（CSPM）和云基礎(chǔ)設(shè)施權(quán)限管理（CIEM）。很多安全分析策略都可以跟蹤指標(biāo)，比如訪(fǎng)問(wèn)控制配置中的用戶(hù)和角色數(shù)量等指標(biāo)。企業(yè)還可以衡量訪(fǎng)問(wèn)控制策略變化的頻率。這兩個(gè)指標(biāo)若出現(xiàn)異常波動(dòng)，很大程度上表明可能已經(jīng)存在安全問(wèn)題。

上一篇： 10款開(kāi)源又好用的Linux安全工具

下一篇：威脅企業(yè)云應(yīng)用安全的五個(gè)常見(jiàn)錯(cuò)誤