概述

安全人員喜歡用一些比較消極的方法來防御惡意攻擊，比如“沒有消息就是最好的消息”（此說法源自美國南北戰(zhàn)爭時期，由于打戰(zhàn)死人后，家人都要收到陣亡通知書，所以人們很害怕得到噩耗，相反，如果沒有什么消息則證明還活著），當然，專家并不贊同這種做法，認為這種方法并不切合實際。

IDC（國際數(shù)據(jù)公司）安全研究副總裁Lindstrom說：“作為安全部門，我們應該對安全事件本身給予更多的關注，而不只是關注我們所寫的程序的“位和字節(jié)”。

在安全公司中，類似CISO、IT主管之類的安全人員需要向CIO或者團隊的業(yè)務主管報告一些指標，以展示他們在整個團隊中的績效。但是現(xiàn)在有一個問題，就是大多數(shù)安全團隊在進行績效評判的時候，都缺乏明確的指導方針。

Armour首席客戶運營和安全主管Jeff Schilling：在對安全指標進行評判時，需要克服一些困難，因為在企業(yè)中，并不是每個地方你都能顧及到，而這些地方發(fā)生的事情，你不一定會知道。因此就可能導致團隊在進行評判時，對一些指標進行錯誤的評判。正因為有很多不確定性，在進行績效評估的時候，很難去進行準確的判斷。

“當然，現(xiàn)代企業(yè)安全管理人員也正在積極研究一些指標來評估職員的績效。”Joseph Carson（CISSP信息系統(tǒng)安全認證專家）如是說。舉個例子，一些企業(yè)通過他們處理的安全事件數(shù)量來評估績效。有些企業(yè)則通過系統(tǒng)補丁數(shù)量，被泄漏的地方數(shù)量，以及已識別的企圖破壞組織內(nèi)部系統(tǒng)的病毒數(shù)量來對他們的系統(tǒng)漏洞進行評估（也是績效的一種）。有些企業(yè)則采用另外一個指標——已執(zhí)行的方案數(shù)量。

還有一個難題擺在企業(yè)面前。就是在處理業(yè)務和安全之間的關系時，企業(yè)做的并不好。作為安全專家，在制定安全策略時，應該重點關注信息的可靠度和警報效率的關鍵指標。

Carson進一步解釋說:

我們現(xiàn)在衡量指標有很多都不能轉化為業(yè)務。我們很難想象，一旦發(fā)生事故，會對業(yè)務造成什么影響？

以下是衡量一個企業(yè)網(wǎng)絡安全是否強大的八個關鍵指標：

第一：特權賬戶持有人

　　所謂特權賬戶，就是說該賬戶具有一般賬戶所沒有的權限。

對從事安全行業(yè)的專業(yè)人員來說，數(shù)據(jù)跟蹤、尤其是對員工的數(shù)據(jù)訪問跟蹤非常重要。我們都知道，通過訪問和權限控制這兩個功能，我們就可以控制內(nèi)部員工或者外部伙伴對關鍵信息的訪問權。

作為專業(yè)的安全人員，我們應該經(jīng)常問自己這類問題：是否要創(chuàng)建新用戶？企業(yè)環(huán)境中存在多少個管理員賬戶？誰可以訪問這些賬戶？

Carson指出：如果企業(yè)能詳細的記錄特權賬戶使用記錄，就表明該企業(yè)的安全狀況良好。如管理員知道高風險帳戶的使用時間，那他們對信息的暴露時間就有一個更好的掌握。

CISO和CIO在與管理層會面時，需要站在業(yè)務的角度，告訴領導跟蹤數(shù)據(jù)會對員工的數(shù)據(jù)訪問有很大的幫助。在整個企業(yè)中，擁有特權帳戶的人是企業(yè)風險的中心。通過這些數(shù)據(jù)，安全負責人就可以了解誰應該接受網(wǎng)絡安全培訓。

第二：數(shù)據(jù)風險、精確度和位置

確保數(shù)據(jù)準確性對企業(yè)高管來說是至關重要的，如果你能測量數(shù)據(jù)的準確性，那你也有能力對與業(yè)務相關的可量化數(shù)據(jù)進行測量。

但這也是一個最難去衡量的一個指標，因為數(shù)據(jù)總是在變，所以在任何時候都難以確保數(shù)據(jù)準確。

Carson著重強調(diào)了記錄數(shù)據(jù)流的重要性。管理人員需要對APP進行跟蹤，以便了解哪些應用需要額外的安全分析。

數(shù)據(jù)是非常重要的，通過挖掘數(shù)據(jù)，安全專家可以了解數(shù)據(jù)是否安全，有多少數(shù)據(jù)被加密了，數(shù)據(jù)的準確度有多高，多少信息已經(jīng)改變以及數(shù)據(jù)如何流動。例如，如果管理人員說90%數(shù)據(jù)都在內(nèi)圍，10%的數(shù)據(jù)流到了外部特定的位置，那么他們就能夠更好地確定信息是否到達符合法規(guī)和安全策略的位置了。

當然，數(shù)據(jù)的位置很難測量。而且隨著越來越多的員工使用基于云服務的app和移動設備，造成更多的信息流出企業(yè)，信息變得不容易被跟蹤，這無疑增加了出現(xiàn)風險的概率。

第三：警報的效率和準確性

針對警報效率和準確性，行為攻擊檢測公司LightCyber副總裁Jason Matlof有話說：

警報量必須有一個指標。大多數(shù)企業(yè)收到的警報都大大超出了個人分析師能夠處理的量，每個企業(yè)的警報效率必須要有一個規(guī)范，需要走規(guī)范化的道路。

為了提高效率，企業(yè)需要考慮到收到的安全警報的數(shù)量，并按每1000臺主機進行劃分，這樣一來針對不同規(guī)模的企業(yè)，就能做到警報量的規(guī)?；?。效率非常關鍵，因為它能夠讓安全分析師從容處理在自己能力范圍內(nèi)的報警數(shù)量。雖然警報效率是一個需要記錄的重要指標，但其準確性也不能忽視，它具有與警報效率相同的權重。說了這么多，有一個不爭的事實我們不得不承認，那就是警報的數(shù)量只有在處理關聯(lián)的信息時才比較重要。

安全警報的準確性表明了它的可用性。并非每條警報都有用，很多警報并沒有什么價值，比如有些非常模糊，有些則并不重要。說了這么多，到底警報有效性有沒有一種特殊的表示方法呢？答案是肯定的，安全團隊可以用有用警報占警報總數(shù)的百分比來表示。

第四：響應時間

這里的響應時間指的是安全專家在事件響應模式下花費的時間量，只有在真實事件期間才能測量。這一段時間就叫做——“停留時間”，什么意思？說白了就是攻擊從初始狀態(tài)到顯著爆發(fā)的這段時間（更準確的說，是介于兩個時間點之間的時間）。

本來，大多數(shù)企業(yè)在響應時間上應該做得更好，他們能夠在漏洞造成危害前對其進行捕獲，但事實并非如此。由于受到缺乏效率和準確性以及封閉率較差等原因影響，平均“停留時間”大概為5-7個月。如果這個時間以月來衡量的話，這就給黑客留下了足夠的時間取得成功。

響應時間不需要根據(jù)業(yè)務規(guī)模來做區(qū)分，較短的停留時間減少了黑客對企業(yè)造成損害的可能性。響應時間越小，就表明企業(yè)的安全策略越強。

第五：關閉率

　　關閉率顯示的是已經(jīng)完全解決的安全警報和事件的數(shù)量。

這個指標與警報準確性密切相關，它會對如何處理事情產(chǎn)生深遠的影響。在企業(yè)的系統(tǒng)或者分析不夠準確，并且警報不能正確關閉的情況下，這些警報可能繼續(xù)對網(wǎng)絡構成威脅。如果企業(yè)有關閉率個指標，就應該努力將這個指標提升至100%。

第六：安全價值比

根據(jù)Lindstrom的觀點，安全價值比等于安全成本總價值（以美元計）除以IT和信息資產(chǎn)的總價值（以美元計）。

對企業(yè)來說，這是一個非常重要的衡量指標。因為企業(yè)在開展業(yè)務時，總是期望以最小的成本獲得最大的價值。安全管理人員也希望通過使用更少的人或錢和時間去做更多的事情，因為他們也希望以最低的成本，創(chuàng)建最高水平的風險管理。

Lindstrom說：在面對效率和成本之間的沖突時，企業(yè)可能需要進行權衡，才能做出更有利于企業(yè)的決策。比如說，就算用戶沒有進行任何驗證，安全部門也可以讓用戶創(chuàng)建屬于他們自己的賬戶（成本降下來了）；但是，問題也隨之而來，由于創(chuàng)建、修改以及刪除賬戶的速率加快，身份管理就弱化了（效率降低），企業(yè)在這種情況下就不得不進行權衡。

第七：成本和損失

Lindstrom說，遭遇入侵后的損失需要用成本和損失來計量。這里的損失包括事件響應和恢復的時間成本，或者像監(jiān)管成本、法律費用之類的貨幣成本。

“我們都不喜歡自己尋找方法來量化風險”，但對CIO來說，就不一樣了，在他們看來，衡量IT操作環(huán)境的價值是非常重要的，他們可以通過各種記錄來對網(wǎng)絡活動進行分級。

他們還可以按照地理位置、技術平臺、業(yè)務單元或其他方法對這類信息做進一步的細分。隨著時間的推移，安全人員通過將數(shù)據(jù)池里面的數(shù)據(jù)進行比較，就可以做一個較為明確的安全預算。

第八：遭遇成功入侵的量

雖說對每個安全部門處理的警報數(shù)量進行記錄非常重要，但對黑客成功攻擊的數(shù)量進行跟蹤也是同等重要。在涉及到安全漏洞時，不同規(guī)模和類型的業(yè)務都有不同的暴露因子。相對來說，較大的企業(yè)，如金融和醫(yī)療行業(yè)的企業(yè)，由于更多的數(shù)據(jù)需要處理，因此更容易受到攻擊。

安全管理人員應該對遭遇成功入侵的數(shù)量進行跟蹤，這樣就會對安全有效性與時間之間的關系有一個把握。在理想情況下，這項指標應隨著策略的改進而降低。