在这次Help Net Security采访中,Pentera研究和网络安全副总裁Alex Spivakovsky讨论了评估安全计划成功与否的基本指标。
Spivakovsky解释了自动化和主动测试如何揭示漏洞并改善整体安全态势。
衡量安全计划成功与否的最有效的指标是什么?
最直接的指标是:您的组织是否被入侵?如果答案是肯定的,很明显还有工作要做。如果答案是否定的,你的状态会更好——但情况比这更复杂。即使您没有被入侵,如果您的潜在网络安全指标正在下降,那么您的安全态势也会恶化。以下是一些衡量成功和改进的重要指标:
- 平均检测时间(MTTD)和平均响应时间(MTTR)——这些衡量了识别和解决威胁的速度,反映了安全运营团队的敏捷性和效率。每多一分钟,攻击者就有时间访问您的环境。运行一致的测试,以确保平均MTTD和MTTR持续改善。
- 确定风险概况与风险概率的能力——确定补救优先级涉及评估如果被利用的潜在影响,以及在您的环境背景下被利用的可能性。漏洞的危急性可能排名为10/10,但补偿控制可以将其利用概率降低到2/10,使其优先级低于7/10的危急性和8/10的利用风险。没有这种洞察力,优先排序就不那么有效了。
- 随着时间的推移,总体风险评估分数——在整个攻击表面反复测量您的总体风险状况。这些评估基于漏洞、残余风险和业务影响分数等因素,以创建安全基线分数,您可以随着时间的推移跟踪和改进。
组织如何确定安全程序是否实用,而不仅仅是满足合规要求?
简短的答案是持续的安全测试和验证实践。作为CTEM框架的一部分,Gartner最近推出了一个名为对抗性暴露验证(AEV)的新类别,该类别整合了主动测试技术,如漏洞和攻击模拟(BAS)、自主渗透测试和红色团队。通过模拟现实世界的攻击策略,AEV使组织能够积极测试其现有防御的有效性。
主动测试揭示了环境背景下可利用的漏洞和攻击路径。通过专注于经过验证的暴露,这种方法确保了组织实施的安全控制在抵御真实威胁方面是实用和有效的,而不仅仅是勾选监管复选框。
自动化和持续测试在提高安全程序的有效性方面有多重要?
自动化和软件对主动安全测试至关重要,因为它们能够以人类渗透测试人员和红色团队无法比拟的频率和规模进行测试。根据我们2024年渗透测试状况调查,超过60%的企业每年最多对组织进行两次人工渗透测试。在这些测试期间,手动测试最多可以覆盖20%的IT环境。
根据现代IT环境变化的频率,特别是在云中运行的IT环境,这意味着大多数时候,组织攻击表面的很大一部分未经测试,其安全性的有效性尚未得到验证。
我们看到的一个非常常见的用例是EDR验证。组织认为他们的EDR覆盖率是100%的,但在测试时,我们揭示了缺少代理的资产,或者没有利用正确政策的代理。我们见过代理被配置为“监控”而不是“防止”的实例。如果没有主动预防,您将依赖内部安全团队或外部SOC的响应时间,为黑客提供宝贵的时间来推进甚至完成漏洞。随着IT环境的频繁变化,这些类型的错误配置相对普遍。持续测试您的实时环境使安全团队能够识别并快速补救安全问题,以确保覆盖范围确实为100%。
安全第一文化对安全计划的整体有效性有多重要?
根据2024年DBIR报告,人为因素仍然是组织安全的最大风险,在所有成功攻击的68%中起着一个因素。如果组织内唯一有安全意识的群体是网络和IT团队,那么您的安全就不可能发挥作用。相对于整个组织,内部安全团队往往规模较小,不可能无处不在;所有员工都需要了解他们的行为如何影响整个组织安全态势,并实践适当的安全卫生。
安全第一文化的另一个同样重要的方面是高管的认同。Pentera发现,企业平均在整个组织中使用53个安全解决方案,每年在IT安全上花费超过100万美元。随着威胁类型多样化,安全成本也在上升。如果行政管理层不愿意致力于并真正投资于安全,那么漏洞的可能性就会增加。
在那方面有一些好消息。我们发现,超过50%的首席信息安全官报告说,他们与执行团队和董事会(BoD)分享了测试结果。随着高调漏洞的增加,管理团队越来越意识到网络安全及其所代表的业务风险。我们还没有完全到那里,但日益增长的意识有望为更多网络安全投资打开大门。
安全领导者可以使用什么方法向行政领导层和利益相关者展示其安全计划的价值?
越来越多的网络安全专业人员被期望在商业方面传达他们的贡献。这有助于执行管理层和董事会成员更好地了解安全举措的影响,他们通常更注重业务,对网络安全概念不太熟悉。我建议根据安全投资回报率(ROSI)传达价值,ROSI是相当于ROI(投资回报率)的网络安全。
通常使用的公式是:
ROSI =(避免的损失-安全措施的成本)/安全措施的成本
例如,如果一个安全计划防止了100万美元的潜在漏洞损失,并花费25万美元实施,ROSI将是3,这意味着每花费1美元在安全上,回报率为3美元。
安全措施的成本包括为实施和维护组织的安全防御而进行的所有投资。
计算避免的损失:
避免的损失代表了已实施的安全措施已成功防止的安全事件的潜在财务影响。关键组成部分包括:
- 单次损失预期(SLE):单次安全事件的成本。
- 年发生率(ARO):基于历史趋势或行业基准,一年内此类事件的估计频率。
- 缓解率是安全控制在预防事件(0比1)公式方面的有效性:避免的损失=SLE × ARO × 缓解率
参考来源:helpnetsecurity
暂无评论内容