衡量网络安全的内容、原因以及方法

admin
admin
admin
102477
文章
87
评论
2023年4月9日20:51:34评论30 views字数 2304阅读7分40秒阅读模式

衡量网络安全的内容、原因以及方法

衡量、分析并汇报网络安全威胁和性能的能力是一个成熟的网络风险计划方案的核心支柱。也就是说,对网络安全的衡量并不是一件容易的事。一方面,企业领袖往往难以理解信息风险(因为他们通常出身于非互联网领域),而另一方面,安全相关人员在向上级汇报时,常常会受限于大量的技术细节,这最终会使股东感到困惑,从而造成误解。

理想情况下,安全人员应以一种高管能够理解的方式来对网络安全内容进行衡量和汇报,解开高管疑惑的同时,更要使其感受到内容的价值以及可操作性。

在网络安全领域中,哪些内容可以被衡量?

大多数股东通常会在风险、合规性以及安全保险等方面存在问题。然而,这些问题往往无法通过单一的数据点来进行回答。但幸运的是,安全人员能够对许多内容进行衡量,从而解决股东的疑惑与担忧。这些问题可以大致分为:

• 控制: 应对威胁或降低信息风险的措施
资产: 归属于本组织的所有有价值的东西
脆弱性: 系统中可以被威胁者所利用的弱点
威胁事件: 由可能对资产造成损害的威胁所引发的事件
安全事件:造成业务中断、宕机、系统关闭、数据泄露、网络钓鱼以及软件勒索等影响业务正常运行的事件。

上述的几类问题又可以进一步划分为数字、事件以及成本等方面。例如数字可以用来衡量未打补丁的服务器数量及其所占总数的百分比、未打补丁的服务器与所需基线和容量的比例,以及可能需要打补丁的服务器数量等。时间可以用来衡量识别事件所需的时间,以及特定威胁发生的频率。而成本则可以用来衡量安全事件所带来的经济影响、恢复成本以及由于宕机而造成的业务损失成本。

为什么要关注kpi而不是普通指标呢?

大多数安全团队都对指标较为重视,并会提供一些与资产、漏洞以及威胁事件相关的低层次指标度量值。安全人员应选择相关度最大的指标来向业务团队汇报。另一方面,高管们则更加关注于关键绩效指标(KPI)和关键风险指标(KRI),因为这些指标可以帮助回答与信息安全风险、健康、事前准备措施以及业务优先事项相关的具体问题:

• 组织是否安全?
• 安全投资是否对业务有实际的价值
• 从安全的角度来看,组织是否履行了监管义务?
• 组织应采取怎样的预备措施来应对勒索软件攻击以及供应链攻击?

以上这些都是KPI和KRI所能回答的问题类型,这就是为什么安全人员需要重点关注KPI和KRI,以衡量其组织的安全性能、安全预防措施以及安全工作的有效性。

安全团队如何衡量其网络安全水平?

构建合理的指标框架是一个渐进、迭代的过程。以下是构建一个安全测量周期所涉及的五个主要步骤:

1、 定义需求

与相关股东进行双向的交流,以确定和理解他们的需求。刚开始时,股东可能无法完全了解信息风险以及自己的真实需求,因此需要采用更加自下而上的方法,也就是说要让安全人员主动去衡量自己认为重要的指标因素并向上汇报。安全人员可以通过与股东的对话来提出自己的探索性问题,并在必要时进行技术讲解和议程制定。

2、选择关键指标

一旦确定了股东们的需求,安全人员接下来要做的就是识别并选择有助于对这些需求进行支持的关键指标。这需要对每一位股东都进行采访,并在后续阶段向其汇报相关的指标度量值。

这些关键指标要能够为股东的决策提供信息支持,告诉他们需要实行哪些措施。同时,这些关键指标还应该是少而精的,旨在帮助股东作出决策,而不是用大量的数据来混淆视听。

3、确定指标

根据每个指标的独特性质,组织往往需要获取上述类别中的数十种度量值。

4、收集并分析度量值,以计算关键指标

商定了需求、选择了关键指标并确定了度量之后,安全人员就可以开始根据这些关键指标来收集数据,并对其分析。最终指标只能由那些准确、及时、相关以及可信的数据来推算得出。否则,由于指标结果的不准确,企业可能会做出错误的决策,从而对组织的安全态势造成严重后果。安全团队必须找到一种可以持续收集这些数据的方法(大部分度量需要查看一段时间内的趋势),并且最好能够使该过程自动化(人工操作比较耗时并且会导致员工倦怠)。

5、向股东报告关键指标

安全团队必须及时地向决策者汇报关键指标。安全人员与股东们应就“多久进行一次汇报”这一问题达成一致。同时,汇报的风格也应按照股东的需求而定。不同的涉众会需要不同的方式,例如,是否需要展示仪表板,还是说只需幻灯片演示文稿即可。关键指标应被清晰地可视化,易于股东理解。最重要的是,汇报要能够为决策和行动提供支持和依据。

每个汇报周期结束后,安全团队还需审查关键指标并与股东一起对它们进行重新验证。安全团队和股东必须搞清楚,所汇报的指标是否仍然具有价值以及是否需要做出改变?如果业务需求发生了变化,那么安全人员必须重新对需求进行定义,从而选取出另外一组不同的指标和度量标准,进行分析。

最后值得注意的是,威胁环境总是在不断演变,因此安全也应随之进行逐步的改善。组织、股东以及安全人员不应该对失败或创新风险感到恐惧。直面失败、锲而不舍、随机应变以及重振士气的能力同时是衡量网络安全水平的关键。

数世点评

对网络安全的衡量是一个复杂且系统的工程,涉及到安全威胁识别、风险评估、安全防范和安全事件响应等多个方面。安全团队在确保安全工作能够为业务提供实际的价值和支持的同时,还应不断优化和完善安全测量流程,以保证其能够与时俱进地适应不断变化的威胁和环境。最后,相关法规和标准的遵循问题也是不可忽略的方面,组织要确保安全测量的合法性以及有效性。


参考阅读 
CISO为何需要熟悉业务和技术
云计算促使CISO转变安全重点
网络安全领域处理AI决策的四种方式
美国太空军增加7亿美元网络安全支出
2023年网络安全成熟度报告揭示网络攻击应对准备不足

原文始发于微信公众号(数世咨询):衡量网络安全的内容、原因以及方法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月9日20:51:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   衡量网络安全的内容、原因以及方法http://cn-sec.com/archives/1662474.html

发表评论

匿名网友 填写信息