对于很多安全工程师们都说,在面对恶意攻击时,没有消息就是最好的消息。
IDC(国际数据公司)安全研究副总裁Lindstrom说:“我们应该对安全事件本身给予更多的关注,而不只是关注我们所写的程序的‘位和字节’。”
观数科技是国内第一家Hadoop大数据安全解决方案提供商,在与客户的合作过程中,我们发现并不能将这种忽视网络安全的行为粗暴的定性为"不作为"。行业现状如此,很多时候,这是因为缺乏切实可行、便于操作的安全策略。
下面是翻译IDC(国际数据公司)安全研究副总裁Lindstrom的一篇文章:《衡量一个企业网络安全是否强大的8个关键指标》,略有删改,希望能给你带来一些小帮助。
第一:特权账户持有人
特权账户持有人是企业风险的中心。安全行业从业者都知道,特权账户所掌握的数据跟踪、尤其是对员工的数据访问跟踪非常重要。
通过访问和权限控制这两个功能,我们就可以控制内部员工或者外部人员对关键信息的访问权。
如果企业能详细的记录特权账户使用记录,就表明该企业的安全状况良好。
如管理员知道高风险帐户的使用时间,那他们对信息的暴露时间就有一个更好的掌握。
所以作为专业的安全人员,我们应该经常问自己这类问题:是否要创建新用户?企业环境中存在多少个管理员账户?谁可以访问这些账户?
第二:数据的精确度和位置
数据精确性和位置对企业至关重要。对于安全人员来说,数据记录越完整、越准确,我们就能判断,有多少数据被加密了,多少信息被改变以及数据如何流动。
做好数据的精确记录,也可以帮助我们判断信息是否达到符合法规和安全策略的位置。例如,如果管理人员说90%数据都在内围,10%的数据流到了外部特定的位置,这样我们就很好判断信息是否符合法规和安全策略了。
第三:警报的效率和准确性
每个企业的警报效率必须要有一个规范,需要走规范化的道路。
比如企业将自己收到的安全警报的数量,按每1000台主机进行划分,这样一来针对不同规模的企业,就能做到警报量的规模化了,安全分析师从们也能容处理在自己能力范围内的报警数量了。
此外,警报的准确性同样重要。并非每条警报都有用,警报的数量只有在处理关联的信息时才比较重要。安全团队可以用有用警报占警报总数的百分比来表示。
第四:响应时间
响应时间是指的是安全专家在事件响应模式下花费的时间量,响应时间越小,就表明企业的安全策略越强。
很多企业由于受到缺乏效率和准确性以及封闭率较差等原因影响,平均“停留时间”大概为5-7个月,这就给黑客留下了足够的时间。
第五:关闭率
关闭率显示的是已经完全解决的安全警报和事件的数量,这个指标与警报准确性密切相关。
在企业的系统或者分析不够准确,并且警报不能正确关闭的情况下,这些警报可能继续对网络构成威胁。所以,我们应该努力将这个指标提升至100%。
第六:安全价值比
安全价值比=安全成本总价值÷IT和信息资产的总价值。
企业总是期望以最小的成本,获得最大的价值。安全管理人员也希望通过使用更少的人或钱和时间去做更多的事情。
所以在面对效率和成本之间的冲突时,企业可能需要进行权衡。
比如,就算用户没有进行任何验证,安全部门也可以让用户创建属于他们自己的账户(成本降下来了);但是,问题也随之而来,由于创建、修改以及删除账户的速率加快,身份管理就弱化了(效率降低)。
第七:成本和损失
企业遭遇入侵后的损失需要用成本和损失来计量。这里的损失包括事件响应和恢复的时间成本和监管成本、法律费用之类的货币成本。
衡量IT操作环境的价值是非常重要的,我们可以通过各种记录来对网络活动进行分级。
还可以按照地理位置、技术平台、业务单元或其他方法对这类信息做进一步的细分。
通过将数据池里面的数据进行比较,我们就可以做一个较为明确的安全预算。
第八:遭遇成功入侵的量
对黑客成功攻击的数量进行跟踪十分重要,在涉及到安全漏洞时,不同规模和类型的业务都有不同的暴露因子。
相对来说,大企业由于更多的数据需要处理,因此更容易受到攻击,例如某些大的金融和医疗机构。
安全管理人员应该对遭遇成功入侵的数量进行跟踪,这样就会对安全有效性与时间之间的关系有一个把握。在理想情况下,这项指标应随着策略的改进而降低。