如何度量网络安全计划的有效性： 要提出的 5 个问题

在度量安全措施的有效性时，了解安全计划与同行的对比情况可以揭示出需要哪些关键改进或投入。

验证网络安全措施是否成功始终是一个艰难的挑战： 如果处于防守方，没有发生安全攻击事件，究竟是因为网络足够安全还是幸运？ 了解企业安全措施的有效性是改善网络安全机制的关键一步。 

虽然最新爆发的热门漏洞利用或零日攻击更容易登上头条新闻，但对企业影响最严重的依然是那些被忽略的已知漏洞，这些漏洞导致的风险是可以被预测的。根据 Tenable Research 的 2020 年威胁形势回顾，导致这些风险被忽略原因包括：

• 长期未修补的漏洞
• 管理和配置流程落后
• 资产追踪不充分

了解漏洞管理流程是评估网络安全风险的基础

扫描所有环境并优先处置对网络产生实质风险的漏洞是有效安全计划的两个关键支撑点，但企业往往对这些过程缺乏全盘的了解。 有两项重要度量指标亟需弹指间即刻掌握，分别是：

• 评估成熟度： 该指标有助于洞察扫描过程，从而确保安全团队在处置时能够全面而准确地了解不断演变的攻击面
• 修复成熟度： 该指标有助于评估缓解重要风险方面的及时性和主动性

同行基准对比可以揭示出哪些领域需要关键投资

就漏洞管理本身而言，单一企业的风险指标和背景数据无法帮助企业了解到整体安全建设水平，需要结合并对比同行业的安全基准，了解与同行业之间的差距所在能够快速确定自身的短板和优势。

在考虑网络安全机制的基础（评估和修复）时，需要知道：

1. 我们公司表现如何？
2. 我与同行业者相较如何？
3. 需要采取哪些具体行动来改进？ 


这些问题的答案有利于了解和传达内部业务部门之间以及与外部同行相比的差距，从而便于申请预算和分配资源。 这就像是教授用正态分布曲线给您打分，让您知道需要得多少分才能在班级里得 A。

用五个问题衡量安全计划的成熟度

1. 多久扫描一次资产？

这就是走向成熟度之旅的起点。要准确地回答这个问题，首先需要了解内部有哪些资源、哪些可以合理地完成，以及能够获得哪些重要指标。

• 
在具备符合管理要求的扫描措施后，还应该提出其他问题，例如：
• 环境中会定期扫描的资产占多大比例？

• 两次扫描之间大约间隔多少时间？

• 这些措施的实施是否因业务部门或地理位置而异？ 

• 这些区域是否根据资产对业务的重要性、资产类型、资产的地理位置或任何其他因素而划分？ 

• 这其中每个类别的 SLA 要求是什么？ 


扫描周期（两次扫描之间的时间）越长，漏洞保持未经识别和未经修补状态的时间就越长。  不仅需要量化风险，还必须能够快速识别这些风险。 值得参考的是，根据 Tenable 的研究数据显示，一家企业平均大约每四天扫描一次资产。

2. 捕获的未修复漏洞占多大比例？



凭证扫描是漏洞管理的起点。看不见的风险无法量化，如果将降低风险作为目标，那么对资产实施凭证扫描至关重要归根结底，尽可能深入广泛地评估资产是了解风险所在、哪些资产/业务职能部门会受到影响以及需要采取哪些措施来修复和降低风险的基础步骤。 如果不知道范围、重要性、影响和工作要求，就根本无法有效地管理风险并制定更成熟的安全计划，更不用提妥善解决和降低未来的风险。 Tenable Research 的研究表明，平均来说，凭证扫描检测到的漏洞数量是网络扫描的 45 倍；然而，近 60% 的企业资产在扫描时没有使用凭证扫描，从而导致大量应用资产和漏洞未被纳入安全计划中。

3. 处理高风险漏洞的速度有多快？

根据 Tenable 2021 年漏洞情报报告，2020 年发现了 18358 个新漏洞。但其中只有 5.2% 存在公开可用的利用方式。 企业需要优先修复影响最大的漏洞。 要想以最为高效的方式降低风险，就需要了解哪些是业务职能部门的关键资产以及对应的高风险漏洞后，结合资产重要性和漏洞威胁级别优先修复。要想了解漏洞造成的威胁性质，就需要深入了解漏洞的哪些特征使其对攻击者产生吸引力，以及围绕该漏洞在通常环境中活动的威胁情报。 宝贵的资源不能浪费在几乎没有威胁的漏洞上。

4. 拥有端点保护措施的资产占多大比例？

端点安全是众多安全机制中必不可少的一层。  其中需要知道系统是否安装了必要的安全程序，以及知道这些资产上是否安装了任何未经授权或具有潜在危险的软件。 但这不仅仅涉及到恶意软件的问题；例如，远程桌面的滥用（公司政策限制远程桌面使用场景）等违反政策的行为。如果不考虑这个问题，可能就无法得知控制措施是否在所有必要位置已就位。 这是一个非常普遍的问题。 Tenable 委托 Forrester Consulting 进行的一项研究显示，只有 44% 的信息安全主管表示他们所在的企业对其中最重要资产的安全性具有良好的可见性。

5. 各关键业务职能部门的网络安全风险是否在降低？

Forrester 的研究还显示，在 10 位安全领导者中，只有 4 位能高度自信地回答“我们有多安全？面临的风险有多高”这个问题。 这个问题乍听简单，但如果没有正确的情报和指标，回答起来非常困难。 
在高管层面上，了解各业务职能部门（团队、地理位置、资产类型等）的风险是否在降低符合整体业务目标，并能够证明安全计划预算的价值和投资回报。 在战略层面上，回答这个问题有助于领导层日复一日地作出更好的决定，也就是安全计划在什么领域效果最佳（以及如何将其沿用到其他领域）以及在什么领域效果不佳。 在战术层面上，负责修复和修补的员工需要了解他们的工作如何推动特定的业务职能部门朝正确方向发展，以及如何通过整条传递链传达到高管层。 

如果无法精确回答这些问题，就可能无法知道风险是否确实在降低。 此外，还可能会遗漏企业需要竭力去降低风险的领域，或者由于无法降低风险而使企业的其他领域处于风险之中。

实现安全计划升级，减少 Cyber Exposure

诚实地回答这五个问题，就可以将安全情报、网络安全风险和流程完整性指标作为基线，度量长期的改进情况，从而促进安全计划取得成功。 然后，通过比较内部团队之间以及公司与外部同行的各项指标，就可以确定哪些领域需要关键改进。例如，会计部门可能缺乏充分的凭证扫描覆盖率；或者，整体安全计划与同行相比，修复重要问题的速度可能还不够快。


无论安全计划处于成熟度之旅的哪个阶段，Tenable 都可以帮助自动跟踪这些关键流程指标，并指明存在哪些缺口，可以通过追加投资最大限度降低风险。 纵观全局之后，就可以开始对工作进行优先级分析，并主动解决攻击者最有可能利用但也最容易解决的漏洞，化被动防御为主动进攻。 

了解详情

• 查看信息图： 用 5 个问题衡量安全计划的成熟度
• 阅读白皮书：计算已知和未知风险：Cyber Exposure 评分背后的数学原理
• 观看视频：用 Tenable Lumin 度量安全计划的有效性
• 了解 Tenable 如何提供帮助：要求演示