2023年,全球企業(yè)組織在網絡安全技術����、產品及服務方面的支出超過了1900億美元,同比增長12.7%��。與此同時�,也有越來越多的CISO和安全團隊感到精疲力竭,他們已經為企業(yè)安全建設工作付出了最大的努力�����,卻難以獲得符合預期的回報�����。
在此背景下����,研究機構Gartner提出,現代企業(yè)組織不應該一味追求更多的安全投入和有效性未知的安全建設,而是要恪守最低有效洞察力(Minimum Effective Insight)原則�,根據企業(yè)實際擁有的資源和能力,合理決策對安全控制措施的部署和使用��。而在開展網絡安全能力建設時��,組織應該使用一種以結果為導向的的新型安全效果評估度量指標——ODM(Outcome-Driven Security Metrics)���,對相關建設的實際效果進行科學評估��,從而將安全度量指標與企業(yè)最關鍵的安全防護工作目標緊密聯系起來�����。
ODM的主要特點
Gartner認為����,在網絡安全領域����,ODM度量指標能夠準確衡量由不同類別的安全控制措施所創(chuàng)建的保護級別,能夠幫助組織從安全運營績效和期望的業(yè)務結果視角����,來衡量當前安全投入的有效性��,從而為企業(yè)提供數據驅動的洞察力�����,并將網絡安全工作與數字化業(yè)務成果結合起來���,實現更有效的網絡安全保護���。相比傳統(tǒng)的安全措施度量指標�,ODM具有以下特點:
1. 更注重實際防護效果
ODM會根據實際的防護效果來衡量安全控制措施的有效性����,比如減少事件、盡量降低風險和增強彈性��。比如說�����,通過ODM體系評估已部署的防火墻究竟阻止了多少網絡攻擊的數量�,而不是僅僅統(tǒng)計部署防火墻的數量。ODM所要求的度量指標包括:檢測和響應威脅時間的縮短情況��、安全事件的頻次和嚴重性的降低程度,以及組織的安全狀況總體改進情況�。ODM方法跟蹤的結果是具體可量化的,包括數據泄露減少�、事件發(fā)生后恢復加快以及安全相關的總成本變化情況。
2. 能夠與業(yè)務發(fā)展背景相結合
ODM需要考慮更廣泛的業(yè)務背景��,確保網絡安全建設目標與組織的總體業(yè)務發(fā)展目標保持一致�����。這種一致性確保了網絡安全工作能夠真正支持業(yè)務增長���、法規(guī)遵守��、客戶信任及其他整體戰(zhàn)略目標�。如果將安全度量指標與業(yè)務優(yōu)先事項相整合�,組織可以更有效地管理可能影響其戰(zhàn)略目標的風險。將技術度量指標轉換為業(yè)務結果���,這有助于向管理層和非技術人員闡述網絡安全預算投入的價值�����。
3. 安全投入的價值權衡
ODM能夠根據建設成本評估安全投入的價值�。這主要是分析投入在安全控制上的資源是否在降低風險及其他好處方面帶來了相匹配的回報。通過權衡成本與價值�����,組織可以更有效地分配安全預算���,優(yōu)先考慮帶來最高回報的投入�����。安全成本價值分析有助于優(yōu)化安全投入組合,確?�;ǔ鋈サ拿恳环皱X都能最大限度地改善組織的安全狀況����。
4. 針對云安全的有效性評估
在云環(huán)境下,ODM有助于在針對云的安全控制上分配更適當的支出��。因為ODM方法認識到��,不同的云服務和環(huán)境可能需要不同級別和類型的安全投入��。ODM能夠根據具體的安全要求和與各種云服務相關的風險來動態(tài)分配資源�。比如說�,關鍵任務應用程序需要比不太重要的應用程序更可靠的安全控制�����。針對云的ODM衡量云安全控制(比如數據加密��、身份及訪問管理以及安全監(jiān)控)在實現預期安全效果方面的有效性�����。這確保已落實的安全措施有效地保護云上的資產和數據�����。
如何實施ODM ���?
企業(yè)組織在實施ODM時�����,需要借助一套科學的評估流程�����,才能確保安全措施與期望的結果目標保持高度一致����。
1. 明確初始流程和支持技術
在實施ODM的初始階段,重點在于清晰地識別出組織所必需的主要安全控制流程����,并將它們與用于實施這些流程的安全技術對應起來。比如說�����,在開展端點安全保護時��,就需要得到擴展檢測和響應(XDR)或端點檢測和響應(EDR)技術的支持�����;在漏洞管理時�����,利用使用漏洞掃描器��;而身份安全管理時則需要通過身份和訪問管理(IAM)系統(tǒng)和目錄服務加以實施�����。明確初始流程和支持技術是實施ODM的基本步驟��,要確保一套結構化框架來度量和管理安全工作���。
2. 識別關鍵的業(yè)務目標和結果
在實施ODM的第二階段�,就是確定每個流程的特定優(yōu)先事項和期望的結果����,從而使安全流程與業(yè)務結果保持一致。在這個階段�����,要確保安全工作直接與業(yè)務目標相關�,因此需要從業(yè)務影響方面定義每個安全流程的優(yōu)先級和重要性,并明確表明成功實施和效果的結果��。比如在端點保護中���,優(yōu)先事項可能包括部署范圍和威脅識別�,結果由受保護的端點數量和緩解的威脅數量來衡量���。同樣對于漏洞管理而言��,掃描頻次和全面性以及威脅嚴重性識別是關鍵優(yōu)先事項�,其結果體現在已掃描系統(tǒng)的百分比和已解決的高危漏洞中。
3. 識別風險依賴關系
了解與技術和流程相關的風險依賴關系對于管理潛在故障及其可能對業(yè)務運營的影響至關重要�����。這個階段需要分析每個流程依賴特定技術的情況����,并評估關鍵技術失敗或受攻擊的后果。比如說����,端點保護依賴XDR和EDR解決方案,它們的故障可能會使端點暴露在威脅面前��。同樣����,漏洞管理依賴漏洞掃描器�����,它們的故障可能導致漏洞未加處理���,從而加大被利用的風險��。識別這些風險和依賴關系有助于規(guī)劃應急事件�����,并確保安全運營的連續(xù)性�����。
4. 定義ODM特定度量指標
在這個階段��,重點是開發(fā)體現安全流程在實現預期結果方面有效性的特定度量指標��。這需要為每個流程制定與運營結果和保護級別直接相關的度量指標�����,并確保它們是可度量的����、清晰的,并提供實用的寶貴信息����。定義這些度量指標確??梢远吭u估并持續(xù)改進安全工作��。
5. 評估準備狀況和風險
接下來���,就需要評估組織實施ODM的準備狀況�,以及與實施過程相關的風險挑戰(zhàn)���。這包括確定組織是否有必要的資源���、技能和基礎設施來有效地管理和監(jiān)控ODM評估計劃。比如說���,有必要確保安全團隊擁有分析ODM數據并采取后續(xù)行動的專業(yè)知識�����,確保IT基礎設施能夠支持所需的數據收集和分析�����。此外����,需要識別和緩解潛在風險�,比如數據準確性問題、新度量指標對現有流程的影響以及反對變化的阻力�����。制定應對這些風險的策略可確保更平滑的過渡和更有效地采用以結果為導向的安全度量指標�。
