實(shí)用四大安全指標(biāo)

■

隨著安全問(wèn)題越來(lái)越多地受到董事會(huì)和管理層的關(guān)注，不僅管理層需要各種指標(biāo)以得到對(duì)安全態(tài)勢(shì)更為清晰的視角，安全專業(yè)人士也逐漸被要求提供一些可以跟蹤公司當(dāng)前防御狀態(tài)的各項(xiàng)指標(biāo)。但，哪些數(shù)字才是真正有用的呢？

通常情況下，高級(jí)管理層不太清楚該過(guò)問(wèn)哪類問(wèn)題，還可能會(huì)太過(guò)關(guān)注預(yù)防而疏于減輕損失。類似響應(yīng)安全事件的平均費(fèi)用或是防火墻阻止了多少次攻擊這樣的指標(biāo)對(duì)非安全人員來(lái)說(shuō)似乎挺合乎情理的，但這些東西真的對(duì)公司的安全計(jì)劃毫無(wú)推進(jìn)效能。相反，專家們建議將注意力放在那些可以影響行為或改變策略的指標(biāo)上。

像漏洞修補(bǔ)平均成本和打補(bǔ)丁平均時(shí)間這樣的指標(biāo)，如果公司擁有成熟和高度優(yōu)化的流程，那還是很有用的。但問(wèn)題在于，當(dāng)前大部分公司都達(dá)不到這一標(biāo)準(zhǔn)。不過(guò)，度量參與度、有效性和暴露窗口期的幾種指標(biāo)還是可以為公司提供用以制定計(jì)劃和改善防御項(xiàng)目的信息的。以下就是可指引管理層得出有用結(jié)論的四大安全指標(biāo)：

安全指標(biāo) 1：項(xiàng)目參與程度

參與度指標(biāo)著眼于公司內(nèi)部的覆蓋率。它們可能度量有多少業(yè)務(wù)單位經(jīng)常進(jìn)行滲透測(cè)試或多少終端處于自動(dòng)補(bǔ)丁系統(tǒng)維持更新?tīng)顟B(tài)。這些基本信息能夠幫助公司評(píng)估安全控制采用級(jí)別并標(biāo)識(shí)出潛在的安全空白區(qū)。

比如說(shuō)，能夠宣稱公司系統(tǒng)100%保持更新到一個(gè)月之內(nèi)或許聽(tīng)起來(lái)挺好的，但這其實(shí)是個(gè)不現(xiàn)實(shí)的目標(biāo)，因?yàn)榇蜓a(bǔ)丁本身有可能對(duì)某些系統(tǒng)帶來(lái)操作性風(fēng)險(xiǎn)。目光投向參與度指標(biāo)能夠幫助排除那些不符合列入常規(guī)補(bǔ)丁規(guī)則的系統(tǒng)——專注于那些應(yīng)該打補(bǔ)丁的系統(tǒng)。

安全指標(biāo) 2：攻擊持續(xù)時(shí)間

駐留時(shí)間，或者說(shuō)攻擊者處在公司網(wǎng)絡(luò)中的時(shí)間，同樣可以帶來(lái)有價(jià)值的結(jié)論。攻擊持續(xù)信息能夠幫助安全專家們準(zhǔn)備好限制和控制威脅并最小化損失。

調(diào)查顯示，攻擊者在公司網(wǎng)絡(luò)內(nèi)部潛伏的平均時(shí)間一般是幾個(gè)月，期間熟悉公司的基礎(chǔ)設(shè)施，進(jìn)行偵察活動(dòng)，在網(wǎng)絡(luò)中游弋，以及偷取信息。

防御目標(biāo)應(yīng)該是盡可能減少駐留時(shí)間，不給攻擊者留下逡巡公司網(wǎng)絡(luò)刪除關(guān)鍵數(shù)據(jù)的機(jī)會(huì)。清楚駐留時(shí)間可以幫助安全團(tuán)隊(duì)找出處理漏洞補(bǔ)救和事件響應(yīng)的方法。

“攻擊者在你網(wǎng)絡(luò)中停留的時(shí)間越長(zhǎng)，他們能獲取到的信息就越多，能造成的傷害也就越大?！?/p>

安全指標(biāo) 3：代碼缺陷密度

缺陷密度，或者說(shuō)每千行（或百萬(wàn)行）代碼中的問(wèn)題數(shù)，可以幫助公司評(píng)估自身開(kāi)發(fā)團(tuán)隊(duì)的安全實(shí)踐水平。

不過(guò)，上下文是關(guān)鍵。如果一個(gè)應(yīng)用正處于開(kāi)發(fā)初期，那么，高缺陷密度意味著所有問(wèn)題都被發(fā)現(xiàn)了。這是好事。另一方面，如果一個(gè)應(yīng)用已經(jīng)處于維護(hù)模式，缺陷密度就應(yīng)該更低些，并呈現(xiàn)下降趨勢(shì)，這樣才表明應(yīng)用隨著時(shí)間的流逝而變得更安全。如若不然，應(yīng)用代碼有問(wèn)題是肯定的。

安全指標(biāo) 4：暴露窗口期

公司有可能找出了應(yīng)用中的缺陷，但直到解決缺陷問(wèn)題之前該應(yīng)用都是脆弱而易被攻破的。暴露窗口期指標(biāo)著眼于一年中應(yīng)用對(duì)已知嚴(yán)重漏洞和問(wèn)題毫無(wú)防范能力的天數(shù)?！拔覀兊哪繕?biāo)是：讓嚴(yán)重漏洞被發(fā)現(xiàn)而補(bǔ)丁尚未出臺(tái)的時(shí)間縮減為0天?！?/p>

誤導(dǎo)性指標(biāo)

管理層一般都喜歡關(guān)注安全事件預(yù)防，其原因有部分是源于固有的“所有的攻擊都能被阻擋在外圍”的傳統(tǒng)觀念。比如說(shuō)，看到被阻止的入侵嘗試次數(shù)就會(huì)令所有人都感覺(jué)良好。但這一信息根本不能提供任何可行操作——它幫不了安全團(tuán)隊(duì)找出有哪些攻擊沒(méi)被攔住。Raytheon/Websense首席技術(shù)官約書亞·道格拉斯說(shuō)：“你解決不了任何問(wèn)題?！?/p>

平均響應(yīng)時(shí)間，或者說(shuō)發(fā)現(xiàn)并解決問(wèn)題有多快，是另一個(gè)沒(méi)什么卵用的指標(biāo)。響應(yīng)時(shí)間忽視了攻擊者傾向于在網(wǎng)絡(luò)中橫向移動(dòng)這一事實(shí)。你也許能修復(fù)一個(gè)問(wèn)題，但如果沒(méi)人試圖確定攻擊者在網(wǎng)絡(luò)中的其他行為，那么被同一個(gè)攻擊者侵害的其他系統(tǒng)就有可能一直都沒(méi)被發(fā)現(xiàn)。只關(guān)注單個(gè)事件而非安全態(tài)勢(shì)整體會(huì)導(dǎo)致整個(gè)安全環(huán)境都很脆弱。

這不是解決一個(gè)就萬(wàn)事ok的問(wèn)題，而是解決一個(gè)還得拔除一堆的問(wèn)題。

另一個(gè)常見(jiàn)的跟蹤指標(biāo)是漏洞減少數(shù)量，但這指標(biāo)本身也不是那么有用。即使補(bǔ)上了大量低級(jí)別漏洞，只要關(guān)鍵漏洞仍然門戶洞開(kāi)，公司風(fēng)險(xiǎn)依然如故。某些漏洞就是比其他的更具重量級(jí)。

在近期一次Raytheon/Websense調(diào)查中，受訪高管里只有少部分人認(rèn)為他們公司采用的安全指標(biāo)是“完全有效的”，大部分高管覺(jué)得他們公司所用的指標(biāo)“一定程度上有效”。安全從業(yè)人員需要向高級(jí)管理層闡明該怎樣關(guān)注那些有助于達(dá)成明確目標(biāo)的安全問(wèn)題。否則，就會(huì)有太多的注意力被浪費(fèi)在根本不能切實(shí)降低風(fēng)險(xiǎn)或改善安全狀態(tài)的信息上。

“你有限的時(shí)間和資金都用在正確的地方了嗎？”