網(wǎng)絡(luò)日志、漏洞管理、基礎(chǔ)設(shè)施監(jiān)控工具和安全設(shè)備不斷在產(chǎn)生大量實(shí)時(shí)數(shù)據(jù)，IT風(fēng)險(xiǎn)管理人員必須想辦法將這些數(shù)據(jù)轉(zhuǎn)換成一套統(tǒng)一的風(fēng)險(xiǎn)指標(biāo)，從而來幫助企業(yè)作出決策。

規(guī)范化企業(yè)內(nèi)的各種安全數(shù)據(jù)是幫助企業(yè)創(chuàng)建風(fēng)險(xiǎn)指標(biāo)的關(guān)鍵

Tripwire公司首席技術(shù)官Dwayne Melancon表示：“我們?nèi)绾螌⑦@些數(shù)據(jù)轉(zhuǎn)變成有用的指標(biāo)來幫助企業(yè)確定其安全性，或者風(fēng)險(xiǎn)評(píng)分正在下降呢?”

這不是簡單的事情，但企業(yè)可以從某種類型的數(shù)據(jù)規(guī)范化過程開始。數(shù)據(jù)規(guī)范化可以幫助企業(yè)更好地進(jìn)行數(shù)據(jù)比對(duì)，從而發(fā)現(xiàn)異常數(shù)據(jù)。

RSA公司eGRC解決方案經(jīng)理Steve Schlarman認(rèn)為這些指標(biāo)不應(yīng)該過于復(fù)雜，“規(guī)范化安全數(shù)據(jù)的過程應(yīng)該著眼于列出企業(yè)面臨的關(guān)鍵的安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)可以通過量化的、一致的和可測量的指標(biāo)來評(píng)估，如果數(shù)據(jù)需要花很長時(shí)間來編譯、報(bào)告或者評(píng)估，那么企業(yè)將無法得出可行的指標(biāo)。”

為了規(guī)范化安全數(shù)據(jù)，并將其轉(zhuǎn)化為風(fēng)險(xiǎn)指標(biāo)，Melancon認(rèn)為首先應(yīng)該從業(yè)務(wù)部分開始，這樣做能夠列出更短和更相關(guān)的需要規(guī)范化的數(shù)據(jù)清單。他表示：“很多人習(xí)慣從控制開始，而最后結(jié)果是他們得到更多的控制，更加復(fù)雜化。”

因此，如果是一家上市公司，首先應(yīng)該通過查看其年度報(bào)告來了解該公司如何賺錢，并思考威脅其主要收入的最大風(fēng)險(xiǎn)。

“然后回過頭來說，‘我們有哪些控制來幫助我們監(jiān)控這些風(fēng)險(xiǎn)?’”他表示來自這些工具的數(shù)據(jù)就是企業(yè)用于建立安全性能指標(biāo)和風(fēng)險(xiǎn)評(píng)分的數(shù)據(jù)。Melancon說道，企業(yè)應(yīng)該基于某些資產(chǎn)對(duì)企業(yè)的重要程度來規(guī)范化數(shù)據(jù)。

在評(píng)估企業(yè)資產(chǎn)來確定哪些數(shù)據(jù)應(yīng)該被規(guī)范化后，企業(yè)將能夠確定規(guī)范化其測量指標(biāo)所需要的控制數(shù)量。這不僅能幫助建立一致性，而且能提高響應(yīng)速度。Cirries Technology公司總裁Rick Aguirre表示，“數(shù)據(jù)規(guī)范化的現(xiàn)實(shí)目標(biāo)是能夠?qū)崟r(shí)分析有用的數(shù)據(jù)，特別是用于風(fēng)險(xiǎn)評(píng)估和管理。” 企業(yè)應(yīng)該為每個(gè)指標(biāo)明確定義7個(gè)核心屬性：指標(biāo)描述、指標(biāo)測量過程或公示、指標(biāo)所有權(quán)、指標(biāo)范圍、指標(biāo)來源、測量頻率以及趨勢預(yù)期。在此基礎(chǔ)上，風(fēng)險(xiǎn)管理團(tuán)隊(duì)?wèi)?yīng)該為指標(biāo)所有者提供某種形式的論壇來進(jìn)行報(bào)告以及分析根本原因。

他表示：“我們的目標(biāo)是建立可持續(xù)使用的程序，而不是一次性，然后，隨著時(shí)間的推移，程序內(nèi)某些指標(biāo)在必要時(shí)‘被激活’或‘廢除’。”

目前，企業(yè)對(duì)其資產(chǎn)數(shù)據(jù)的安全和風(fēng)險(xiǎn)評(píng)級(jí)有些混亂，有些使用保密性、完整性和可用性評(píng)級(jí)，有些可能會(huì)使用NIST框架。其中，他認(rèn)為由NIST和美國國土安全局共同開發(fā)的持續(xù)資產(chǎn)評(píng)估、情境感知和風(fēng)險(xiǎn)評(píng)分(CAESARS)框架比較具有潛力。

Melancon 表示：“其概念是將防病毒、IDS、IPS、文件完整性監(jiān)控、數(shù)據(jù)庫活動(dòng)監(jiān)控等所有不同的評(píng)分，變成一個(gè)綜合指標(biāo)，然后你使用該指標(biāo)來追蹤你的風(fēng)險(xiǎn)情況，這是個(gè)很好的想法，但執(zhí)行很困難。”

他認(rèn)為業(yè)界需要推出“更輕量級(jí)”版本的CAESARS，這樣，即使是預(yù)算有限或者人員有限的企業(yè)，仍然可以利用其中的5到10個(gè)指標(biāo)來評(píng)估風(fēng)險(xiǎn)。

通過建立這些指標(biāo)，IT部門能夠更容易地向高層關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，從而幫助他們做出正確的決策。