信息化觀察網(wǎng)

本文來自安全牛。

2023年，全球企業(yè)組織在網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品及服務(wù)方面的支出超過了1900億美元，同比增長12.7%。與此同時，也有越來越多的CISO和安全團隊感到精疲力竭，他們已經(jīng)為企業(yè)安全建設(shè)工作付出了最大的努力，卻難以獲得符合預(yù)期的回報。

在此背景下，研究機構(gòu)Gartner提出，現(xiàn)代企業(yè)組織不應(yīng)該一味追求更多的安全投入和有效性未知的安全建設(shè)，而是要恪守最低有效洞察力（Minimum Effective Insight）原則，根據(jù)企業(yè)實際擁有的資源和能力，合理決策對安全控制措施的部署和使用。而在開展網(wǎng)絡(luò)安全能力建設(shè)時，組織應(yīng)該使用一種以結(jié)果為導(dǎo)向的的新型安全效果評估度量指標——ODM（Outcome-Driven Security Metrics），對相關(guān)建設(shè)的實際效果進行科學評估，從而將安全度量指標與企業(yè)最關(guān)鍵的安全防護工作目標緊密聯(lián)系起來。

ODM的主要特點

Gartner認為，在網(wǎng)絡(luò)安全領(lǐng)域，ODM度量指標能夠準確衡量由不同類別的安全控制措施所創(chuàng)建的保護級別，能夠幫助組織從安全運營績效和期望的業(yè)務(wù)結(jié)果視角，來衡量當前安全投入的有效性，從而為企業(yè)提供數(shù)據(jù)驅(qū)動的洞察力，并將網(wǎng)絡(luò)安全工作與數(shù)字化業(yè)務(wù)成果結(jié)合起來，實現(xiàn)更有效的網(wǎng)絡(luò)安全保護。相比傳統(tǒng)的安全措施度量指標，ODM具有以下特點：

1.更注重實際防護效果

ODM會根據(jù)實際的防護效果來衡量安全控制措施的有效性，比如減少事件、盡量降低風險和增強彈性。比如說，通過ODM體系評估已部署的防火墻究竟阻止了多少網(wǎng)絡(luò)攻擊的數(shù)量，而不是僅僅統(tǒng)計部署防火墻的數(shù)量。ODM所要求的度量指標包括：檢測和響應(yīng)威脅時間的縮短情況、安全事件的頻次和嚴重性的降低程度，以及組織的安全狀況總體改進情況。ODM方法跟蹤的結(jié)果是具體可量化的，包括數(shù)據(jù)泄露減少、事件發(fā)生后恢復(fù)加快以及安全相關(guān)的總成本變化情況。

2.能夠與業(yè)務(wù)發(fā)展背景相結(jié)合

ODM需要考慮更廣泛的業(yè)務(wù)背景，確保網(wǎng)絡(luò)安全建設(shè)目標與組織的總體業(yè)務(wù)發(fā)展目標保持一致。這種一致性確保了網(wǎng)絡(luò)安全工作能夠真正支持業(yè)務(wù)增長、法規(guī)遵守、客戶信任及其他整體戰(zhàn)略目標。如果將安全度量指標與業(yè)務(wù)優(yōu)先事項相整合，組織可以更有效地管理可能影響其戰(zhàn)略目標的風險。將技術(shù)度量指標轉(zhuǎn)換為業(yè)務(wù)結(jié)果，這有助于向管理層和非技術(shù)人員闡述網(wǎng)絡(luò)安全預(yù)算投入的價值。

3.安全投入的價值權(quán)衡

ODM能夠根據(jù)建設(shè)成本評估安全投入的價值。這主要是分析投入在安全控制上的資源是否在降低風險及其他好處方面帶來了相匹配的回報。通過權(quán)衡成本與價值，組織可以更有效地分配安全預(yù)算，優(yōu)先考慮帶來最高回報的投入。安全成本價值分析有助于優(yōu)化安全投入組合，確?；ǔ鋈サ拿恳环皱X都能最大限度地改善組織的安全狀況。

4.針對云安全的有效性評估

在云環(huán)境下，ODM有助于在針對云的安全控制上分配更適當?shù)闹С?。因為ODM方法認識到，不同的云服務(wù)和環(huán)境可能需要不同級別和類型的安全投入。ODM能夠根據(jù)具體的安全要求和與各種云服務(wù)相關(guān)的風險來動態(tài)分配資源。比如說，關(guān)鍵任務(wù)應(yīng)用程序需要比不太重要的應(yīng)用程序更可靠的安全控制。針對云的ODM衡量云安全控制（比如數(shù)據(jù)加密、身份及訪問管理以及安全監(jiān)控）在實現(xiàn)預(yù)期安全效果方面的有效性。這確保已落實的安全措施有效地保護云上的資產(chǎn)和數(shù)據(jù)。

如何實施ODM？

企業(yè)組織在實施ODM時，需要借助一套科學的評估流程，才能確保安全措施與期望的結(jié)果目標保持高度一致。

1.明確初始流程和支持技術(shù)

在實施ODM的初始階段，重點在于清晰地識別出組織所必需的主要安全控制流程，并將它們與用于實施這些流程的安全技術(shù)對應(yīng)起來。比如說，在開展端點安全保護時，就需要得到擴展檢測和響應(yīng)（XDR）或端點檢測和響應(yīng)（EDR）技術(shù)的支持；在漏洞管理時，利用使用漏洞掃描器；而身份安全管理時則需要通過身份和訪問管理（IAM）系統(tǒng)和目錄服務(wù)加以實施。明確初始流程和支持技術(shù)是實施ODM的基本步驟，要確保一套結(jié)構(gòu)化框架來度量和管理安全工作。

2.識別關(guān)鍵的業(yè)務(wù)目標和結(jié)果

在實施ODM的第二階段，就是確定每個流程的特定優(yōu)先事項和期望的結(jié)果，從而使安全流程與業(yè)務(wù)結(jié)果保持一致。在這個階段，要確保安全工作直接與業(yè)務(wù)目標相關(guān)，因此需要從業(yè)務(wù)影響方面定義每個安全流程的優(yōu)先級和重要性，并明確表明成功實施和效果的結(jié)果。比如在端點保護中，優(yōu)先事項可能包括部署范圍和威脅識別，結(jié)果由受保護的端點數(shù)量和緩解的威脅數(shù)量來衡量。同樣對于漏洞管理而言，掃描頻次和全面性以及威脅嚴重性識別是關(guān)鍵優(yōu)先事項，其結(jié)果體現(xiàn)在已掃描系統(tǒng)的百分比和已解決的高危漏洞中。

3.識別風險依賴關(guān)系

了解與技術(shù)和流程相關(guān)的風險依賴關(guān)系對于管理潛在故障及其可能對業(yè)務(wù)運營的影響至關(guān)重要。這個階段需要分析每個流程依賴特定技術(shù)的情況，并評估關(guān)鍵技術(shù)失敗或受攻擊的后果。比如說，端點保護依賴XDR和EDR解決方案，它們的故障可能會使端點暴露在威脅面前。同樣，漏洞管理依賴漏洞掃描器，它們的故障可能導(dǎo)致漏洞未加處理，從而加大被利用的風險。識別這些風險和依賴關(guān)系有助于規(guī)劃應(yīng)急事件，并確保安全運營的連續(xù)性。

4.定義ODM特定度量指標

在這個階段，重點是開發(fā)體現(xiàn)安全流程在實現(xiàn)預(yù)期結(jié)果方面有效性的特定度量指標。這需要為每個流程制定與運營結(jié)果和保護級別直接相關(guān)的度量指標，并確保它們是可度量的、清晰的，并提供實用的寶貴信息。定義這些度量指標確?？梢远吭u估并持續(xù)改進安全工作。

5.評估準備狀況和風險

接下來，就需要評估組織實施ODM的準備狀況，以及與實施過程相關(guān)的風險挑戰(zhàn)。這包括確定組織是否有必要的資源、技能和基礎(chǔ)設(shè)施來有效地管理和監(jiān)控ODM評估計劃。比如說，有必要確保安全團隊擁有分析ODM數(shù)據(jù)并采取后續(xù)行動的專業(yè)知識，確保IT基礎(chǔ)設(shè)施能夠支持所需的數(shù)據(jù)收集和分析。此外，需要識別和緩解潛在風險，比如數(shù)據(jù)準確性問題、新度量指標對現(xiàn)有流程的影響以及反對變化的阻力。制定應(yīng)對這些風險的策略可確保更平滑的過渡和更有效地采用以結(jié)果為導(dǎo)向的安全度量指標。