衡量安全计划成功与否的最有效指标是什么?
最直接的指标是:您的组织是否遭到入侵?如果答案是肯定的,那么显然还有工作要做。如果答案是否定的,那么您的状况就更好了——但情况比这更复杂。
即使您没有遭到入侵,如果您的底层网络安全指标正在下降,那么您的安全状况就会恶化。以下是一些衡量成功和改进的重要指标:
平均检测时间 (MTTD) 和平均响应时间 (MTTR):这些指标衡量威胁的识别和处理速度,反映了安全运营团队的敏捷性和效率。每多一分钟,攻击者就有时间访问您的环境。持续进行测试,确保平均 MTTD 和 MTTR 持续改善。
确定风险状况与风险概率的能力:确定补救优先级需要评估漏洞被利用后的潜在影响以及在您的环境中被利用的可能性。漏洞的严重性可能为 10/10,但补偿控制可以将其利用概率降低到 2/10,使其优先级低于严重性为 7/10 且利用风险为 8/10 的漏洞。如果没有这种洞察力,优先级排序的效果就会大打折扣。
随时间变化的总体风险评估分数:反复测量整个攻击面的总体风险状况。这些评估基于漏洞、残留风险和业务影响分数等因素,以创建您可以随时间跟踪和改进的安全基准分数。
组织如何确定安全计划是否实用而不仅仅是满足合规性要求?
简而言之,就是持续的安全测试和验证实践。作为 CTEM 框架的一部分,Gartner 最近推出了一个名为对抗性暴露验证 (AEV) 的新类别,该类别整合了主动测试技术,例如入侵和攻击模拟 (BAS) 以及自主渗透测试和红队。
通过模拟现实世界的攻击策略,AEV 使组织能够主动测试其现有防御的有效性。
主动测试可在环境中发现可利用的漏洞和攻击路径。通过关注已证实的漏洞,此方法可确保组织实施的安全控制措施切实有效,可抵御真正的威胁,而不仅仅是满足监管要求。
自动化和持续测试对于提高安全程序的有效性有多重要?
自动化和软件对于主动安全测试至关重要,因为它们能够以人工渗透测试人员和红队无法比拟的频率和规模进行测试。
根据我们的2024 年渗透测试状况调查,超过 60% 的企业每年最多对其组织进行两次手动渗透测试。在这些渗透测试期间,手动渗透测试最多可以覆盖 20% 的 IT 环境。
根据现代 IT 环境(尤其是在云中运行的环境)的变化频率,这意味着绝大多数时间组织的很大一部分攻击面都未经测试,其安全性的有效性尚未得到验证。
我们看到的一个非常常见的用例是 EDR 验证。组织认为他们的 EDR 覆盖率是 100%,但在测试时,我们发现资产缺少代理,或者代理未利用正确的策略。我们见过代理被配置为“监控”而不是“预防”的情况。
如果没有主动预防,您就依赖于内部安全团队或外部 SOC 的响应时间,这让黑客有宝贵的时间来推进甚至完成攻击。随着 IT 环境的频繁变化,这些类型的错误配置相对常见。
对实时环境的持续测试使安全团队能够识别并快速修复安全问题,从而确保覆盖率真正达到 100%。
安全第一文化对于安全计划的整体有效性有多重要?
根据2024 年数据泄露成本报告,人为因素仍然是组织安全面临的最大风险,占所有成功攻击的 68%。如果组织内唯一具有安全意识的群体是网络和 IT 团队,那么您的安全措施就不可能奏效。
相对于整个组织而言,内部安全团队往往规模较小,而且不可能无处不在;所有员工都需要了解他们的行为会如何影响整个组织的安全态势,并采取适当的安全措施。
安全第一文化的另一个同样重要的方面是高管的支持。 平均每个企业在整个组织内使用 53 种安全解决方案,每年在 IT 安全上花费超过 100 万美元。
随着威胁类型的多样化,安全成本也在上升。如果高管不愿意承诺并真正投资于安全,那么发生违规的可能性就会上升。
这方面也有一些好消息。我们发现,超过 50% 的 CISO 报告称,他们与执行团队和董事会 (BoD) 分享了渗透测试的结果。
随着引人注目的漏洞事件增多,管理团队越来越意识到网络安全及其带来的业务风险。我们还没有达到这个程度,但日益增强的意识有望为网络安全投资打开大门。
安全领导者可以使用哪些方法向高管和利益相关者展示其安全计划的价值?
人们越来越希望网络安全专业人员能够以商业术语来传达他们的贡献。这有助于高管和董事会成员更好地理解安全举措的影响,因为他们通常更注重业务,对网络安全概念不太熟悉。
我建议根据安全投资回报率 (ROSI) 来传达价值,ROSI 相当于网络安全领域的投资回报率 ( ROI )。
通常使用的公式是:
ROSI =(避免的损失 - 安全措施成本)/安全措施成本
例如,如果一个安全计划可防止 100 万美元的潜在违规损失,且实施成本为 250,000 美元,则 ROSI 为 3,这意味着在安全上每花费 1 美元,可获得 3 美元的回报。
安全措施成本包括实施和维护组织的安全防御所做的所有投资。
计算避免的损失:
避免的损失代表已实施的安全措施成功防止的安全事件的潜在财务影响。关键组成部分包括:
单一损失预期 (SLE):单一安全事件的成本。
年发生率 (ARO):根据历史趋势或行业基准估计一年内此类事件发生的频率。
缓解率是安全控制措施在预防事故方面的有效性(0 到 1)。
公式:避免的损失 = SLE × ARO × 缓解率