如今對首席信息安全官最重要的網絡安全指標
衡量網絡安全對企業彈性和業務增長貢獻的指標最為重要。擁有儀表板并將其呈現給企業董事會的首席信息安全官及其團隊,必須清楚地定義網絡安全如何有助于實現業務目標。
確定哪些指標最能量化安全為企業帶來的價值,這是每一位首席信息安全官都必須不斷加強的技能。數據并不是故事或軼事,而是衡量安全對企業價值的標尺。
首席信息安全官在董事會占有一席之地
業務主管、副總裁和企業高管在網絡安全領域的職業發展的區別在于,他們如何將所做的工作聯系起來以實現業務價值。他們不依賴于安全工具點擊鼠標就能生成的數百個固定指標。與其相反,他們更能分辨出他們制定和共享的指標。例如,一個重點是使用指標來提高端點安全性,并表明它可以提供業務價值。
由于知道如何管理和指導網絡安全戰略以交付業務價值和可衡量結果,越來越多首席信息安全官被邀請加入他們所在公司的董事會。
云原生網絡安全服務商CrowdStrike公司聯合創始人兼首席執行官George Kurtz在今年九月舉辦的Crowd StrikeFal大會的主題演講中說道,“我看到越來越多的首席信息安全官加入董事會。我認為這是一個很好的機會,可以讓大家了解首席信息安全官對企業業務的影響。從職業生涯的角度來看,能夠成為董事會的一員,可以幫助首席信息安全官在這段旅程中順利前行,這非常棒。”
首席信息安全官使用的標準
在Kurtz在會上發表主題演講之后,行業媒體采訪了CrowdStrike公司的一家客戶的首席信息安全官,他們在選擇和使用標準向企業傳達網絡安全價值方面提供了建議。最重要的是只提供支持和顯示企業范圍內平衡記分卡集成價值的指標。平衡計分卡以首席執行官對董事會講話的方式來表達,所以這是一個立竿見影的勝利,因為它能體現網絡安全在量化對業務的直接貢獻方面的價值。
在選擇向業務報告網絡安全價值的指標時,首席信息安全官其他一些建議包括:
(1)工具驅動的度量通常缺乏場景,所以要謹慎使用
鑒于無惡意軟件攻擊的迅速增加,網絡安全團隊有增加更多指標的趨勢。網絡安全團隊將更多的報告數據視為應對風險上升的靈丹妙藥,但目前尚不清楚,他們將盡可能多地采用指標,尋找線索。首席信息安全官團隊依靠防病毒軟件、安全信息和事件管理(SIEM)、安全票務系統、漏洞掃描器等,生成了大量缺乏場景的指標。
一些首席信息安全官警告說,直接從工具中提出指標,而沒有對這些指標進行說明。首席執行官和董事會成員更關注與環境相關的新見解,而不是一系列戰術措施。
(2)優先考慮用戶請求并知道何時拒絕
每一個新的令人關注的入侵或破壞都會導致多達十幾個或更多的內部用戶要求新的度量標準。根據用戶請求為場景智能提供的價值和交付業務價值來管理用戶請求是至關重要的。首席信息安全官表示,如果與量化網絡安全所提供價值的所需指標沒有聯系,那么很容易拒絕其他指標請求。
(3)隨著時間的推移,最值得信賴的指標得到緩慢而謹慎的改進
網絡安全供應商承諾擁有他們需要的所有安全指標,與此相反,首席信息安全官表示,在持續微調一些指標,以顯示網絡安全的商業價值。最值得信賴的指標在精確量化安全支出如何提高抵御力和保障增長方面有著良好的記錄。
美國亞利桑那州國土安全部主任兼首席信息官Tim Roemer說,“要確保這些指標足夠簡單,無需冗長的解釋就能讓企業高管理解。如果衡量標準太復雜,它們就沒有幫助,甚至可能帶來損害。”
(4)保持精確的測量和一致的監控平衡
用數據定義度量的場景遠比依靠故事或軼事更有效。首席信息安全官表示,對入侵和入侵企圖增加的本能反應是收緊度量的粒度。試圖獲得比指標設計提供的更高的準確性和精確度是一些首席信息安全官的障礙。與其相反,隨著時間的推移,數據的一致性有助于提供場景,而這正是企業高管關注的關于網絡安全支出和結果的內容。
哪些網絡安全指標最重要?
當網絡安全專業人員升職成為首席信息安全官時,最初他們通常專注于建立一個可測量的安全級別和風險管理基線。然而,隨著網絡安全供應商繼續改進他們對預測分析和機器學習的使用,人們越來越依賴于對網絡風險的相對水平進行評分。首席信息安全官還應該開始跟蹤基于活動的指標,包括釣魚培訓電子郵件的時鐘頻率,因為它們有助于加強培訓項目,并有助于建立更有效的人工防火墻。
Roemer說,“我們與RiskSense公司合作,讓我們所有的機構都有網絡風險的信用評分。這有助于推動我們的企業安全計劃,將其作為一個高度優先事項,以幫助這些機構通過采用我們的工具來提高這些評分。在提高風險評分的同時,我們不斷提高目標,并在各機構之間開展競爭,其結果將在董事會會議公布。”
對網絡安全和物理安全實行零信任
首席信息安全官表示,入侵嘗試和威脅越來越多地跨越網絡和物理攻擊載體,特別是在企業園區和政府大樓。最小權限訪問與標記系統和任何企業數據系統、數據存儲或網絡一樣重要。依賴工業控制系統(ICS)的加工廠是網絡攻擊者的主要目標,他們可以利用U盤采用勒索軟件感染工廠設備。電力、石油和電力加工廠運行的工業控制系統(ICS)系統并不是為安全設計的。依靠氣隙來保護工業控制系統(ICS)是最危險的策略之一。在使用集成電路的制造商和工廠中,出現了漏洞泛濫的情況,零信任有助于緩解這種情況。
Roemer在最近接受采訪時說,“零信任對物理安全和網絡安全同樣重要。因此,作為我們部門的一項合理的戰略,它在各個方面都很有效。就像不希望有人持有徽章可以訪問國會大廈一樣,我們也不希望一個擁有管理權限的員工能夠訪問他們不需要訪問的數據。”
特權訪問管理(PAM)和身份訪問管理(IAM)是許多零信任網絡訪問(ZTNA)計劃的核心,可以提供關于網絡安全對業務貢獻的有價值的場景數據。例如,人們經常會發現CrowdStrike和Elastic儀表板被用于跟蹤管理帳戶的使用情況。一些首席信息安全官表示,他們也使用CrowdStrike的數據來完成定期審計和評估登錄嘗試、最后登錄日期、密碼更改歷史和特權訪問歷史。
端點威脅檢測是必不可少的
幾乎每個企業面臨的潛在入侵或威脅活動都始于端點攻擊。典型的端點平均安裝了11.7個安全控件,每個控件都以不同的速度衰減,從而產生多個威脅面。bsolute Software公司的2021年端點風險報告發現,52%的端點安裝了三個或更多端點管理客戶端,59%的端點安裝了一個以上身份訪問管理(IAM)客戶端。根據Tanium公司最近進行的一項調查,55%的網絡安全和風險管理專業人士估計,超過75%的端點攻擊無法被他們現有的安全系統阻止,這使得旨在防止端點攻擊的指標成為優先事項。
了解每個端點上的內容以及每個端點的位置是ZTNA成功的戰略的核心。Absolute Resilience、CrowdStrike Falcon、Ivanti Endpoint Manager、Trend Micro、SentinelOne等是端點保護平臺的行業領導者,他們可以跟蹤每個端點資產及其配置。首席信息安全官希望將所有這些數據放在一個平臺上,以獲得場景洞察力,并表明網絡安全正在提供價值。
當行業媒體詢問Roemer威脅檢測作為一個指標有多重要時,他說:“這是非常有價值的。我們使用的CrowdStrike儀表板是我們之前儀表板的巨大升級,我甚至無法想象如果沒有它們,首席信息安全官將會如何應對。此外,每當我們為我們的機構設置網絡安全措施時,他們總是會立即向我們提供令人滿意的反饋結果。”
當被問及如何將終端保護和資產管理作為部門目標的核心部分時,Roemer表示:“CrowdStrike和Tanium在我們的整個企業安全項目中合作得很好。當新冠疫情發生時,這對我們來說是游戲規則的改變,隨著遠程工作人員的增加,這對我們來說仍然至關重要。它允許我們監控終端上的軟件,并遠程推送補丁。”
端點可見性指標在證明跨組織的安全性價值方面很有價值。通過端點類型、位置和分段將重點放在跟蹤公開和修復的漏洞上。Roemer說,“通過Tanium,我們的庫存管理工具可以查看網絡連接內容,能夠看到幾個漏洞被迅速修復和打開的漏洞數量,這很有用。”
平均檢測時間和平均恢復時間
這兩個指標都衡量了安全部門的運營效率水平,以及跨其他部門的安全協調情況。例如,首席信息安全官通常依賴平均檢測時間作為跨部門的高級度量平均值來了解系統檢測事件的效果。具體措施的例子包括威脅行為人的停留時間。它還被用作內部指標,以量化安全操作中心(SOC)結合工具檢測事件的速度。
Roemer表示,準確測量平均恢復時間更具挑戰性,因為這并不總是安全團隊的性能指標。他指出,要獲得準確的度量,通常需要IT運營和業務支持,并在很大程度上依賴于準備工作作為改進度量的輸入,包括良好的離線備份、彈性云環境、業務連續性、應急和災難恢復計劃。
Roemer說:“我們能做的事情就是確保各機構遵守當地法規和政策,這些政策要求制定應急計劃、事件應對計劃,并幫助定期測試和執行這些計劃,以便他們能夠做好應對重大事件和從重大事件中恢復的最佳準備。”
現在是精簡儀表板指標的時候了
大多數儀表板有很多的指標來傳達網絡安全給企業帶來的價值。而現在是認真審視儀表板的時候了,削減那些不會影響彈性、增長或終端安全的指標。每一個新的違規行為都會導致10多個新的度量請求。增加更多指標并不是避免網絡攻擊的靈丹妙藥,擁有可靠的、值得信賴的數據才是。
