确定哪些指标最能量化安全為企業帶來的價值，這是每一位首席信息安全官都必須不斷加強的技能。數據并不是故事或轶事，而是衡量安全對企業價值的标尺。

首席信息安全官在董事會占有一席之地

業務主管、副總裁和企業高管在網絡安全領域的職業發展的區别在于，他們如何将所做的工作聯系起來以實現業務價值。他們不依賴于安全工具點擊鼠标就能生成的數百個固定指标。與其相反，他們更能分辨出他們制定和共享的指标。例如，一個重點是使用指标來提高端點安全性，并表明它可以提供業務價值。

由于知道如何管理和指導網絡安全戰略以交付業務價值和可衡量結果，越來越多首席信息安全官被邀請加入他們所在公司的董事會。

雲原生網絡安全服務商CrowdStrike公司聯合創始人兼首席執行官George Kurtz在今年九月舉辦的Crowd StrikeFal大會的主題演講中說道，“我看到越來越多的首席信息安全官加入董事會。我認為這是一個很好的機會，可以讓大家了解首席信息安全官對企業業務的影響。從職業生涯的角度來看，能夠成為董事會的一員，可以幫助首席信息安全官在這段旅程中順利前行，這非常棒。”

首席信息安全官使用的标準

在Kurtz在會上發表主題演講之後，行業媒體采訪了CrowdStrike公司的一家客戶的首席信息安全官，他們在選擇和使用标準向企業傳達網絡安全價值方面提供了建議。最重要的是隻提供支持和顯示企業範圍内平衡記分卡集成價值的指标。平衡計分卡以首席執行官對董事會講話的方式來表達，所以這是一個立竿見影的勝利，因為它能體現網絡安全在量化對業務的直接貢獻方面的價值。

在選擇向業務報告網絡安全價值的指标時，首席信息安全官其他一些建議包括:

(1)工具驅動的度量通常缺乏場景，所以要謹慎使用

鑒于無惡意軟件攻擊的迅速增加，網絡安全團隊有增加更多指标的趨勢。網絡安全團隊将更多的報告數據視為應對風險上升的靈丹妙藥，但目前尚不清楚，他們将盡可能多地采用指标，尋找線索。首席信息安全官團隊依靠防病毒軟件、安全信息和事件管理(SIEM)、安全票務系統、漏洞掃描器等，生成了大量缺乏場景的指标。

一些首席信息安全官警告說，直接從工具中提出指标，而沒有對這些指标進行說明。首席執行官和董事會成員更關注與環境相關的新見解，而不是一系列戰術措施。

(2)優先考慮用戶請求并知道何時拒絕

每一個新的令人關注的入侵或破壞都會導緻多達十幾個或更多的内部用戶要求新的度量标準。根據用戶請求為場景智能提供的價值和交付業務價值來管理用戶請求是至關重要的。首席信息安全官表示，如果與量化網絡安全所提供價值的所需指标沒有聯系，那麼很容易拒絕其他指标請求。

(3)随着時間的推移，最值得信賴的指标得到緩慢而謹慎的改進

網絡安全供應商承諾擁有他們需要的所有安全指标，與此相反，首席信息安全官表示，在持續微調一些指标，以顯示網絡安全的商業價值。最值得信賴的指标在精确量化安全支出如何提高抵禦力和保障增長方面有着良好的記錄。

美國亞利桑那州國土安全部主任兼首席信息官Tim Roemer說，“要确保這些指标足夠簡單，無需冗長的解釋就能讓企業高管理解。如果衡量标準太複雜，它們就沒有幫助，甚至可能帶來損害。”

(4)保持精确的測量和一緻的監控平衡

用數據定義度量的場景遠比依靠故事或轶事更有效。首席信息安全官表示，對入侵和入侵企圖增加的本能反應是收緊度量的粒度。試圖獲得比指标設計提供的更高的準确性和精确度是一些首席信息安全官的障礙。與其相反，随着時間的推移，數據的一緻性有助于提供場景，而這正是企業高管關注的關于網絡安全支出和結果的内容。

哪些網絡安全指标最重要?

當網絡安全專業人員升職成為首席信息安全官時，最初他們通常專注于建立一個可測量的安全級别和風險管理基線。然而，随着網絡安全供應商繼續改進他們對預測分析和機器學習的使用，人們越來越依賴于對網絡風險的相對水平進行評分。首席信息安全官還應該開始跟蹤基于活動的指标，包括釣魚培訓電子郵件的時鐘頻率，因為它們有助于加強培訓項目，并有助于建立更有效的人工防火牆。

Roemer說，“我們與RiskSense公司合作，讓我們所有的機構都有網絡風險的信用評分。這有助于推動我們的企業安全計劃，将其作為一個高度優先事項，以幫助這些機構通過采用我們的工具來提高這些評分。在提高風險評分的同時，我們不斷提高目标，并在各機構之間開展競争，其結果将在董事會會議公布。”

對網絡安全和物理安全實行零信任

首席信息安全官表示，入侵嘗試和威脅越來越多地跨越網絡和物理攻擊載體，特别是在企業園區和政府大樓。最小權限訪問與标記系統和任何企業數據系統、數據存儲或網絡一樣重要。依賴工業控制系統(ICS)的加工廠是網絡攻擊者的主要目标，他們可以利用U盤采用勒索軟件感染工廠設備。電力、石油和電力加工廠運行的工業控制系統(ICS)系統并不是為安全設計的。依靠氣隙來保護工業控制系統(ICS)是最危險的策略之一。在使用集成電路的制造商和工廠中，出現了漏洞泛濫的情況，零信任有助于緩解這種情況。

Roemer在最近接受采訪時說，“零信任對物理安全和網絡安全同樣重要。因此，作為我們部門的一項合理的戰略，它在各個方面都很有效。就像不希望有人持有徽章可以訪問國會大廈一樣，我們也不希望一個擁有管理權限的員工能夠訪問他們不需要訪問的數據。”

特權訪問管理(PAM)和身份訪問管理(IAM)是許多零信任網絡訪問(ZTNA)計劃的核心，可以提供關于網絡安全對業務貢獻的有價值的場景數據。例如，人們經常會發現CrowdStrike和Elastic儀表闆被用于跟蹤管理帳戶的使用情況。一些首席信息安全官表示，他們也使用CrowdStrike的數據來完成定期審計和評估登錄嘗試、最後登錄日期、密碼更改曆史和特權訪問曆史。

端點威脅檢測是必不可少的

幾乎每個企業面臨的潛在入侵或威脅活動都始于端點攻擊。典型的端點平均安裝了11.7個安全控件，每個控件都以不同的速度衰減，從而産生多個威脅面。bsolute Software公司的2021年端點風險報告發現，52%的端點安裝了三個或更多端點管理客戶端，59%的端點安裝了一個以上身份訪問管理(IAM)客戶端。根據Tanium公司最近進行的一項調查，55%的網絡安全和風險管理專業人士估計，超過75%的端點攻擊無法被他們現有的安全系統阻止，這使得旨在防止端點攻擊的指标成為優先事項。

了解每個端點上的内容以及每個端點的位置是ZTNA成功的戰略的核心。Absolute Resilience、CrowdStrike Falcon、Ivanti Endpoint Manager、Trend Micro、SentinelOne等是端點保護平台的行業領導者，他們可以跟蹤每個端點資産及其配置。首席信息安全官希望将所有這些數據放在一個平台上，以獲得場景洞察力，并表明網絡安全正在提供價值。

當行業媒體詢問Roemer威脅檢測作為一個指标有多重要時，他說:“這是非常有價值的。我們使用的CrowdStrike儀表闆是我們之前儀表闆的巨大升級，我甚至無法想象如果沒有它們，首席信息安全官将會如何應對。此外，每當我們為我們的機構設置網絡安全措施時，他們總是會立即向我們提供令人滿意的反饋結果。”

當被問及如何将終端保護和資産管理作為部門目标的核心部分時，Roemer表示:“CrowdStrike和Tanium在我們的整個企業安全項目中合作得很好。當新冠疫情發生時，這對我們來說是遊戲規則的改變，随着遠程工作人員的增加，這對我們來說仍然至關重要。它允許我們監控終端上的軟件，并遠程推送補丁。”

端點可見性指标在證明跨組織的安全性價值方面很有價值。通過端點類型、位置和分段将重點放在跟蹤公開和修複的漏洞上。Roemer說，“通過Tanium，我們的庫存管理工具可以查看網絡連接内容，能夠看到幾個漏洞被迅速修複和打開的漏洞數量，這很有用。”

平均檢測時間和平均恢複時間

這兩個指标都衡量了安全部門的運營效率水平，以及跨其他部門的安全協調情況。例如，首席信息安全官通常依賴平均檢測時間作為跨部門的高級度量平均值來了解系統檢測事件的效果。具體措施的例子包括威脅行為人的停留時間。它還被用作内部指标，以量化安全操作中心(SOC)結合工具檢測事件的速度。

Roemer表示，準确測量平均恢複時間更具挑戰性，因為這并不總是安全團隊的性能指标。他指出，要獲得準确的度量，通常需要IT運營和業務支持，并在很大程度上依賴于準備工作作為改進度量的輸入，包括良好的離線備份、彈性雲環境、業務連續性、應急和災難恢複計劃。

Roemer說:“我們能做的事情就是确保各機構遵守當地法規和政策，這些政策要求制定應急計劃、事件應對計劃，并幫助定期測試和執行這些計劃，以便他們能夠做好應對重大事件和從重大事件中恢複的最佳準備。”

現在是精簡儀表闆指标的時候了

大多數儀表闆有很多的指标來傳達網絡安全給企業帶來的價值。而現在是認真審視儀表闆的時候了，削減那些不會影響彈性、增長或終端安全的指标。每一個新的違規行為都會導緻10多個新的度量請求。增加更多指标并不是避免網絡攻擊的靈丹妙藥，擁有可靠的、值得信賴的數據才是。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!