【IT168 编译】在首席信息安全官试图想办法向高管证明投资回报率以及提高安全操作的整体效能时,正确的指标可以帮助推动他们的工作。作为一个行业,信息安全已经非常成熟,很多企业安全领导都发现了创新的措施来追踪效能以及推动不断改善。本文中我们介绍了10个非常好的指标来帮助企业证明安全有效性、寻求更大预算以及推动安全人员提高他们的日常工作。
检测和响应的平均时间
也被称为平均知道时间(MTTK),平均检测时间(ATD)衡量问题(攻击或配置问题)出现以及安全团队发现有问题之间的时间。
Lockheed Martin公司网络主管Greg Boison表示:“通过减少ATD,安全运营中心(SOC)人员有更多时间来评估情况,并决定非常好的做法来使企业完成自己的使命,同时防止损害企业的资产。”
同时,平均解决或响应时间则测量安全团队适当回应问题和缓解风险的时间。
“平均响应时间(ATTR)可以让SOC管理人员知道他们是否在迅速和正确地响应违反安全政策的行为,”Boison表示,“通过降低ATR,SOC人员可以减少安全违反行为的影响。”
持续追踪这两个指标可以说明安全计划是否在改善或者恶化,理想情况下,应该逐渐改善。
误报率
追踪误报率(FPRR)可以帮助检查低级别分析师的工作,确保他们作出的判断会自动过滤误报安全事件数据,然后再将筛选后的数据发送给响应团队的其他人。
“尽管部署了自动过滤,SOC团队必须做出最后决定,即他们警告的事件是否是真正的威胁,”Boison称,“误报会让事件处理者和更高级别管理人员增加已经繁重的工作,如果过量的话,可能会降低他们的警惕度。”
高误报率可能说明需要对低级别分析师进行更好的培训,或者更好地调整分析工具。
“很多时候低级别分析师缺乏对事件原因的良好理解与可实现,而让误报发送到高级别分析师,”Cyberreason公司首席执行官Lior Div表示,“这导致了昂贵的资源浪费。”
平均修复软件漏洞时间
无论是网络、移动、云计算还是内部应用程序,构建定制软件的企业都应该衡量从发现漏洞到修复漏洞的时间。
“这个指标可以帮助企业了解生产软件中的漏洞情况,”Denim Group公司负责人John Dickson表示“然而,大多数企业不会内部公布这一指标,而导致最严重的应用程序漏洞(例如SQL注入)很长时间在生产中。”
实际上,这个数据可能被没有发生的修复所歪曲,特别是在开发过程中。因此,企业应该追踪报告的关键漏洞数量和已经修复的漏洞数量,这将会显示静态分析对企业的有效性。
Cigital公司安全举措主管Caroline Wong表示:“为了获得这个指标,软件安全团队必须进行静态分析,计算最初发现的漏洞数量,并计算实际修复的漏洞数量。只有开发人员真正修复软件漏洞,才可能提高代码的质量。”
漏洞修复延迟
漏洞修复延迟也可以显示安全计划的有效性。
“我们需要证明漏洞修复的进展,对于拥有成千上万设备的很多企业来说,这可能是一个艰巨的任务。他们应该专注于关键漏洞,并报告修复延迟情况,”咨询公司WGM Associates安全做法负责人Scott Shedd表示,“报告我们已经修复的漏洞,哪些还未修复,以及发现了多少新的漏洞。”
事件响应量
追踪事件响应的数量可以帮助首席信息安全官确定事件被发现和解决的情况。
“这可以显示事件正在进行修复以及根本原因分析,”WGM公司Shedd表示,“这对于持续改进信息安全计划非常重要。”