ITPub博客

首页 > IT基础架构 > 网络安全 > 重要的度量标准:如何衡量企业安全计划的有效性?

重要的度量标准:如何衡量企业安全计划的有效性?

翻译 网络安全 编辑:高博 时间:2018-12-06 17:50:57 0 删除 编辑

如果你不知道你的安全计划是否有效,那么在它上面花费时间、资源和金钱又有什么意义呢?为安全计划建立正确的度量标准和拥有这样的计划一样重要!我们经常说“不是所有被度量的东西都很重要,但是重要的东西应该被度量”,这对于安全性和任何其他关键业务功能一样适用。那么组织应该如何衡量他们安全计划的有效性呢?对此我们建议根据您组织的安全计划成熟度采用三阶段方法(类似于“爬行/步行/跑步”)。

三个测量阶段

第一阶段:基本 - 度量能力和成熟度

对于刚开始掌握安全计划的企业来说,他们可能根本不知道自己有哪些不了解的地方。在这个阶段,最合适的起点是基于框架的评估,它能够验证控件,评估和报告等基本功能的存在及其计划的成熟度。

该评估应针对公司独特的安全计划量身定制,侧重于特定的业务需求,并以提高安全性对业务成功的影响为明确目标。为此,计划和能力评估包括:组织威胁配置文件的基线,以及对对业务产生最大影响方案的理解;

验证所有安全计划应具备的基本功能,并分析程序如何处理关键风险;

衡量安全计划和个人能力目前的表现;

了解行业同行和一流组织将在哪些方面,为与当前差距和未来支出相关的决策提供信息以及制定计划,并通过优先转型路线图解决关键差距并优化现有能力。

该项工作的结果将使组织能够理解程序的所有元素及其成熟度,并对路线图进行改进。

第二阶段:中级 - 衡量投资回报率

已经开始通过专注转型投资增强安全计划的公司,通常希望了解计划策略是否仍然正确,以及是否获得了预期的投资回报率。

在此阶段,我们希望定义关键绩效指标,以衡量能力的成熟度及其实现投资回报率的能力。度量标准应与要改进的内容相关。

例如:如果由于缺乏端点可见性而无法检测到威胁,则度量标准必须与提高端点可见性的计划相关,并且应显示端点可见性的持续增加。

如果安全意识较低,则度量标准必须衡量培训计划,显示测试分数的实质性增长。

如果组织的威胁评估确定了更有可能的特定攻击向量,那么度量标准应该显示沿特定攻击向量路径的检测能力的提高。

如果度量标准停滞不前,公司应该确定哪些指标是不起作用的。假设新功能得到了正确实施,造成这种停滞的一般原因包括缺乏足够的工作人员,以及增加的额外技术或控制的数量成比例;由于新的数字足迹、收购或业务变化导致攻击面增加;或缺乏流程更新以反映更新的技术控制,因此组织仍然以旧的方式执行或不一致。

第三阶段:高级 - 测量准备响应

拥有更成熟安全计划的企业已经超越了度量能力和投资回报率,并提出了最终的问题:他们是否拥有合适的人员、流程和技术组合,并通过他们的响应意愿来进行度量?

发现答案的最佳方法是进行基于对手或场景的测试。这种类型的测试在所有阶段都是有益的,但更成熟的组织将从这种类型的投资中看到最大价值,因为结果将突出显示安全计划中难以发现的弱点。从网络安全的角度来看,这通常通过以下方式实现:

模拟攻击:一种技术评估,在这种技术评估中,双方就某个方案或目标达成一致,公司在受控的环境中使用既定的交战规则抵御模拟对手的攻击。攻击模拟方的目的是测试公司的检测和响应能力。

妥协评估或搜索:一种技术评估,评估人员在该公司的网络中搜索环境中是否存在活跃的攻击者,或者是否可能存在潜在的攻击向量。此评估的目的是增强公司的检测能力。

Wargaming:一种模拟测试,用来测试公司组织是否准备好以一种跨企业的协调方式应对网络攻击。这类模拟的目的是测试攻击事件期间的响应、通信和升级过程。

这里最有价值的度量标准,可以量化诸如平均检测时间、停留时间和组织模拟威胁场景,以对安全操作团队进行压力测试的能力。

重要的度量标准应该与组织的业务目标、最相关的威胁以及程序的成熟阶段相关。

定义度量标准和评估结果需要在整个企业中采用以结果为中心的方法。此外,构建全面的项目策略、检测机制和响应能力可以从跨行业的角度受益。这种响应的核心是组织承诺定期沟通和客观评估网络准备。

来自 “ https://www.securitymagazine.com/articles/89625-me ”,原文链接:http://blog.itpub.net/31545812/viewspace-2284436/,如需转载,请注明出处,否则将追究法律责任。

下一篇: 没有了~
请登录后发表评论 登录
全部评论

注册时间:2018-09-19

  • 博文量
    29
  • 访问量
    31276