2023年,全球企業(yè)組織在網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品及服務(wù)方面的支出超過了1900億美元,同比增長12.7%。與此同時,也有越來越多的CISO和安全團(tuán)隊感到精疲力竭,他們已經(jīng)為企業(yè)安全建設(shè)工作付出了最大的努力,卻難以獲得符合預(yù)期的回報。
在此背景下,研究機(jī)構(gòu)Gartner提出,現(xiàn)代企業(yè)組織不應(yīng)該一味追求更多的安全投入和有效性未知的安全建設(shè),而是要恪守最低有效洞察力(Minimum Effective Insight)原則,根據(jù)企業(yè)實(shí)際擁有的資源和能力,合理決策對安全控制措施的部署和使用。而在開展網(wǎng)絡(luò)安全能力建設(shè)時,組織應(yīng)該使用一種以結(jié)果為導(dǎo)向的的新型安全效果評估度量指標(biāo)——ODM(Outcome-Driven Security Metrics),對相關(guān)建設(shè)的實(shí)際效果進(jìn)行科學(xué)評估,從而將安全度量指標(biāo)與企業(yè)最關(guān)鍵的安全防護(hù)工作目標(biāo)緊密聯(lián)系起來。
ODM的主要特點(diǎn)
Gartner認(rèn)為,在網(wǎng)絡(luò)安全領(lǐng)域,ODM度量指標(biāo)能夠準(zhǔn)確衡量由不同類別的安全控制措施所創(chuàng)建的保護(hù)級別,能夠幫助組織從安全運(yùn)營績效和期望的業(yè)務(wù)結(jié)果視角,來衡量當(dāng)前安全投入的有效性,從而為企業(yè)提供數(shù)據(jù)驅(qū)動的洞察力,并將網(wǎng)絡(luò)安全工作與數(shù)字化業(yè)務(wù)成果結(jié)合起來,實(shí)現(xiàn)更有效的網(wǎng)絡(luò)安全保護(hù)。相比傳統(tǒng)的安全措施度量指標(biāo),ODM具有以下特點(diǎn):
1. 更注重實(shí)際防護(hù)效果
ODM會根據(jù)實(shí)際的防護(hù)效果來衡量安全控制措施的有效性,比如減少事件、盡量降低風(fēng)險和增強(qiáng)彈性。比如說,通過ODM體系評估已部署的防火墻究竟阻止了多少網(wǎng)絡(luò)攻擊的數(shù)量,而不是僅僅統(tǒng)計部署防火墻的數(shù)量。ODM所要求的度量指標(biāo)包括:檢測和響應(yīng)威脅時間的縮短情況、安全事件的頻次和嚴(yán)重性的降低程度,以及組織的安全狀況總體改進(jìn)情況。ODM方法跟蹤的結(jié)果是具體可量化的,包括數(shù)據(jù)泄露減少、事件發(fā)生后恢復(fù)加快以及安全相關(guān)的總成本變化情況。
2. 能夠與業(yè)務(wù)發(fā)展背景相結(jié)合
ODM需要考慮更廣泛的業(yè)務(wù)背景,確保網(wǎng)絡(luò)安全建設(shè)目標(biāo)與組織的總體業(yè)務(wù)發(fā)展目標(biāo)保持一致。這種一致性確保了網(wǎng)絡(luò)安全工作能夠真正支持業(yè)務(wù)增長、法規(guī)遵守、客戶信任及其他整體戰(zhàn)略目標(biāo)。如果將安全度量指標(biāo)與業(yè)務(wù)優(yōu)先事項(xiàng)相整合,組織可以更有效地管理可能影響其戰(zhàn)略目標(biāo)的風(fēng)險。將技術(shù)度量指標(biāo)轉(zhuǎn)換為業(yè)務(wù)結(jié)果,這有助于向管理層和非技術(shù)人員闡述網(wǎng)絡(luò)安全預(yù)算投入的價值。
3. 安全投入的價值權(quán)衡
ODM能夠根據(jù)建設(shè)成本評估安全投入的價值。這主要是分析投入在安全控制上的資源是否在降低風(fēng)險及其他好處方面帶來了相匹配的回報。通過權(quán)衡成本與價值,組織可以更有效地分配安全預(yù)算,優(yōu)先考慮帶來最高回報的投入。安全成本價值分析有助于優(yōu)化安全投入組合,確?;ǔ鋈サ拿恳环皱X都能最大限度地改善組織的安全狀況。
4. 針對云安全的有效性評估
在云環(huán)境下,ODM有助于在針對云的安全控制上分配更適當(dāng)?shù)闹С觥R驗(yàn)镺DM方法認(rèn)識到,不同的云服務(wù)和環(huán)境可能需要不同級別和類型的安全投入。ODM能夠根據(jù)具體的安全要求和與各種云服務(wù)相關(guān)的風(fēng)險來動態(tài)分配資源。比如說,關(guān)鍵任務(wù)應(yīng)用程序需要比不太重要的應(yīng)用程序更可靠的安全控制。針對云的ODM衡量云安全控制(比如數(shù)據(jù)加密、身份及訪問管理以及安全監(jiān)控)在實(shí)現(xiàn)預(yù)期安全效果方面的有效性。這確保已落實(shí)的安全措施有效地保護(hù)云上的資產(chǎn)和數(shù)據(jù)。
如何實(shí)施ODM ?
企業(yè)組織在實(shí)施ODM時,需要借助一套科學(xué)的評估流程,才能確保安全措施與期望的結(jié)果目標(biāo)保持高度一致。
1. 明確初始流程和支持技術(shù)
在實(shí)施ODM的初始階段,重點(diǎn)在于清晰地識別出組織所必需的主要安全控制流程,并將它們與用于實(shí)施這些流程的安全技術(shù)對應(yīng)起來。比如說,在開展端點(diǎn)安全保護(hù)時,就需要得到擴(kuò)展檢測和響應(yīng)(XDR)或端點(diǎn)檢測和響應(yīng)(EDR)技術(shù)的支持;在漏洞管理時,利用使用漏洞掃描器;而身份安全管理時則需要通過身份和訪問管理(IAM)系統(tǒng)和目錄服務(wù)加以實(shí)施。明確初始流程和支持技術(shù)是實(shí)施ODM的基本步驟,要確保一套結(jié)構(gòu)化框架來度量和管理安全工作。
2. 識別關(guān)鍵的業(yè)務(wù)目標(biāo)和結(jié)果
在實(shí)施ODM的第二階段,就是確定每個流程的特定優(yōu)先事項(xiàng)和期望的結(jié)果,從而使安全流程與業(yè)務(wù)結(jié)果保持一致。在這個階段,要確保安全工作直接與業(yè)務(wù)目標(biāo)相關(guān),因此需要從業(yè)務(wù)影響方面定義每個安全流程的優(yōu)先級和重要性,并明確表明成功實(shí)施和效果的結(jié)果。比如在端點(diǎn)保護(hù)中,優(yōu)先事項(xiàng)可能包括部署范圍和威脅識別,結(jié)果由受保護(hù)的端點(diǎn)數(shù)量和緩解的威脅數(shù)量來衡量。同樣對于漏洞管理而言,掃描頻次和全面性以及威脅嚴(yán)重性識別是關(guān)鍵優(yōu)先事項(xiàng),其結(jié)果體現(xiàn)在已掃描系統(tǒng)的百分比和已解決的高危漏洞中。
3. 識別風(fēng)險依賴關(guān)系
了解與技術(shù)和流程相關(guān)的風(fēng)險依賴關(guān)系對于管理潛在故障及其可能對業(yè)務(wù)運(yùn)營的影響至關(guān)重要。這個階段需要分析每個流程依賴特定技術(shù)的情況,并評估關(guān)鍵技術(shù)失敗或受攻擊的后果。比如說,端點(diǎn)保護(hù)依賴XDR和EDR解決方案,它們的故障可能會使端點(diǎn)暴露在威脅面前。同樣,漏洞管理依賴漏洞掃描器,它們的故障可能導(dǎo)致漏洞未加處理,從而加大被利用的風(fēng)險。識別這些風(fēng)險和依賴關(guān)系有助于規(guī)劃應(yīng)急事件,并確保安全運(yùn)營的連續(xù)性。
4. 定義ODM特定度量指標(biāo)
在這個階段,重點(diǎn)是開發(fā)體現(xiàn)安全流程在實(shí)現(xiàn)預(yù)期結(jié)果方面有效性的特定度量指標(biāo)。這需要為每個流程制定與運(yùn)營結(jié)果和保護(hù)級別直接相關(guān)的度量指標(biāo),并確保它們是可度量的、清晰的,并提供實(shí)用的寶貴信息。定義這些度量指標(biāo)確??梢远吭u估并持續(xù)改進(jìn)安全工作。
5. 評估準(zhǔn)備狀況和風(fēng)險
接下來,就需要評估組織實(shí)施ODM的準(zhǔn)備狀況,以及與實(shí)施過程相關(guān)的風(fēng)險挑戰(zhàn)。這包括確定組織是否有必要的資源、技能和基礎(chǔ)設(shè)施來有效地管理和監(jiān)控ODM評估計劃。比如說,有必要確保安全團(tuán)隊擁有分析ODM數(shù)據(jù)并采取后續(xù)行動的專業(yè)知識,確保IT基礎(chǔ)設(shè)施能夠支持所需的數(shù)據(jù)收集和分析。此外,需要識別和緩解潛在風(fēng)險,比如數(shù)據(jù)準(zhǔn)確性問題、新度量指標(biāo)對現(xiàn)有流程的影響以及反對變化的阻力。制定應(yīng)對這些風(fēng)險的策略可確保更平滑的過渡和更有效地采用以結(jié)果為導(dǎo)向的安全度量指標(biāo)。