“ 感谢还在的你们,比心。说个奇怪的事,作为安全技术男的我,用心写了70+的安全文章,单篇阅读量没超过3K,最近写的《团队管理最核心的是什么?》阅读量突然到了7K+,写安全技术的公众号,管理文章却是阅读量最大的,生活有时候就是这么奇怪。”
目录
一、安全度量是什么?
二、安全度量的发展史?
三、安全度量对谁有什么用?
四、没有安全度量行不行?
五、做安全度量有哪些原则?
六、做安全度量有哪些挑战?
一、安全度量是什么?
一)官方定义
1、使用特定的指标、测量方法来评估和量化某个安全方面的状态、性能、风险或效果的过程。
2、信息安全度量是指对信息安全的评估、控制和改进的过程。
3、信息安全度量是指衡量安全措施的有效性和安全威胁的影响的过程。
4、安全度量(Security Metrics)是用于衡量和评估信息系统和网络安全状态的一种方法。
二)说人话
仁者见仁,智者见智,一千个人眼中有一千个哈姆雷特。个人很不喜欢把精力花在定义上,我相信的是,它有什么用,它就是什么。
安全度量是掌握信息安全过去和当下情况的必要措施。主要有管理层,安全总监/负责人,安全运营负责人等,说服自己可以用感觉,总不能跟领导说我感觉是这样吧。
安全度量不是目的,目的是通过度量掌握信息安全的过去、当下、未来。状态是否正常, 效果是否达到,是否遗留风险。最先关注的是当下的状态、风险、效果,其次是未来,最后是过去。
安全度量需要基于不同的层次,不同的角色,不同的领域,设计不同的目标和指标。第一层是管理层,第二层是安全总监/负责人,第三层是安全运营。
二、安全度量的发展史
安全度量的发展经历了从技术层面到合规性、持续监测、业务驱动以及数据驱动和智能化的演进过程。可以看出,安全度量只是方法,在不同的阶段,不同的目标下,以不同的形式开展,不同的形态出现。但总体的逻辑是非常清晰的,先出新风险,再出新措施,最后出度量方式。
1、漏洞驱动阶段
信息安全初期阶段,主要工作查漏洞、修漏洞,度量工作主要针对漏洞。
2、合规驱动阶段
活下来后开始向最低及格线进发,主要工作在满足合规上,产生合规性度量。
3、事件驱动阶段
安全威胁不断演变和恶意攻击增加,开始运营告警,响应事件,安全度量开始关注持续监测和响应能力。包含安全告警和事件的检测时间、响应时间和恢复时间等指标。
4、业务驱动阶段
有点马斯洛需求模型中自我实现的味道,开始注重与业务目标的关联。关注关键业务系统的安全性,能为业务做点什么事,以实现自我价值。
5、数智驱动阶段
随着数字化和智能化技术的成熟度不断提升,人工智能和机器学习等技术将会被应用到信息安全领域中,安全度量能够从大量安全数据中提取和分析信息,识别模式和趋势,并提供更准确的洞察和决策支持。
三、安全度量对谁有什么用?
一切事物在不同的环境下,代表不同的角色时,都会有不同的作用。不基于环境和角色的分析,都是在耍流氓。如果角色不对,Who cares ?
1、对高层管理层有什么用?
通过安全度量结果,掌握信息安全当前现状和未来的趋势,投资回报情况。
2、对安全总监/负责人有什么?
基于安全度量结果制定安全规划、安全策略,做安全决策。使用度量结果来与高层管理层沟通,展示安全现状和趋势。含成果、隐患、需求、ROI。
3、对安全运营负责人有什么用?
掌握安全运营的运行情况(覆盖、效果、趋势、改进),基于结果向上汇报。包含安全能力覆盖面、安全能力有效性、安全告警分析、安全事件处置、威胁情报响应、安全漏洞整改、安全攻防验证、法律法规遵从、自动化智能化等等。细节中还有评估安全隐患的规模和严重程度,几乎方方面面都离不开度量结果。
4、对安全运营工程师有什么用?
使用度量结果来推动安全性持续改进,比如,把重复发生的问题拉出来升级成安全事件。掌握安全事件和漏洞的发生频率、类型和趋势,把高频发生的优化自动化,高危类型的集中资源优先处理,通过分析趋势及时调整资源分配或发现一些潜在的问题。监测和评估安全事件和漏洞的趋势,指导精力和资源的分配。使用度量结果来验证系统和流程是否符合安全标准和政策,并发现合规性缺陷和风险。
四、没有安全度量行不行?
做事之前进行必要性评估,先问自己不做会有哪些后果,再问自己不做行不行?
1、如果没有安全度量,高层管理者将无法准确评估安全状况,无法基于客观数据做出决策,只能依赖主观猜测和假设,也无法客观了解安全投资的回报率和效益。
2、 如果没有安全度量,安全总监/负责人无法基于客观数据做出客观安全决策,可能会依赖主观猜测和推测,增加决策的不确定性。也无法确定哪些安全措施和投资是最有效的,也无法合理分配资源来提高安全性能和降低风险。组织将无法了解自身的短板和薄弱环节,也无法有效地进行持续改进和提升安全能力。
3、如果没有安全度量,安全运营负责人无法全面了解其安全风险、漏洞和威胁情况。缺乏综合的安全认识可能导致对关键安全问题的忽视和误判。也无法确定安全措施的实际效果,无法及时调整和改进安全控制来提高整体安全性。也将难以满足合规性要求,可能面临法律和法规方面的风险和处罚。
4、如果没有安全度量,安全运营工程师将无法识别有多少成果,还有多少遗留风险,问题重复发生了多少次,下一步工作重点在哪,以及如何改进优化安全工作。
五、做安全度量有哪些原则
1、目标导向原则
安全度量工作是为安全目标和战略服务的,度量指标和方法应该安全目标相匹配,必须能够通过安全度量指标判断出是否满足目标或存在问题。否则,度量工作或指标设计就是失败的。
2、分层设计原则
公司战略目标、IT规划目标、信息安全目标、安全运营目标是层层分解而出,每一层都有独立的支持逻辑。安全度量对于安全目标,类型安全对于业务,度量需要基于目标而设计。
3、要事第一原则
信息安全工作由于覆盖面非常大,安全领域非常多,每个领域的风险或隐患非常多,针对每个风险或隐患可做的事也非常多。人力少,预算少的情况下,不可能全面铺开来做,需要围绕核心安全措施开展。
4、量化优先原则
安全度量优先基于可量化的数据和可衡量的指标,有些无法量化和不适合量化的指标可以从影响范围、风险等级、导致的后果等角度综合评估。类似零点击+RCE+有POC+互联网开放的漏洞,可直接导致入侵事件的,绝对不对使用量化评估。
5、 纵横比较原则
安全度量结果可以与历史数据进行比较,或与同行的数据进行比较。可以更客观的了解自身的安全水平,并与行业标准和最佳实践进行对比。
6、持续度量原则
安全度量应该是一个持续的过程,而不仅仅是一次性的活动。度量应该定期进行,以监测和评估安全性能,并支持持续改进和调整。
六、做安全度量有哪些挑战
1、无法量化的度量
某些安全方面可能难以直接度量,例如对未发生的安全事件的度量或对安全文化的度量,或者对严重级别漏洞做量化。这些情况需要寻找合适的非量化的度量方法。
2、指标选择和定义
基于一个目标,可选择以的指标类型有结果、过程、趋势等,可以选择的维度有类型、级别、来源等等,不同的角色有不同的需求和目标,因此需要仔细考虑选择哪些指标,再对指标进行定义和测量方法的确定。
3、数据可用性和质量
安全度量依赖于可靠、准确和完整的数据,可能遇到的问题有数据不完整、数据源不可靠、数据收集困难等。此外,还可能受到误报、漏报或错误报告的影响。比如,度量检出率时无法很客观的证明检出率是100%。
4、持续改进和适应性
安全度量应该是一个持续改进的过程,需要不断评估和调整,但随着战略、规划、工作内容的变化和威胁的演变,度量方法和指标需要基于新情况不断的调整。比如,企业在不同阶段风险偏好不同,业务扩展与稳定期风险偏好不同,建设期与运营期风险偏好不同。
5、数据隐私和合规性
在收集和处理安全度量数据时,需要考虑数据隐私和合规性问题,确保合适的数据保护措施、合规性要求和法规要求的遵守,也是一个重要的挑战。安全度量的设计思路和方案下期分享。bye !
RECOMMEND
关于 “IT效能” 的2个思考|安全村
原文始发于微信公众号(SecUN安全村):【极思】为什么必须做安全度量?丨安全村
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论