衡量網絡安全的內容、原因以及方法

衡量、分析并匯報網絡安全威脅和性能的能力是一個成熟的網絡風險計劃方案的核心支柱。也就是說，對網絡安全的衡量并不是一件容易的事。一方面，企業領袖往往難以理解信息風險（因為他們通常出身于非互聯網領域），而另一方面，安全相關人員在向上級匯報時，常常會受限于大量的技術細節，這最終會使股東感到困惑，從而造成誤解。

理想情況下，安全人員應以一種高管能夠理解的方式來對網絡安全內容進行衡量和匯報，解開高管疑惑的同時，更要使其感受到內容的價值以及可操作性。

在網絡安全領域中，哪些內容可以被衡量？

大多數股東通常會在風險、合規性以及安全保險等方面存在問題。然而，這些問題往往無法通過單一的數據點來進行回答。但幸運的是，安全人員能夠對許多內容進行衡量，從而解決股東的疑惑與擔憂。這些問題可以大致分為：

? 控制: 應對威脅或降低信息風險的措施

? 資產: 歸屬于本組織的所有有價值的東西

? 脆弱性: 系統中可以被威脅者所利用的弱點

? 威脅事件: 由可能對資產造成損害的威脅所引發的事件

? 安全事件:造成業務中斷、宕機、系統關閉、數據泄露、網絡釣魚以及軟件勒索等影響業務正常運行的事件。

上述的幾類問題又可以進一步劃分為數字、事件以及成本等方面。例如數字可以用來衡量未打補丁的服務器數量及其所占總數的百分比、未打補丁的服務器與所需基線和容量的比例，以及可能需要打補丁的服務器數量等。時間可以用來衡量識別事件所需的時間，以及特定威脅發生的頻率。而成本則可以用來衡量安全事件所帶來的經濟影響、恢復成本以及由于宕機而造成的業務損失成本。

為什么要關注kpi而不是普通指標呢？

大多數安全團隊都對指標較為重視，并會提供一些與資產、漏洞以及威脅事件相關的低層次指標度量值。安全人員應選擇相關度最大的指標來向業務團隊匯報。另一方面，高管們則更加關注于關鍵績效指標（KPI）和關鍵風險指標（KRI），因為這些指標可以幫助回答與信息安全風險、健康、事前準備措施以及業務優先事項相關的具體問題：

? 組織是否安全？

? 安全投資是否對業務有實際的價值？

? 從安全的角度來看，組織是否履行了監管義務？

? 組織應采取怎樣的預備措施來應對勒索軟件攻擊以及供應鏈攻擊？

以上這些都是KPI和KRI所能回答的問題類型，這就是為什么安全人員需要重點關注KPI和KRI，以衡量其組織的安全性能、安全預防措施以及安全工作的有效性。

安全團隊如何衡量其網絡安全水平？

構建合理的指標框架是一個漸進、迭代的過程。以下是構建一個安全測量周期所涉及的五個主要步驟：

1、 定義需求

與相關股東進行雙向的交流，以確定和理解他們的需求。剛開始時，股東可能無法完全了解信息風險以及自己的真實需求，因此需要采用更加自下而上的方法，也就是說要讓安全人員主動去衡量自己認為重要的指標因素并向上匯報。安全人員可以通過與股東的對話來提出自己的探索性問題，并在必要時進行技術講解和議程制定。

2、選擇關鍵指標

一旦確定了股東們的需求，安全人員接下來要做的就是識別并選擇有助于對這些需求進行支持的關鍵指標。這需要對每一位股東都進行采訪，并在后續階段向其匯報相關的指標度量值。

這些關鍵指標要能夠為股東的決策提供信息支持，告訴他們需要實行哪些措施。同時，這些關鍵指標還應該是少而精的，旨在幫助股東作出決策，而不是用大量的數據來混淆視聽。

3、確定指標

根據每個指標的獨特性質，組織往往需要獲取上述類別中的數十種度量值。

4、收集并分析度量值，以計算關鍵指標

商定了需求、選擇了關鍵指標并確定了度量之后，安全人員就可以開始根據這些關鍵指標來收集數據，并對其分析。最終指標只能由那些準確、及時、相關以及可信的數據來推算得出。否則，由于指標結果的不準確，企業可能會做出錯誤的決策，從而對組織的安全態勢造成嚴重后果。安全團隊必須找到一種可以持續收集這些數據的方法（大部分度量需要查看一段時間內的趨勢），并且最好能夠使該過程自動化（人工操作比較耗時并且會導致員工倦怠）。

5、向股東報告關鍵指標

安全團隊必須及時地向決策者匯報關鍵指標。安全人員與股東們應就“多久進行一次匯報”這一問題達成一致。同時，匯報的風格也應按照股東的需求而定。不同的涉眾會需要不同的方式，例如，是否需要展示儀表板，還是說只需幻燈片演示文稿即可。關鍵指標應被清晰地可視化，易于股東理解。最重要的是，匯報要能夠為決策和行動提供支持和依據。

每個匯報周期結束后，安全團隊還需審查關鍵指標并與股東一起對它們進行重新驗證。安全團隊和股東必須搞清楚，所匯報的指標是否仍然具有價值以及是否需要做出改變？如果業務需求發生了變化，那么安全人員必須重新對需求進行定義，從而選取出另外一組不同的指標和度量標準，進行分析。

最后值得注意的是，威脅環境總是在不斷演變，因此安全也應隨之進行逐步的改善。組織、股東以及安全人員不應該對失敗或創新風險感到恐懼。直面失敗、鍥而不舍、隨機應變以及重振士氣的能力同時是衡量網絡安全水平的關鍵。

數世點評

對網絡安全的衡量是一個復雜且系統的工程，涉及到安全威脅識別、風險評估、安全防范和安全事件響應等多個方面。安全團隊在確保安全工作能夠為業務提供實際的價值和支持的同時，還應不斷優化和完善安全測量流程，以保證其能夠與時俱進地適應不斷變化的威脅和環境。最后，相關法規和標準的遵循問題也是不可忽略的方面，組織要確保安全測量的合法性以及有效性。