對於企業IT 信息安全每年要處理解決成千上萬漏洞來講,能夠暫停手頭工作去評估業績變化無疑是一種奢望。那麼,如何了解您在安全方面的努力和投入是否有所回報呢?唯一的方式就是製定基準來評估威脅隨時間的變化。

Cyber Exposure 的準則取決於您準確回答以下四個關鍵問題的能力:

  1. 我們有哪些資產暴露於風險之下?

  2. 我們應當根據怎樣的優先順序處理這些風險?

  3. 我們是否正逐漸減少風險暴露?

  4. 我們與業界同行相較如何?

 

之前我們博客系列中探討了各企業在確定對其業務構成最嚴重威脅的漏洞時所面臨的挑戰。在本部分,我們將探討各企業在嘗試準確回答“如何逐步降低暴露風險”這一問題時所面臨的挑戰。

 

縮小範圍

準確評估風險隨時間減少的最大挑戰就是攻擊面的不斷變化。例如,一項全新數位變革舉措可能導致端點數量的指數級增長,同時擴大了支撐這些端點的網絡範圍。再比如,近期的一次合併可能拋給你一個技術爛攤子,遺留的或限制使用的軟硬件已被置之不理,卻依然附設在公司網絡上。

因此,有必要在開始逐步製定基準之前對全部攻擊面(包括IOT物聯網、OT以及雲資產)有一個完整的了解。

 

確定衡量對象

全面了解攻擊面後,下一個挑戰就是更細緻地理解對業務最重要的資產的位置,以便在開始衡量進度時確保這些資產的安全。也就是說,需要按業務單元、地理和資產類型對分析結果進行對比。

需要考慮的常見關鍵績效指標包括:

  • 訪問時間

  • 修復時間

  • 確定網絡風險優先次序的效果

  • 對易受網絡攻擊的資產的識別——包括OT和IOT物聯網設備

 

還有三個關鍵績效指標也值得監控,它們通常用於衡量網絡攻擊造成的財務影響:

  • 收入損失

  • 生產力損失

  • 股價下跌

 

確立了將要使用的指標後,您就可以為每個事件創建一個Cyber Exposure 分數來開始評估您的表現。評分系統應包括:

  • 漏洞嚴重程度和可利用性

  • 漏洞威脅情報及背景,例如漏洞利用正在瘋狂蔓延,或者某些特質導致漏洞在近期可能會被利用等

  • 業務背景,例如當特定資產被危及或出於漏洞修復目的而下線時,運營將會受到的影響

制定基準,評估流程成熟度

制定基准進行評估始於原始數據,例如與去年相比,今年出現了多少漏洞,這些漏洞是否造成了嚴重影響等。除此之外,還涉及到流程的成熟度,例如與去年相比,今年花費了多久的時間來修復重大漏洞,在響應新漏洞的效率方面是否有逐年的進展等。

不了解您的企業的流程成熟度處於什麼水平?沒關係,很多其他人也不是很了解。不過,Tenable Research的Cyber Defender戰略報告能夠幫到您。在該報告中,Tenable Research 基於真實世界終端用戶漏洞評估行為對五個關鍵績效指標進行了分析。這些關鍵績效指標與四個漏洞評估成熟度類型相關:勤奮型、研究型、調查型和極簡主義。

我們發現,只有5% 的企業屬於最為成熟的“勤奮型”,絕大部分關鍵績效指標彰顯出高水平的成熟度。勤奮型關注者會頻繁評估所有資產範圍內的漏洞,也會針對不同資產組和業務單元進行針對性的定制化評估。43% 的企業為研究型,表現出中到高水平的成熟度。這些組織會定期進行掃描,使用針對性的掃描模板,並對大部分資產進行驗證。

了解自己屬於哪種漏洞評估類型以及採取何種手段來提高成熟度將極大地有助於製定基準並動態評估風險減少的情況。

在我們共包含六個部分的有關改善網絡安全策略的博客系列中,第一部分探討了每位安全官都應當時刻自信回答的四個網絡安全問題。在第二部分,我們給出了識別組織網絡風險漏洞的三項提示。在第三部分,我們給出了基於風險確定漏洞優先次序的五項提示。在第五部分,我們將探討如何創建極具競爭力的Cyber Exposure 最佳實踐,在業界脫穎而出。

 

 
回上層