安全主管可以根據(jù)各項(xiàng)指標(biāo)作出決策，只要指標(biāo)不屬于以下糟糕指標(biāo)范疇即可。

[[278526]]

網(wǎng)絡(luò)安全權(quán)威人士苦心規(guī)勸十來(lái)年之后，CISO 需從業(yè)務(wù)角度以數(shù)據(jù)說(shuō)話的理念終于深入人心，各項(xiàng)測(cè)量指標(biāo)意識(shí)最終確立。無(wú)論是合理化開(kāi)支、量化風(fēng)險(xiǎn)，還是爭(zhēng)取高管支持安全運(yùn)營(yíng)，CISO 的討論中如今滿是儀表板、圖表和關(guān)鍵業(yè)績(jī)指標(biāo) (KPI)。唯一的問(wèn)題是什么呢?安全團(tuán)隊(duì)及其主管使用的大量數(shù)據(jù)，其實(shí)，并不十分有用。

事實(shí)上，很多測(cè)量出來(lái)的數(shù)據(jù)都是無(wú)用指標(biāo)，沒(méi)有上下文，數(shù)據(jù)量大，且缺少分析，還往往測(cè)得錯(cuò)誤的觀察項(xiàng)而無(wú)法獲悉真正的風(fēng)險(xiǎn)。Edge 最近向業(yè)內(nèi)多位安全專(zhuān)家咨詢了他們最不喜歡的指標(biāo)都有哪些，結(jié)果，專(zhuān)家們列出來(lái)的清單有點(diǎn)長(zhǎng)。下面 20 條就是日夜與安全為伍的專(zhuān)業(yè)人士給出的網(wǎng)絡(luò)安全領(lǐng)域最糟糕指標(biāo)。

1. 太過(guò)復(fù)雜的指標(biāo)

Cobalt.io 首席策略官 Caroline Wong 表示，在你拿出依托復(fù)雜計(jì)算模型的安全指標(biāo)前，無(wú)論該指標(biāo)是 FAIR 這種正式的東西，還是你內(nèi)部使用的客戶安全評(píng)分，你都得考慮你的受眾對(duì)該指標(biāo)背后計(jì)算模型的熟悉或不熟悉程度。如果受眾不熟悉你得出該指標(biāo)的方法，你會(huì)發(fā)現(xiàn)自己更忙于解釋和捍衛(wèi)自己方法的正確性，而不是討論該安全指標(biāo)本身、其含義，以及你建議的相應(yīng)操作。

2. 震懾型指標(biāo)

震懾型指標(biāo)就數(shù)字讓你大吃一驚的那種。比如：有 23,456 個(gè)未修復(fù)漏洞。但數(shù)字本身并沒(méi)有上下文或風(fēng)險(xiǎn)考慮。

Optiv CISO Brain Wrozek 表示，這數(shù)字是好是壞，是正常還是意外，上升還是下降?漏洞是新是舊?漏洞在高價(jià)值資產(chǎn)還是低價(jià)值資產(chǎn)上?是少量資產(chǎn)上的很多漏洞，還是很多資產(chǎn)上的少量漏洞?所有這些上下文表征都很重要。但不幸的是，太多這種聳人聽(tīng)聞的安全統(tǒng)計(jì)數(shù)據(jù)都缺乏上下文。

3. 質(zhì)性指標(biāo)

Fractional 創(chuàng)始人、高管、CISO Rob Black 表示，質(zhì)性指標(biāo)就是正確組織行為的攔路虎。很多企業(yè)都將風(fēng)險(xiǎn)劃分為高、中、低三級(jí)。各個(gè)方面上看這么做都錯(cuò)了。

“財(cái)政部門(mén)就永遠(yuǎn)不會(huì)說(shuō)這個(gè)項(xiàng)目我們需要 ‘大量’ 資金支持。他們會(huì)給出一個(gè)具體數(shù)額。網(wǎng)絡(luò)安全人員也應(yīng)該這么做。嘗試獲得‘中等’保障什么的。這種質(zhì)性指標(biāo)對(duì)其他業(yè)務(wù)線完全沒(méi)意義。安全部門(mén)不應(yīng)該用質(zhì)性指標(biāo)。質(zhì)性指標(biāo)應(yīng)該像肘尺那樣扔進(jìn)歷史的垃圾桶!

4. 一個(gè)攻擊風(fēng)險(xiǎn)指標(biāo)走天下

Verodin CISO Brian Contos 表示，面對(duì)攻擊我們有多安全?每當(dāng)我看到用單一指標(biāo)回答此類(lèi)問(wèn)題，我都想要退避三舍，因?yàn)樵撝笜?biāo)通常由已發(fā)現(xiàn)漏洞和已修復(fù)漏洞數(shù)量計(jì)算得出。這個(gè)指標(biāo)能很好地描述你的漏洞修復(fù)工作成效，當(dāng)然，漏洞是必須修復(fù)的。但這個(gè)指標(biāo)并不能真正描述你面對(duì)攻擊的安全程度。

“安全程度應(yīng)由細(xì)分為多個(gè)方面的 [指標(biāo)衡量]，比如：我的網(wǎng)絡(luò)、終端、電子郵件和云安全工具有效性如何?我的托管安全服務(wù)提供商 (MSSP) 有多遵守他們的服務(wù)水平協(xié)議 (SLA)?我的安全團(tuán)隊(duì)事件響應(yīng)有效性有多高?安全團(tuán)隊(duì)遵循的各項(xiàng)過(guò)程有效程度如何?

5. 安全項(xiàng)目增長(zhǎng)

ZeroNorth 創(chuàng)始人兼總裁 Ernesto DiGiambattista 表示，人員、應(yīng)用和工具的增長(zhǎng)常被認(rèn)為是成功的表現(xiàn)，但這種評(píng)價(jià)方式是有缺陷的，因?yàn)閿?shù)量增加未必等同于安全狀況改善。更重要的考慮是安全項(xiàng)目空白的填補(bǔ)程度，而這常常是通過(guò)現(xiàn)有人員和工具實(shí)現(xiàn)的。當(dāng)然，某些領(lǐng)域里增長(zhǎng)可能是必要的，但僅這一個(gè)指標(biāo)顯然不能衡量成功與否。

6. 基于 CVSS 的風(fēng)險(xiǎn)評(píng)分

Kenna Security 首席數(shù)據(jù)科學(xué)家 Michael Roytman 表示，僅一小部分漏洞被惡意黑客利用，但 CVSS 得分并沒(méi)有反映出這一事實(shí)。CVSS 得分沒(méi)考慮漏洞的普遍程度和已知漏洞利用的公開(kāi)可用性?；旧?，CVSS 就沒(méi)將漏洞被用于黑客攻擊的可能性或威脅納入考慮，但仍有很多公司將之作為漏洞修復(fù)工作的唯一指引。

“安全團(tuán)隊(duì)評(píng)估哪些漏洞需首先修復(fù)時(shí)，除 CVSS 之外還應(yīng)考慮這些漏洞被利用的概率。

7. 能力成熟度模型集成 (CMMI) 得分

FRSecure 專(zhuān)業(yè)服務(wù)與創(chuàng)新總監(jiān) Brad Nigh 表示，公司企業(yè)常將 CMMI 看作其安全項(xiàng)目各部分成熟程度的分類(lèi)標(biāo)簽。CMMI 關(guān)注有利于盡可能不中斷過(guò)程/項(xiàng)目地引入新員工的過(guò)程和文檔。CMMI 得分的問(wèn)題在于，并沒(méi)有考慮到企業(yè)所擁有的資產(chǎn)的價(jià)值。

因此，得出的是虛假的安全感，是僅僅因?yàn)檫^(guò)程平滑就認(rèn)為安全的假定，沒(méi)有考慮到這些過(guò)程是否適用于自身環(huán)境，是否解決了自己最大的風(fēng)險(xiǎn)/漏洞。

8. 平均檢測(cè)/響應(yīng)時(shí)間

CriticalStart CTO Randy Watkins 表示，多數(shù)企業(yè)將均檢測(cè)時(shí)間 (MTTD) 和平均響應(yīng)時(shí)間 (MTTR) 視為網(wǎng)絡(luò)安全警報(bào)調(diào)查的實(shí)際指標(biāo)。問(wèn)題出在‘平均’響應(yīng)時(shí)間的衡量上。根據(jù)實(shí)際需要響應(yīng)的警報(bào)數(shù)量，只看平均時(shí)間可能會(huì)給入侵分類(lèi)可用時(shí)間設(shè)置人為上限。

為考慮進(jìn)分類(lèi)和響應(yīng)耗時(shí)較長(zhǎng)的調(diào)查，可以選擇計(jì)算中位檢測(cè)時(shí)間。剔除時(shí)間線兩端的奇點(diǎn)可以獲得安全團(tuán)隊(duì)響應(yīng)效能的準(zhǔn)確視圖。

9. 完成培訓(xùn)的員工占比

Altitude Networks 共同創(chuàng)始人兼 CEO Micheal Coates 表示，完成安全培訓(xùn)的員工占比是個(gè)偽指標(biāo)，只會(huì)帶來(lái)對(duì)安全態(tài)勢(shì)和企業(yè)彈性的虛假安全感。安全意識(shí)是個(gè)不可或缺的好東西。但如果企業(yè)僅僅因?yàn)榻邮苣甓扰嘤?xùn)的員工占比高就對(duì)自身安全意識(shí)盲目自信，那可真是完全看錯(cuò)了方向。

10. 被泄記錄數(shù)量

Contrast Security 共同創(chuàng)始人兼 CTO Jeff Williams 表示，被泄記錄數(shù)量是公司和個(gè)人理解數(shù)據(jù)泄露嚴(yán)重性的一個(gè)非常糟糕的方式。黑客不泄露任何一條‘記錄’也可以完全接管公司所有服務(wù)器，清空公司賬戶，摧毀所有記錄。

11. 平均故障時(shí)間

SecurityFirst 首席產(chǎn)品及策略官 Pankaj Parekh 表示，這個(gè)指標(biāo)很具誤導(dǎo)性，因?yàn)楝F(xiàn)代復(fù)雜數(shù)據(jù)中心里，單個(gè)組件常會(huì)故障。衡量基礎(chǔ)設(shè)施容錯(cuò)能力和彈性要有意義得多，這樣即便哪個(gè)部分故障了，整個(gè)數(shù)據(jù)中心運(yùn)營(yíng)也不受影響。Netflix 在 2011 年構(gòu)建的‘混世魔猴 (Chaos Monkey)’就是通過(guò)隨機(jī)禁用某個(gè)服務(wù)器，來(lái)驗(yàn)證各個(gè)系統(tǒng)的健壯性，確保整體系統(tǒng)能挺過(guò)混亂情況。

12. 安全控制措施封堵的威脅數(shù)量

Digital Guardian 網(wǎng)絡(luò)安全副總裁 Tim Bandos 表示，向董事會(huì)報(bào)告稱(chēng)各項(xiàng)安全控制措施將千千萬(wàn)萬(wàn)個(gè)威脅封堵在邊界防火墻之外固然聽(tīng)起來(lái)很有成就感，但實(shí)際上這可謂是最糟糕的指標(biāo)了。這東西根本是在傳達(dá)有關(guān)網(wǎng)絡(luò)安全項(xiàng)目有效性的錯(cuò)誤信息，并未真正衡量公司面對(duì)實(shí)際威脅的彈性，比如勒索軟件或國(guó)家支持的網(wǎng)絡(luò)攻擊。

“在我看來(lái)，更好的指標(biāo)是從初始感染到檢測(cè)的平均周期時(shí)間，或者平復(fù)成功威脅的耗時(shí)，畢竟，他們總會(huì)侵入的。

13. 漏洞數(shù)量

SecureAuth 策略研究總監(jiān) Martin Gallo 表示，常見(jiàn)無(wú)效指標(biāo)樣例之一是去數(shù)影響應(yīng)用、系統(tǒng)或網(wǎng)絡(luò)的漏洞數(shù)量，然后以之評(píng)判系統(tǒng)安全程度。漏洞數(shù)量當(dāng)然很重要，但僅僅數(shù)出問(wèn)題數(shù)量而不考慮潛在影響和漏洞被利用的概率，那就是奔著糟糕風(fēng)險(xiǎn)管理去了。

類(lèi)似的，公司資產(chǎn)關(guān)鍵程度有別，有些資產(chǎn)就是比別的資產(chǎn)重要。對(duì)最重要資產(chǎn)和不那么重要的資產(chǎn)都應(yīng)用同樣的指標(biāo)，可能導(dǎo)致混亂，也產(chǎn)生不了什么特別的動(dòng)作。

14. 網(wǎng)絡(luò)釣魚(yú)鏈接點(diǎn)擊率

Barracuda Networks 安全意識(shí)副總裁 Dennis Dillman 表示， 雖然降低網(wǎng)絡(luò)釣魚(yú)鏈接點(diǎn)擊率看起來(lái)像是用戶意識(shí)項(xiàng)目投資回報(bào)率 (ROI) 的良好體現(xiàn)，但不應(yīng)作為公司培訓(xùn)項(xiàng)目的主要關(guān)注點(diǎn)。關(guān)注重點(diǎn)全放在降低點(diǎn)擊率上時(shí)，管理員傾向于向用戶重復(fù)發(fā)送非常相似的網(wǎng)絡(luò)釣魚(yú)郵件。這種重復(fù)能教會(huì)用戶識(shí)別魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，但并不能使用戶做好準(zhǔn)備應(yīng)對(duì)可能遭遇的各種攻擊。

需要注意的重要指標(biāo)不止點(diǎn)擊率一個(gè)。想更好地評(píng)估培訓(xùn)項(xiàng)目有效性，可以看有多少人在假冒登錄頁(yè)面上輸入了憑證，多少人回復(fù)了你的模擬釣魚(yú)，IT 團(tuán)隊(duì)收到了多少可疑電子郵件報(bào)告。

15. 漏洞修復(fù)天數(shù)

XM Cyber 產(chǎn)品副總裁 Menacem Shafran 表示，很多公司里，漏洞修復(fù)天數(shù)都是非常基礎(chǔ)和常用的指標(biāo)。因?yàn)楹苋菀子寐┒磼呙杵鳙@得。大部分企業(yè)會(huì)跟蹤自身修復(fù)漏洞所需時(shí)長(zhǎng)，無(wú)論是整體耗時(shí)還是按 CVSS 風(fēng)險(xiǎn)得分和資產(chǎn)分組得出的耗時(shí)。問(wèn)題是，這個(gè)指標(biāo)并不能真正反映出公司當(dāng)前風(fēng)險(xiǎn)。非關(guān)鍵資產(chǎn)上的低風(fēng)險(xiǎn)評(píng)分漏洞也是可以助黑客染指更為重要的資產(chǎn)的。

16. 處理事件數(shù)

Siemplify 首席策略官 Nimmy Reichenberg 表示，說(shuō)到安全運(yùn)營(yíng)，我最不喜歡的無(wú)用指標(biāo)是 “處理事件數(shù)”。這個(gè)指標(biāo)是典型的報(bào)告 “忙碌情況” 而不是 “業(yè)務(wù)情況”。處理事件數(shù)未能具現(xiàn)化 SecOps 在理解真正需處理事件上的有效性，呈現(xiàn)不了處理關(guān)鍵事件以減少威脅駐留時(shí)間的效率，反映不出自動(dòng)排除誤報(bào)以減少需處理事件數(shù)量的功效。

17. 每員工緩解事件數(shù)

DivvyCloud 共同創(chuàng)始人兼 CTO Chris DeRamus 表示，另一個(gè)無(wú)用指標(biāo)是跟蹤每個(gè)員工所緩解的事件數(shù)量。當(dāng)今網(wǎng)絡(luò)安全態(tài)勢(shì)下，公司面臨的活躍威脅數(shù)量動(dòng)輒上百萬(wàn)。同樣地，在如此龐大的威脅與漏洞數(shù)量面前，每員工能緩解的事件數(shù)量毫無(wú)意義，即使最有經(jīng)驗(yàn)、技術(shù)最精湛的安全從業(yè)人員也無(wú)濟(jì)于事。

僅靠人力不可能實(shí)時(shí)追蹤所有活躍威脅并緩解全部安全事件，所以公司企業(yè)不應(yīng)該在這些指標(biāo)上浪費(fèi)自身時(shí)間。

18. 事件開(kāi)放時(shí)間/完結(jié)時(shí)間

Capgemini 首席安全官兼策略主管 Joe McMann 表示，特別令人生氣的一個(gè)指標(biāo)是 “事件完結(jié)時(shí)長(zhǎng)”，這個(gè)指標(biāo)太含混不清了，變數(shù)很多，有太多依賴關(guān)系。安全運(yùn)營(yíng)的目標(biāo)不應(yīng)該是盡可能快地了結(jié)任務(wù)處理請(qǐng)求，好讓請(qǐng)求隊(duì)列保持為空;安全運(yùn)營(yíng)中心不是客服中心。

作為企業(yè)防御者，我們的真正目標(biāo)應(yīng)該是有效響應(yīng)、完整且深入的分析，以及利用所學(xué)構(gòu)建更主動(dòng)的防御態(tài)勢(shì)。我想要衡量枚舉整個(gè)進(jìn)攻生命周期的能力，想確信該分析產(chǎn)生了新的特征碼、檢測(cè)或緩解。

19. 安全項(xiàng)目控制覆蓋百分比

Cybersecurity GRC 創(chuàng)始人表示，策略中安全項(xiàng)目控制覆蓋的百分比是一柄雙刃劍。確保策略全面且覆蓋安全項(xiàng)目中的控制措施很重要，所以這里并不是要貶低該指標(biāo)的重要性。

但只有理解且遵循了的策略才能減少公司風(fēng)險(xiǎn)，所以還需要另一個(gè)相應(yīng)的指標(biāo)來(lái)衡量員工對(duì)策略的理解程度——審查后測(cè)試知識(shí)，以及/或評(píng)估策略遵從度。

20. 分析師待處理工單

Respond Sofware 客戶成功副總裁 Chris Triolo 表示，我們討厭這個(gè)，這就是在比誰(shuí)更快了結(jié)工單，而不是分析并修復(fù)，或確保不出現(xiàn)問(wèn)題。這是典型的 “衡量即完成” 問(wèn)題。

【本文是51CTO專(zhuān)欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文