2023年，全球企業(yè)組織在網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品及服務(wù)方面的支出超過了1900億美元，同比增長12.7%。與此同時，也有越來越多的CISO和安全團(tuán)隊感到精疲力竭，他們已經(jīng)為企業(yè)安全建設(shè)工作付出了最大的努力，卻難以獲得符合預(yù)期的回報。

在此背景下，研究機(jī)構(gòu)Gartner提出，現(xiàn)代企業(yè)組織不應(yīng)該一味追求更多的安全投入和有效性未知的安全建設(shè)，而是要恪守最低有效洞察力（Minimum Effective Insight）原則，根據(jù)企業(yè)實(shí)際擁有的資源和能力，合理決策對安全控制措施的部署和使用。而在開展網(wǎng)絡(luò)安全能力建設(shè)時，組織應(yīng)該使用一種以結(jié)果為導(dǎo)向的的新型安全效果評估度量指標(biāo)——ODM（Outcome-Driven Security Metrics），對相關(guān)建設(shè)的實(shí)際效果進(jìn)行科學(xué)評估，從而將安全度量指標(biāo)與企業(yè)最關(guān)鍵的安全防護(hù)工作目標(biāo)緊密聯(lián)系起來。

ODM的主要特點(diǎn)

Gartner認(rèn)為，在網(wǎng)絡(luò)安全領(lǐng)域，ODM度量指標(biāo)能夠準(zhǔn)確衡量由不同類別的安全控制措施所創(chuàng)建的保護(hù)級別，能夠幫助組織從安全運(yùn)營績效和期望的業(yè)務(wù)結(jié)果視角，來衡量當(dāng)前安全投入的有效性，從而為企業(yè)提供數(shù)據(jù)驅(qū)動的洞察力，并將網(wǎng)絡(luò)安全工作與數(shù)字化業(yè)務(wù)成果結(jié)合起來，實(shí)現(xiàn)更有效的網(wǎng)絡(luò)安全保護(hù)。相比傳統(tǒng)的安全措施度量指標(biāo)，ODM具有以下特點(diǎn)：

1. 更注重實(shí)際防護(hù)效果

ODM會根據(jù)實(shí)際的防護(hù)效果來衡量安全控制措施的有效性，比如減少事件、盡量降低風(fēng)險和增強(qiáng)彈性。比如說，通過ODM體系評估已部署的防火墻究竟阻止了多少網(wǎng)絡(luò)攻擊的數(shù)量，而不是僅僅統(tǒng)計部署防火墻的數(shù)量。ODM所要求的度量指標(biāo)包括：檢測和響應(yīng)威脅時間的縮短情況、安全事件的頻次和嚴(yán)重性的降低程度，以及組織的安全狀況總體改進(jìn)情況。ODM方法跟蹤的結(jié)果是具體可量化的，包括數(shù)據(jù)泄露減少、事件發(fā)生后恢復(fù)加快以及安全相關(guān)的總成本變化情況。

2. 能夠與業(yè)務(wù)發(fā)展背景相結(jié)合

ODM需要考慮更廣泛的業(yè)務(wù)背景，確保網(wǎng)絡(luò)安全建設(shè)目標(biāo)與組織的總體業(yè)務(wù)發(fā)展目標(biāo)保持一致。這種一致性確保了網(wǎng)絡(luò)安全工作能夠真正支持業(yè)務(wù)增長、法規(guī)遵守、客戶信任及其他整體戰(zhàn)略目標(biāo)。如果將安全度量指標(biāo)與業(yè)務(wù)優(yōu)先事項相整合，組織可以更有效地管理可能影響其戰(zhàn)略目標(biāo)的風(fēng)險。將技術(shù)度量指標(biāo)轉(zhuǎn)換為業(yè)務(wù)結(jié)果，這有助于向管理層和非技術(shù)人員闡述網(wǎng)絡(luò)安全預(yù)算投入的價值。

3. 安全投入的價值權(quán)衡

ODM能夠根據(jù)建設(shè)成本評估安全投入的價值。這主要是分析投入在安全控制上的資源是否在降低風(fēng)險及其他好處方面帶來了相匹配的回報。通過權(quán)衡成本與價值，組織可以更有效地分配安全預(yù)算，優(yōu)先考慮帶來最高回報的投入。安全成本價值分析有助于優(yōu)化安全投入組合，確?；ǔ鋈サ拿恳环皱X都能最大限度地改善組織的安全狀況。

4. 針對云安全的有效性評估

在云環(huán)境下，ODM有助于在針對云的安全控制上分配更適當(dāng)?shù)闹С?。因為ODM方法認(rèn)識到，不同的云服務(wù)和環(huán)境可能需要不同級別和類型的安全投入。ODM能夠根據(jù)具體的安全要求和與各種云服務(wù)相關(guān)的風(fēng)險來動態(tài)分配資源。比如說，關(guān)鍵任務(wù)應(yīng)用程序需要比不太重要的應(yīng)用程序更可靠的安全控制。針對云的ODM衡量云安全控制（比如數(shù)據(jù)加密、身份及訪問管理以及安全監(jiān)控）在實(shí)現(xiàn)預(yù)期安全效果方面的有效性。這確保已落實(shí)的安全措施有效地保護(hù)云上的資產(chǎn)和數(shù)據(jù)。

如何實(shí)施ODM ？

企業(yè)組織在實(shí)施ODM時，需要借助一套科學(xué)的評估流程，才能確保安全措施與期望的結(jié)果目標(biāo)保持高度一致。

1. 明確初始流程和支持技術(shù)

在實(shí)施ODM的初始階段，重點(diǎn)在于清晰地識別出組織所必需的主要安全控制流程，并將它們與用于實(shí)施這些流程的安全技術(shù)對應(yīng)起來。比如說，在開展端點(diǎn)安全保護(hù)時，就需要得到擴(kuò)展檢測和響應(yīng)（XDR）或端點(diǎn)檢測和響應(yīng)（EDR）技術(shù)的支持；在漏洞管理時，利用使用漏洞掃描器；而身份安全管理時則需要通過身份和訪問管理（IAM）系統(tǒng)和目錄服務(wù)加以實(shí)施。明確初始流程和支持技術(shù)是實(shí)施ODM的基本步驟，要確保一套結(jié)構(gòu)化框架來度量和管理安全工作。

2. 識別關(guān)鍵的業(yè)務(wù)目標(biāo)和結(jié)果

在實(shí)施ODM的第二階段，就是確定每個流程的特定優(yōu)先事項和期望的結(jié)果，從而使安全流程與業(yè)務(wù)結(jié)果保持一致。在這個階段，要確保安全工作直接與業(yè)務(wù)目標(biāo)相關(guān)，因此需要從業(yè)務(wù)影響方面定義每個安全流程的優(yōu)先級和重要性，并明確表明成功實(shí)施和效果的結(jié)果。比如在端點(diǎn)保護(hù)中，優(yōu)先事項可能包括部署范圍和威脅識別，結(jié)果由受保護(hù)的端點(diǎn)數(shù)量和緩解的威脅數(shù)量來衡量。同樣對于漏洞管理而言，掃描頻次和全面性以及威脅嚴(yán)重性識別是關(guān)鍵優(yōu)先事項，其結(jié)果體現(xiàn)在已掃描系統(tǒng)的百分比和已解決的高危漏洞中。

3. 識別風(fēng)險依賴關(guān)系

了解與技術(shù)和流程相關(guān)的風(fēng)險依賴關(guān)系對于管理潛在故障及其可能對業(yè)務(wù)運(yùn)營的影響至關(guān)重要。這個階段需要分析每個流程依賴特定技術(shù)的情況，并評估關(guān)鍵技術(shù)失敗或受攻擊的后果。比如說，端點(diǎn)保護(hù)依賴XDR和EDR解決方案，它們的故障可能會使端點(diǎn)暴露在威脅面前。同樣，漏洞管理依賴漏洞掃描器，它們的故障可能導(dǎo)致漏洞未加處理，從而加大被利用的風(fēng)險。識別這些風(fēng)險和依賴關(guān)系有助于規(guī)劃應(yīng)急事件，并確保安全運(yùn)營的連續(xù)性。

4. 定義ODM特定度量指標(biāo)

在這個階段，重點(diǎn)是開發(fā)體現(xiàn)安全流程在實(shí)現(xiàn)預(yù)期結(jié)果方面有效性的特定度量指標(biāo)。這需要為每個流程制定與運(yùn)營結(jié)果和保護(hù)級別直接相關(guān)的度量指標(biāo)，并確保它們是可度量的、清晰的，并提供實(shí)用的寶貴信息。定義這些度量指標(biāo)確?？梢远吭u估并持續(xù)改進(jìn)安全工作。

5. 評估準(zhǔn)備狀況和風(fēng)險

接下來，就需要評估組織實(shí)施ODM的準(zhǔn)備狀況，以及與實(shí)施過程相關(guān)的風(fēng)險挑戰(zhàn)。這包括確定組織是否有必要的資源、技能和基礎(chǔ)設(shè)施來有效地管理和監(jiān)控ODM評估計劃。比如說，有必要確保安全團(tuán)隊擁有分析ODM數(shù)據(jù)并采取后續(xù)行動的專業(yè)知識，確保IT基礎(chǔ)設(shè)施能夠支持所需的數(shù)據(jù)收集和分析。此外，需要識別和緩解潛在風(fēng)險，比如數(shù)據(jù)準(zhǔn)確性問題、新度量指標(biāo)對現(xiàn)有流程的影響以及反對變化的阻力。制定應(yīng)對這些風(fēng)險的策略可確保更平滑的過渡和更有效地采用以結(jié)果為導(dǎo)向的安全度量指標(biāo)。