一、为什么现在谈网络安全衡量指标?
首先,笔者跟一些大型企业的CIO和CSO沟通时,大家对于网络安全衡量指标这个话题都很关注、感兴趣。关注的原因主要有以下几点:
首先,企业管理层与安全团队沟通之间存在着GAP,双方都希望有一个一致的口径能对齐组织安全目标、效果和具体工作:
-
公司领导主要疑问和想法:目前公司的数据和资产到底安全不安全?最薄弱的环节在哪里?最重要的资产安全状态怎么样?安全一直投入,不断采购安全产品,现在的安全能力与安全水平到底是什么样的,是不是与公司现在和未来的发展是匹配的,后续应该往哪个方向走?每次投资安全项目的时候,该如何评估和衡量项目的投入产出比?
-
安全团队的感受:我们企业安全已经做了很多年,该做的已经差不多了,再做就是修修补补,很难说清楚后续安全投资的目标和方向;作为一个有责任心的安全人员,始终兢兢业业,但始终觉得跟公司的业务有点远,公司发展得好、似乎和安全的关系不大,公司发展的不好、首先想到的就是对安全动刀,安全人员没有价值感;企业里面总是要想办法要向上级、高层领导展现安全的价值、必要性,而且隔几年就得换个说法、换一套说辞,不来点新东西好像上上下下就觉得安全团队做的不行、没有与时俱进,但是自己说起新东西的时候有时也觉得有点心虚。
其次,在《网络安全的变与不变》中,笔者也提到:安全负责人一直在主动寻找衡量安全效果和能力的方式。如下截图:
总之,不管从网络安全建设阶段已经到下半场,还是需要向管理层展现网络安全效果和能力的角度,都到了要谈这个话题的时候了。
二、网络安全指标是什么?
1、既然安全指标这么重要,那我们按照什么样的框架逻辑来设计安全指标?
首先,笔者认为NIST的CSF2.0框架可以作为网络安全指标的参考依据。如下图所示:
-
CSF框架是以一种组织高管们能理解的通用风险管理语言来描述组织网络安全风险管理,安全团队可以基于CSF框架评估出企业目前的网络安全风险状况,设立期望的风险目标,以此安排组织后续要做的安全建设事项,让网络安全风控达到企业可以接受的水平。
-
安全团队可以基于此框架,向管理者和高管提供他们需要的信息(例如关键绩效指标、关键风险指标),以了解组织的网络安全态势,做出明智的决策,并相应地维持或调整风险策略。
-
组织的高管还可以将这些网络安全风险数据与组织内其他类型风险的信息结合起来,提高网络安全风险与业务的关联度。
其次,NIST关于零信任思路的描述,可以指引优化CSF框架中指标更加符合组织安全建设的实际情况:
-
被访问的各类资产是在安全区域,需要重点保障安全,这些资产本身也是安全的,默认外部任何人无权访问--最小对外暴露面且安全
-
访问这些资产需要经过多重认证,且每次访问连接要经过鉴权认证,通信连接是安全的--连接级、会话级安全
-
谁能访问这个区域的什么资源需要经过严格的授权,遵守最小化原则--权限最小化
-
需要有用户/设备的行为数据,动态调整资源访问策略--基于访问行为分析的动态控制
-
需要动态监控分析资产各类安全状况及使用信息,以便对不安全行为进行快速判断和响应--安全监测及事件编排响应
考虑到网络安全本身是以解决实际问题为导向,笔者基于组织安全团队工作中的操作实践,对组织的网络安全业务做个简单的抽象,并基于零信任思路,按照安全数字化架构的方式去构建网络安全衡量指标。这方面内容详细可以参考过去的文章:《简单几句话讲清楚安全业务的数字化》和《企业安全的变与不变》 。
首先,网络安全工作的本质是做风险管理,笔者将网络安全业务抽象成3+5+5,即“3个安全举措(隔离控制、检测响应、风险治理)+5个安全领域(云&IDC安全、访问安全、应用及开发安全、数据安全、管理及合规)+5个安全目标(防攻击、防滥用、防泄密、防欺诈、合法合规)”。
3个举措中,持续安全风险治理主要是评估出组织面临哪些潜在安全风险,并给出治理方案,对应CSF2.0框架中的GV+ID;安全隔离控制,以及检测和响应两个举措主要是通过正向建设,构建组织安全防护能力,分别对于CSF2.0框架中的GV+PR,GV+DE+RS+RC。
然后,笔者根据自身网络安全建设实践、并融合CSF框架和零信任思路,拟定了一份组织的网络安全衡量指标模版,供参考。笔者认为这些指标可以适用于大多数组织。
-
安全效果指标中,安全价值指标可以跟组织高层说清楚组织的安全绩效和关键安全举措对公司业务的价值,比如网络安全在哪些方面护航了组织业务发展,通过安全举措帮助公司减少了多少损失、降低了多少成本、提升了怎样的品牌效应;
-
安全效果指标中,安全风险评价是通过定性的方式给出组织网络安全风险的整体抗打击能力,比如:对抗脚本小子、商业犯罪团伙、APT组织、国家级、极限生存等;之所以这里要以定性而不是定量的方式呈现,主要是为了避免因为分数给管理层造成一个错误的印象:“哎,你们才做到80分,还有很大的差距要弥补啊!”。而实际上,80分的安全水平已经可以对抗APT或国家队的敌人,在业内已经是翘楚。
-
安全能力指标主要是支持组织确定的安全效果的能力水平,能力指标可以说清楚组织安全的各项能力当前状态是怎样的,还存在哪些差距,并根据组织业务的实际情况指明后续的安全投资方向,供组织高层或安委会决策。笔者认为安全能力指标是直接支撑安全效果指标的。
三、安全指标可以发挥什么作用?
网络安全指标不是为了做指标而做,指标是为了基于最优投资收益的原则,让组织安全建设更好推进,安全水位不断提升。笔者归纳起来可以从以下三个方面发挥作用:
(1)以管理层视角,网络安全建设要护航业务发展,不要出现重大事故,这个KPI可以通过安全效果指标来衡量。
(2)以服务业务的视角,网络安全建设和运营也要讲ROI,因此需要通过指标来衡量每个安全项目投资的ROI(比如一个项目的安全投资可以提升哪些安全能力指标、降低哪些安全风险指标,进而实现某个或多个领域的价值)。
(3)安全团队作为专业团队,可以基于安全指标与管理层对齐公司期望的安全目标效果,为网络安全投资预算提供更专业、可信的参考。
四、安全指标的建设和运营
根据上面的模版,组织网络安全指标包含安全效果指标、安全能力指标,下面分别介绍一下两类指标的建设和运营方式。
1、安全效果指标
这类指标主要是以阶段性的结果来衡量组织中的安全价值和效果,下表供参考:
这个指标分成两大类三小类,第一类是消极价值指标,比如:组织一年当中没有出现法律遵从、监管合规、重大攻击/违规/泄密、大的舆论事件,安全团队的KPI基本上没啥问题;第二类,是积极价值指标,比如某企业因为全网落地了办公零信任产品,降低了5%的IT投入;协助业务减少了1000万的薅羊毛等业务损失;安全协助销售做客户产品认可,正面影响了2000万的业务订单;TOC产品的安全投入,提告了公司品牌声誉等。第三类,是组织整体风险状态评价,比如通过定性和定量的方式说清楚组织目前网络安全风险管控能抗打击能力(60分-脚本小子、70分-专业犯罪团伙、80分-APT组织、90分-国家级等)。这些指标也参考了比较成熟大厂的安全度量指标。安全团队也可以根据组织业务需要,调整衡量指标数值和权重。
2、安全能力指标
按照上面介绍的3+5+5的逻辑,组织的安全建设归纳为三个举措(隔离控制、检测响应、风险治理),其中,隔离控制、检测响应在能力评价中又可以分成了10个功能项:管理及合规、员工安全、访问安全(含终端安全)、云&IDC安全、开发安全、数据安全、物理安全、供应链安全、安全运营、风险治理。而具体衡量这些安全功能项的指标大致可以从以下几个方面开展:制度流程/安全产品的完备度、覆盖率、事件检测的准确率、响应时效、重复频度、有效性等维度来评价各项能力指标的分数。如下图:
其中,安全风险治理这个能力也是网络安全下半场的一项重点工作。其实这项工作过去也一直在做,只是过去建设的重心还是隔离控制和检测响应两个举措,而到现在这两方面建设差不多了,组织需要以终为始的方式,通过风险治理推动安全能力的持续提升,主要就是站在业务视角感知组织现有安全体系的风险点/链,然后根据风险影响程度和ROI进行适当的风险疏导和控制工作。
这项能力的指标主要是从治理的覆盖面、频度、方式三个方面进行评价。安全风险治理的流程工具可以参考持续威胁暴露面管理计划(CTEM),它从范围、发现、优先级、验证、动员五个步骤介绍了潜在安全风险的感知、疏导和控制流程,这套工具对组织的网络安全风险治理和能力评价有很好的指导作用。 如下图:
3、安全衡量指标的案例模拟
下面笔者以两个案例来简单模拟一下组织网络安全指标的应用(所有数据指标经过了脱敏处理):
企业1是一个比较大的金融企业,每年参加HW。从效果指标来看,这个企业在消极的事件指标和积极的贡献指标方面都表现非常好,当年没有出过重大的安全事件,在塑造品牌和IT投资降本方面都得到业务部门的认可;在整体安全风险评价方面,这个企业可以扛APT组织的攻击,但是依然存在一些高风险点,在常态化HW的形势下,需要提高面对非正面攻击的防护能力。
企业2是一家快速发展的创新企业,主要面向TOC,安全刚开始面向数字化大规模建设。从安全效果指标来看,这家企业的安全团队在公司领导很好理解的安全认证、内部案件和暗网情报方面做到了让老板认可,也通过办公零信任办公方案的落地,大幅减少了传统层层设防建设思路下的大量IT投资,也得到了老板的高度认可。但因为这个企业规模还是比较小,整体安全风险评价方面,还存在很多的高风险点,扛打击的能力还比较低,这意味企业的安全能力建设方面还需要持续的提升。
通过这些指标,组织的安全团队与业务方、管理层沟通的时候,就有了一个完整的框架和一致的语言,在后续的安全建设投资方面,就很容易达成一致,安全对公司的价值和每笔投资的ROI也比较容易说清楚。
4、组织网络安全指标的运营方式
关于组织网络安全衡量指标的运营方式,可以分成两部分来看:
第一,网络安全的效果指标评估。其中消极指标和积极指标都是结果指标,可以根据阶段性工作的结果来评价,比如上面的组织网络安全指标案例中介绍一样;而组织整体风险状态评价主要来自于网络安全能力的评价结果,特别是风险治理能力的结果输出。
第二,网络安全能力指标的评估。目前大部分组织都是通过 人工核查、人工+工具的攻防模拟运动式、阶段性去做这些工作。比如:利用众测、红蓝模拟攻击、各种扫描工具、有效验证工具、内部体系稽查等方式,从制度流程/安全产品的完备度、覆盖率、事件检测的准确率、响应时效、重复频度、有效性等维度阶段性评估和识别组织内外部的潜在安全风险,并与业务部门进行反复沟通,最后基于组织业务实际情况做出风险处置行动。但由于这种方式对于组织的安全资源和能力要求都比较高,投入比较大,安全资源投入不充足的组织全套做下来的意愿就很小,因此ROI不高;这种方式也很难反映组织网络安全的真实水平。当然,这也给网络安全行业留下了一个很大的空白市场,也可能是网络安全领域少有的蓝海了。
笔者期待行业中能有一些创新类的产品,能够利用大数据、大模型等新技术,基于零信任的理念,以持续、自动方式更好地衡量组织网络安全管控的指标及其量化。比如:
-
能够利用大模型技术,7*24小时不间断对组织面临的安全风险,特别是关键风险进行动态、持续、自动化的识别。当然能实现部分风险的联动处置当然是更好了;
-
组织网络安全实现了数字化,安全团队大部分工作都围绕数字化平台进行了安全作业,那么这些能力指标很大部分也可以通过安全ERP平台进行实时计算和展示,比如员工应知应会、开发安全水平、攻击和行为异常检测准确率/时效/响应速度、全面资产清单及脆弱性分布等。以下是笔者基于过往经验总结的安全数字化业务架构,供参考:
五、总结
以上是笔者对网络安全衡量指标和量化的一些思考,这也是一件非常难,但对行业有意义的事情。欢迎对网络安全指标及量化感兴趣的同行有更多的意见和建议。
全文完!
原文始发于微信公众号(阿肯的不惑之年):关于网络安全指标的思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论