只有可以被衡量的事才能得到有效管理,对于网络安全运营工作更是如此。在日常工作中,安全运营团队应该通过可量化的指标向企业管理层和其他业务部门展示组织当前的网络安全建设状况和风险态势,同时证明现有的网络安全投入是否有效。
在此背景下,网络安全运营工作应该被设置合理的绩效指标。基于这些指标,企业可以更好地了解当前面临的风险,了解攻击者的攻击企图,同时还能够为优化未来的工作目标提供参考。本文收集整理了企业网络安全运营工作中应该密切跟踪的12个关键绩效度量指标,并对其特点进行了简要分析。
检测到的入侵企图
入侵企图指的是未形成安全事件或后果的攻击探测行为,所有成功的入侵事件都可能由其发展而来。因此,企业应该将攻击者尝试获得非法访问的次数作为安全工作的衡量指标之一,这需要通过防火墙和SOC系统的日志来收集相关情报。入侵企图表明了企业面临的威胁总数量。企业安全运营普遍存在的一个问题是,当威胁预防机制奏效、很少发生事件时,管理者往往会错误认为本企业不再是攻击者的主要目标,但事实并非如此。
已经发生的安全事件数量
企业组织已发生的安全事件指的是攻击者已经成功实现的攻击行为,对组织的资产或数据造成了实际的损失。攻击者破坏企业信息资产或网络的次数可以作为衡量企业网络安全建设不足的重要指标。安全运营工作的一个关键方面是密切关注改变工具和流程是否会带来改进。通过汇集企业安全事件数量和发生率方面的数据,可以帮助企业确保落实到位的防御措施对保护企业的数字资产带来了积极影响。
网络安全事件严重程度
了解组织的网络入侵或数据盗窃的严重程度将有助于合理设定安全运营工作的优先级,以确保导致企业业务中断等严重网络安全事件不会继续发生。这个绩效指标还可以用来评估新的安全措施或流程是否切实有效
平均威胁响应时间(MTTC)
威胁响应是指在安全事件检测与有效处置之间的事件应对情况。解决安全事件的总成本很大程度上取决于安全团队对突发事件的快速响应能力,响应时间越短,解决问题的成本就会越低。如果企业需要很长时间才能启动有效的响应机制和流程,这就反映出整体安全能力建设的不均衡。
平均威胁处置时间(MTTR)
迅速响应网络安全事件只是安全事件处置的一方面,平均威胁处置时间(MTTR)则可以反映安全事件发生后安全运营团队的处置效率有多高。如果跟踪这个指标,就可以评估调整安全运营策略将可以获得哪些好处。MTTR还可用于评估安全团队快速解决不同安全事件的能力,比如DDoS攻击、勒索软件攻击和数据泄漏等。
误报和漏报程度
网络安全运营需要依赖各种安全工具来识别和检测恶意软件或可疑行为,并在发现可疑情况时提醒安全运营团队。然而这类工具需要微调和定期维护,以免发生误报和漏报。跟踪误报和漏报的数量情况可以帮助团队确定各项安全工具的配置是否恰当。
漏洞补丁更新时间
网络犯罪分子正在大量使用威胁情报工具,以利用补丁发布和实际修补之间的时间差。因此,企业应准确了解实施应用程序安全补丁或缓解CVE列出的高风险漏洞需要多长时间。典型的事例就是勒索软件“WannaCry”的广泛破坏,虽然其所利用的“永恒之蓝(EternalBlue)”漏洞很快就被修补,但由于很多企业的补丁更新工作不够及时,结果还是沦为了受害者。
漏洞评估结果
漏洞扫描工具会针对IT系统和用户设备运行测试,查看它们是否针对已知漏洞进行了修复,并识别其他潜在的安全问题。漏洞评估结果会列出各种新的和仍然存在的漏洞、风险评级、漏洞得逞/失败率及其他数据。如果将该信息与漏洞修复时间这一指标结合使用,企业就可以确定是否应该分配更多的资源来保障漏洞管理工作。
内部用户的访问安全性指标
企业负责人可能会认为网络安全威胁主要来自企业外部。然而在很多数字化企业中,针对内部用户的网络安全指标显示,内部威胁是更为严重的问题。收集和分析员工的访问权限以及应用程序和数据访问方面的信息,可以表明内部安全问题以及需要对用户访问控制所做的更改。
网络整体流量数据
虽然企业网络中的整体流量数据量不是严格意义上的安全度量指标,但对于识别潜在威胁、确定安全工具和流程的可扩展性大有裨益。网络流量的变化(无论是逐渐的变化还是突发的变化)都可能表明恶意软件入侵或其他类型的网络攻击。该度量指标还有助于证明需要新的或升级的安全措施。它有助于传达这个观念:随着网络使用量增加,用于保护网络和IT系统的资金应该随之增加。
安全审计和渗透测试次数
网络安全运营工作应该包括一系列的安全性审计、风险评估、渗透测试及其他检查,这样才可以确保安全流程和工具发挥正常功效。但是组织的安全运营团队往往日常任务负担过重,导致这些重要的工作被延迟或遗忘。在此背景下,组织应该通过跟踪安全审计和渗透测试等任务的次数,了解网络安全运营工作中是否有存在疏忽的环节。
与同行横向比较的安全基准
安全团队向董事会级别进行工作报告时,一种重要的主题就是,企业目前的网络安全状况如能力,与所在行业的同行企业相比如何。这些汇报信息和评价指标更容易被管理层所理解,且在视觉上更加具有吸引力,容易受到非专业型领导的关注。从某种意义上说,与同行横向比较的安全基准是一个“比较指标的指标”。这样的基准测试有助于确定IT安全团队与同行相比是处于正常水平还是需要重新调整。