如何以及為什么衡量網絡安全

成熟的網絡風險計劃的核心支柱是衡量、分析和報告網絡安全威脅和性能的能力。話雖如此，衡量網絡安全并不容易。一方面，企業領導者很難理解信息風險(因為他們通常沒有網絡安全背景);另一方面，安全人員陷入了太多的技術細節，最終導致混淆、誤解或誤導利益相關者。

在理想的情況下，網絡安全人員必須以企業高管能夠理解、發現有用、滿足好奇心并導致可操作結果的方式衡量和報告網絡安全。

在網絡安全方面可以衡量什么?

大多數利益相關者通常對風險、合規性或保證存在疑問。不幸的是，這些問題通常無法使用單一數據點來回答。幸運的是，為了解決利益相關者的問題和擔憂，網絡安全人員可以衡量各種各樣的事情，這些可大致分類為：

?控制：為應對威脅和降低信息風險而采取的措施。

?資產：企業擁有的任何有價值的物品。

?漏洞：系統中可能被威脅利用的弱點。

?威脅事件：由能夠對資產造成損害的威脅發起的行動。

?安全事件：在中斷、停機、系統關閉、數據泄露、網絡釣魚、勒索軟件等方面成功影響業務的事件。

以上類別可以根據數量、時間或成本進一步細分。例如，通過數字可以衡量未打補丁的服務器的總數和百分比，未打補丁的服務器與所需基線和容量的比率，或者可能修補的服務器數量。通過時間可以衡量識別事件所花費的時間，或者特定網絡威脅在一段時間內發生的頻率。通過成本可以幫助企業從財務方面衡量事件的影響、恢復成本以及由于停機造成的業務損失。

為什么要關注KPI?

網絡安全人員在向業務團隊報告時必須選擇最相關的指標。大多數網絡安全團隊專注于指標，這些是與資產、漏洞和威脅事件相關的基本指標。另一方面，執行團隊關心關鍵績效指標(KPI)和關鍵風險指標(KRI)，因為這些指標可以幫助回答與信息安全風險、運行狀況、準備工作和業務優先級相關的具體問題：

?企業的系統安全嗎?

?安全投資是否為企業帶來價值?

?從安全角度來看，是否符合監管義務?

?企業如何應對勒索軟件攻擊或供應鏈攻擊?

這些都是KPI和KRI幫助回答的問題類型，這就是為什么網絡安全人員必須專注于KPI和KRI的原因，衡量他們的安全性能、準備和有效性。

安全團隊如何衡量網絡安全?

構建正確的衡量框架是一個漸進的迭代過程，以下探索構建安全衡量周期所涉及的五個主要步驟:

(1)定義需求

與利益相關者進行雙向對話，以定義和理解他們的需求。在開始時，利益相關者并不總是對信息風險和他們自己的需求有很好的理解，因此需要一種更加自下而上的方法，即安全人員衡量他們認為重要的內容并向上報告。安全從業人員可以利用這些對話自己提出探究性問題，制定必要的議程。

(2)選擇關鍵指標

一旦定義了利益相關者的需求，網絡安全人員應該確定并選擇有助于支持這些需求的關鍵指標，必須咨詢所有利益相關者，并告知將在稍后階段提出的衡量標準。

關鍵指標應使利益相關者能夠采取行動或做出決定。這些關鍵指標應處于較高水平，且數量較少。其目標是幫助決策，而不是用數據來壓倒或混淆人們。

(3)確定指標

在確定了企業的高層目標和指標之后，安全團隊現在必須專注于確定有助于報告這些指標的基本指標。根據指標的確切性質，這可能涉及所需的幾十個指標，涉及上述各種指標類別。

(4)收集和分析指標，計算關鍵指標

既然確定了需求，選擇了關鍵指標并確定了衡量標準，網絡安全人員現在可以開始收集和分析基于這些關鍵指標的數據。衡量標準必須只使用準確、及時、相關和值得信賴的數據。否則，企業高管可能會做出錯誤的決策，在業務方面造成嚴重后果。安全團隊必須找到在持續的基礎上收集這些數據的方法(大多數衡量需要查看隨時間變化的趨勢視圖)，并且最好使該過程盡可能自動化(人工過程可能很累且耗時)。

(5)向利益相關者報告關鍵指標

關鍵指標必須及時向決策者報告，安全人員和利益相關者應該就節奏達成一致：報告需要多長時間提交一次?報告風格也必須達成一致，因為不同的方法適合不同的利益相關者：是需要儀表板，還是幻燈片演示?關鍵指標應清晰可見，易于理解。最后，報告應該促進決策或行動。

最后，在每個報告周期之后，重要的是審查關鍵指標并與利益相關者重新驗證它們。安全團隊和利益相關者必須問，所報告的指標是否仍然具有價值?是否需要更改某些內容?如果業務需求確實發生了變化，那么必須重新定義需求并分析不同的指標。

不要忘記，網絡威脅環境總是在變化，因此安全也必須同步發展。企業、利益相關者和網絡安全人員不應該害怕倒退。快速失敗、繼續前進、即興發揮或重新規劃的能力是成功衡量網絡安全的關鍵。