衡量网络安全对企业弹性和业务增长贡献的指标最为重要。拥有仪表板并将其呈现给企业董事会的首席信息安全官及其团队,必须清楚地定义网络安全如何有助于实现业务目标。

确定哪些指标最能量化安全为企业带来的价值,这是每一位首席信息安全官都必须不断加强的技能。数据并不是故事或轶事,而是衡量安全对企业价值的标尺。

首席信息安全官在董事会占有一席之地

业务主管、副总裁和企业高管在网络安全领域的职业发展的区别在于,他们如何将所做的工作联系起来以实现业务价值。他们不依赖于安全工具点击鼠标就能生成的数百个固定指标。与其相反,他们更能分辨出他们制定和共享的指标。例如,一个重点是使用指标来提高端点安全性,并表明它可以提供业务价值。

由于知道如何管理和指导网络安全战略以交付业务价值和可衡量结果,越来越多首席信息安全官被邀请加入他们所在公司的董事会。

云原生网络安全服务商CrowdStrike公司联合创始人兼首席执行官George Kurtz在今年九月举办的Crowd StrikeFal大会的主题演讲中说道,“我看到越来越多的首席信息安全官加入董事会。我认为这是一个很好的机会,可以让大家了解首席信息安全官对企业业务的影响。从职业生涯的角度来看,能够成为董事会的一员,可以帮助首席信息安全官在这段旅程中顺利前行,这非常棒。”

首席信息安全官使用的标准

在Kurtz在会上发表主题演讲之后,行业媒体采访了CrowdStrike公司的一家客户的首席信息安全官,他们在选择和使用标准向企业传达网络安全价值方面提供了建议。最重要的是只提供支持和显示企业范围内平衡记分卡集成价值的指标。平衡计分卡以首席执行官对董事会讲话的方式来表达,所以这是一个立竿见影的胜利,因为它能体现网络安全在量化对业务的直接贡献方面的价值。

在选择向业务报告网络安全价值的指标时,首席信息安全官其他一些建议包括:

(1)工具驱动的度量通常缺乏场景,所以要谨慎使用

鉴于无恶意软件攻击的迅速增加,网络安全团队有增加更多指标的趋势。网络安全团队将更多的报告数据视为应对风险上升的灵丹妙药,但目前尚不清楚,他们将尽可能多地采用指标,寻找线索。首席信息安全官团队依靠防病毒软件、安全信息和事件管理(SIEM)、安全票务系统、漏洞扫描器等,生成了大量缺乏场景的指标。

一些首席信息安全官警告说,直接从工具中提出指标,而没有对这些指标进行说明。首席执行官和董事会成员更关注与环境相关的新见解,而不是一系列战术措施。

(2)优先考虑用户请求并知道何时拒绝

每一个新的令人关注的入侵或破坏都会导致多达十几个或更多的内部用户要求新的度量标准。根据用户请求为场景智能提供的价值和交付业务价值来管理用户请求是至关重要的。首席信息安全官表示,如果与量化网络安全所提供价值的所需指标没有联系,那么很容易拒绝其他指标请求。

(3)随着时间的推移,最值得信赖的指标得到缓慢而谨慎的改进

网络安全供应商承诺拥有他们需要的所有安全指标,与此相反,首席信息安全官表示,在持续微调一些指标,以显示网络安全的商业价值。最值得信赖的指标在精确量化安全支出如何提高抵御力和保障增长方面有着良好的记录。

美国亚利桑那州国土安全部主任兼首席信息官Tim Roemer说,“要确保这些指标足够简单,无需冗长的解释就能让企业高管理解。如果衡量标准太复杂,它们就没有帮助,甚至可能带来损害。”

(4)保持精确的测量和一致的监控平衡

用数据定义度量的场景远比依靠故事或轶事更有效。首席信息安全官表示,对入侵和入侵企图增加的本能反应是收紧度量的粒度。试图获得比指标设计提供的更高的准确性和精确度是一些首席信息安全官的障碍。与其相反,随着时间的推移,数据的一致性有助于提供场景,而这正是企业高管关注的关于网络安全支出和结果的内容。

哪些网络安全指标最重要?

当网络安全专业人员升职成为首席信息安全官时,最初他们通常专注于建立一个可测量的安全级别和风险管理基线。然而,随着网络安全供应商继续改进他们对预测分析和机器学习的使用,人们越来越依赖于对网络风险的相对水平进行评分。首席信息安全官还应该开始跟踪基于活动的指标,包括钓鱼培训电子邮件的时钟频率,因为它们有助于加强培训项目,并有助于建立更有效的人工防火墙。

Roemer说,“我们与RiskSense公司合作,让我们所有的机构都有网络风险的信用评分。这有助于推动我们的企业安全计划,将其作为一个高度优先事项,以帮助这些机构通过采用我们的工具来提高这些评分。在提高风险评分的同时,我们不断提高目标,并在各机构之间开展竞争,其结果将在董事会会议公布。”

对网络安全和物理安全实行零信任

首席信息安全官表示,入侵尝试和威胁越来越多地跨越网络和物理攻击载体,特别是在企业园区和政府大楼。最小权限访问与标记系统和任何企业数据系统、数据存储或网络一样重要。依赖工业控制系统(ICS)的加工厂是网络攻击者的主要目标,他们可以利用U盘采用勒索软件感染工厂设备。电力、石油和电力加工厂运行的工业控制系统(ICS)系统并不是为安全设计的。依靠气隙来保护工业控制系统(ICS)是最危险的策略之一。在使用集成电路的制造商和工厂中,出现了漏洞泛滥的情况,零信任有助于缓解这种情况。

Roemer在最近接受采访时说,“零信任对物理安全和网络安全同样重要。因此,作为我们部门的一项合理的战略,它在各个方面都很有效。就像不希望有人持有徽章可以访问国会大厦一样,我们也不希望一个拥有管理权限的员工能够访问他们不需要访问的数据。”

特权访问管理(PAM)和身份访问管理(IAM)是许多零信任网络访问(ZTNA)计划的核心,可以提供关于网络安全对业务贡献的有价值的场景数据。例如,人们经常会发现CrowdStrike和Elastic仪表板被用于跟踪管理帐户的使用情况。一些首席信息安全官表示,他们也使用CrowdStrike的数据来完成定期审计和评估登录尝试、最后登录日期、密码更改历史和特权访问历史。

端点威胁检测是必不可少的

几乎每个企业面临的潜在入侵或威胁活动都始于端点攻击。典型的端点平均安装了11.7个安全控件,每个控件都以不同的速度衰减,从而产生多个威胁面。bsolute Software公司的2021年端点风险报告发现,52%的端点安装了三个或更多端点管理客户端,59%的端点安装了一个以上身份访问管理(IAM)客户端。根据Tanium公司最近进行的一项调查,55%的网络安全和风险管理专业人士估计,超过75%的端点攻击无法被他们现有的安全系统阻止,这使得旨在防止端点攻击的指标成为优先事项。

了解每个端点上的内容以及每个端点的位置是ZTNA成功的战略的核心。Absolute Resilience、CrowdStrike Falcon、Ivanti Endpoint Manager、Trend Micro、SentinelOne等是端点保护平台的行业领导者,他们可以跟踪每个端点资产及其配置。首席信息安全官希望将所有这些数据放在一个平台上,以获得场景洞察力,并表明网络安全正在提供价值。

当行业媒体询问Roemer威胁检测作为一个指标有多重要时,他说:“这是非常有价值的。我们使用的CrowdStrike仪表板是我们之前仪表板的巨大升级,我甚至无法想象如果没有它们,首席信息安全官将会如何应对。此外,每当我们为我们的机构设置网络安全措施时,他们总是会立即向我们提供令人满意的反馈结果。”

当被问及如何将终端保护和资产管理作为部门目标的核心部分时,Roemer表示:“CrowdStrike和Tanium在我们的整个企业安全项目中合作得很好。当新冠疫情发生时,这对我们来说是游戏规则的改变,随着远程工作人员的增加,这对我们来说仍然至关重要。它允许我们监控终端上的软件,并远程推送补丁。”

端点可见性指标在证明跨组织的安全性价值方面很有价值。通过端点类型、位置和分段将重点放在跟踪公开和修复的漏洞上。Roemer说,“通过Tanium,我们的库存管理工具可以查看网络连接内容,能够看到几个漏洞被迅速修复和打开的漏洞数量,这很有用。”

平均检测时间和平均恢复时间

这两个指标都衡量了安全部门的运营效率水平,以及跨其他部门的安全协调情况。例如,首席信息安全官通常依赖平均检测时间作为跨部门的高级度量平均值来了解系统检测事件的效果。具体措施的例子包括威胁行为人的停留时间。它还被用作内部指标,以量化安全操作中心(SOC)结合工具检测事件的速度。

Roemer表示,准确测量平均恢复时间更具挑战性,因为这并不总是安全团队的性能指标。他指出,要获得准确的度量,通常需要IT运营和业务支持,并在很大程度上依赖于准备工作作为改进度量的输入,包括良好的离线备份、弹性云环境、业务连续性、应急和灾难恢复计划。

Roemer说:“我们能做的事情就是确保各机构遵守当地法规和政策,这些政策要求制定应急计划、事件应对计划,并帮助定期测试和执行这些计划,以便他们能够做好应对重大事件和从重大事件中恢复的最佳准备。”

现在是精简仪表板指标的时候了

大多数仪表板有很多的指标来传达网络安全给企业带来的价值。而现在是认真审视仪表板的时候了,削减那些不会影响弹性、增长或终端安全的指标。每一个新的违规行为都会导致10多个新的度量请求。增加更多指标并不是避免网络攻击的灵丹妙药,拥有可靠的、值得信赖的数据才是。