【IT168 编译】在首席信息安全官试图想办法向高管证明投资回报率以及提高安全操作的整体效能时,正确的指标可以帮助推动他们的工作。作为一个行业,信息安全已经非常成熟,很多企业安全领导都发现了创新的措施来追踪效能以及推动不断改善。本文中我们介绍了10个非常好的指标来帮助企业证明安全有效性、寻求更大预算以及推动安全人员提高他们的日常工作。
检测和响应的平均时间
也被称为平均知道时间(MTTK),平均检测时间(ATD)衡量问题(攻击或配置问题)出现以及安全团队发现有问题之间的时间。
Lockheed Martin公司网络主管Greg Boison表示:“通过减少ATD,安全运营中心(SOC)人员有更多时间来评估情况,并决定非常好的做法来使企业完成自己的使命,同时防止损害企业的资产。”
同时,平均解决或响应时间则测量安全团队适当回应问题和缓解风险的时间。
“平均响应时间(ATTR)可以让SOC管理人员知道他们是否在迅速和正确地响应违反安全政策的行为,”Boison表示,“通过降低ATR,SOC人员可以减少安全违反行为的影响。”
持续追踪这两个指标可以说明安全计划是否在改善或者恶化,理想情况下,应该逐渐改善。
误报率
追踪误报率(FPRR)可以帮助检查低级别分析师的工作,确保他们作出的判断会自动过滤误报安全事件数据,然后再将筛选后的数据发送给响应团队的其他人。
“尽管部署了自动过滤,SOC团队必须做出最后决定,即他们警告的事件是否是真正的威胁,”Boison称,“误报会让事件处理者和更高级别管理人员增加已经繁重的工作,如果过量的话,可能会降低他们的警惕度。”
高误报率可能说明需要对低级别分析师进行更好的培训,或者更好地调整分析工具。
“很多时候低级别分析师缺乏对事件原因的良好理解与可实现,而让误报发送到高级别分析师,”Cyberreason公司首席执行官Lior Div表示,“这导致了昂贵的资源浪费。”
平均修复软件漏洞时间
无论是网络、移动、云计算还是内部应用程序,构建定制软件的企业都应该衡量从发现漏洞到修复漏洞的时间。
“这个指标可以帮助企业了解生产软件中的漏洞情况,”Denim Group公司负责人John Dickson表示“然而,大多数企业不会内部公布这一指标,而导致最严重的应用程序漏洞(例如SQL注入)很长时间在生产中。”
实际上,这个数据可能被没有发生的修复所歪曲,特别是在开发过程中。因此,企业应该追踪报告的关键漏洞数量和已经修复的漏洞数量,这将会显示静态分析对企业的有效性。
Cigital公司安全举措主管Caroline Wong表示:“为了获得这个指标,软件安全团队必须进行静态分析,计算最初发现的漏洞数量,并计算实际修复的漏洞数量。只有开发人员真正修复软件漏洞,才可能提高代码的质量。”
漏洞修复延迟
漏洞修复延迟也可以显示安全计划的有效性。
“我们需要证明漏洞修复的进展,对于拥有成千上万设备的很多企业来说,这可能是一个艰巨的任务。他们应该专注于关键漏洞,并报告修复延迟情况,”咨询公司WGM Associates安全做法负责人Scott Shedd表示,“报告我们已经修复的漏洞,哪些还未修复,以及发现了多少新的漏洞。”
事件响应量
追踪事件响应的数量可以帮助首席信息安全官确定事件被发现和解决的情况。
“这可以显示事件正在进行修复以及根本原因分析,”WGM公司Shedd表示,“这对于持续改进信息安全计划非常重要。”
已充分了解的事故率
这个指标也可以帮助了解事件响应和安全分析师的效率。
Cybereason的Div表示:“在安全事件中,安全团队对多少事件有着全面的了解,造成警报的原因,其影响?”
与整体事故数量相比,这个数据越低,说明需要更多人力资源或工具。
分析生产时间
你的安全计划存在信息过量?测量收集数据的时间与分析数据的时间,可以帮助回答这个问题。
IKANOW公司总裁Christopher Morgan表示:“减少分析事件让IT团队可以更快识别和采取行动来防止或检测和解决安全泄露事故,从而提高整体安全状况。”
他表示:“缩短分析安全数据的时间—无论是来自内部防火墙或SIEM信息或外部威胁情报源,都需要给数据科学家工具盒时间来专注于数据分析。”
按时和按预算完成项目的百分比
首席信息安全官可以向高管提供按时按预算完成IT安全项目的百分比,让他们了解其开支情况。Security Mentor公司首席战略官兼首席安全官Dan Lohrmann表示:“这可能是加密项目、新防火墙或其他安全项目。这一指标可以确保安全可以向管理团队提供价值和改进。”
自动控制检测的安全事件百分比
衡量检测工具的一种方法是追踪通过自动工具检测的安全事件的百分比。
Tripwire公司首席技术官Dwayne Melancon 表示:“这一指标不仅可以鼓励你熟悉事件检测情况,还可以让你专注于自动化,这减少了人力资源要求。这还可以更容易地获得预算,因为你可以说明自动化带来的成本节约,同时提高企业安全性。”
员工行为指标
安全意识培训是否有效?我们有很多方法来追踪和衡量这一点,主要是通过网络钓鱼和社会工程学压力测试,其中你对你的员工进行相关测试。
基本上,你需要运行一个假的钓鱼网站,并打一些社会工程学电话,研究公司主管Santorelli表示:“对取得好成绩的员工予以奖励和宣传,帮助犯错的员工学习经验教训,这样,你就会提高员工的抵御力,至少在几周时间内是这样。”
