信息化觀察網(wǎng)

盡管安全團隊再三強調(diào)企業(yè)網(wǎng)絡監(jiān)管的重要性，但仍然還有一些企業(yè)沒有將信息安全當一回事，這些企業(yè)不知道如果網(wǎng)絡監(jiān)管不到位，企業(yè)很可能會遭到黑客攻擊，導致公司重要數(shù)據(jù)泄露，丟失一大批重要客戶。

安全公司Varonis最近的調(diào)查研究顯示，業(yè)務與安全并未完全貼合；雖然安全團隊覺得自己的意見已被聽取，但公司領(lǐng)導層卻承認他們根本有聽沒有懂。

問題很明顯：安全與業(yè)務間語言不通。因為安全處于二者關(guān)系中較弱的一方，以業(yè)務用語驅(qū)動對話的責任自然就落在了安全身上。只要雙方溝通順暢，安全控制與業(yè)務重點之間的協(xié)調(diào)也就會容易得多。

呈現(xiàn)良好的指標是雙方都能理解的共同因素，也可作為協(xié)同統(tǒng)一的主要驅(qū)動力。但事實上，這種情況其實不算常見。

用指標協(xié)同安全與業(yè)務

要理解如何更好地運用指標來與企業(yè)領(lǐng)導溝通，需要知道：為什么指標是必要的？指標如何改進？問題有哪些？代價是什么？

破除語言不通障礙

雖然某些董事可能知道防火墻是什么東西，絕大多數(shù)董事卻是根本不了解IDS/IPS、SIEM、代理，或者其他什么安全解決方案都有什么用途的。他們只關(guān)心公司的風險等級有多高。

CISO雖然了解網(wǎng)絡風險，卻又未必知道各業(yè)務部門什么時候風險最大。同樣的，業(yè)務主管也不知道不斷變化的網(wǎng)絡安全威脅會對具體業(yè)務風險造成什么樣的影響。

安全主管應先更好地了解公司業(yè)務層面的事項，以便給出業(yè)務主管能夠理解的有意義的風險管理指標。這么做可以讓安全與業(yè)務兩方面都能展開多了解對方的過程。業(yè)務部門會開始看到安全部門是如何降低風險的，也就會開始指定需要更具體防護措施的其他領(lǐng)域。

此中關(guān)鍵和難點在于找出并呈現(xiàn)推動這一過程的初始指標，安全與業(yè)務的分歧也正在于此。CIO領(lǐng)導的IT部門必須維持關(guān)鍵系統(tǒng)的正常運行時間，還要支持數(shù)字化轉(zhuǎn)型項目，以便改進業(yè)務部門用以完成其業(yè)務目標所用的技術(shù)。CISO領(lǐng)導的安全部門通常必須維護公司存儲、處理和傳輸?shù)臄?shù)據(jù)與信息的機密性、完整性和可用性。這些部門及其主管傾向于圍繞自身戰(zhàn)術(shù)性職責而非董事會/高管考慮的業(yè)務驅(qū)動力來提供指標。

安全部門聚焦戰(zhàn)術(shù)性指標，比如登錄、封禁流量、交易計數(shù)等等，但這些指標大多反映不出業(yè)務目標，或者不是以業(yè)務主管能夠理解或關(guān)心的形式提出的。好的指標因為與業(yè)務相關(guān)，需與金錢和經(jīng)營效率掛鉤，并能展現(xiàn)安全有效性的趨勢模式。真正的挑戰(zhàn)和難點正在于此。

問題出在IT和安全專業(yè)出身的人往往缺乏基本的業(yè)務培訓上。2017年的首要管理工具是戰(zhàn)略規(guī)劃。戰(zhàn)略規(guī)劃常常躋身業(yè)務主管五大工具之列。但又有多少安全主管足夠了解戰(zhàn)略規(guī)劃與執(zhí)行呢？他們能確保自己的指標對公司的戰(zhàn)略目標有所貢獻嗎？

業(yè)務主管沒有義務去了解安全。過去很多CISO的敗筆就是認為業(yè)務需要理解安全。這種想法是十分錯誤的。因為負責安全的是安全部門，安全才需要更好地去理解業(yè)務，以便能夠闡明不應用恰當安全防護的后果。CISO才是那個需要去了解業(yè)務并理解公司使命目標的人。

這么做值得嗎？

接受訪問調(diào)查的所有CISO都認為，更好地呈現(xiàn)正確的安全指標可以協(xié)調(diào)安全與業(yè)務。事實上，CISO也只有這么做才能讓執(zhí)行管理層理解當前的挑戰(zhàn)有哪些，而安全部門又已取得了哪些成果。

除了指標和安全/業(yè)務動態(tài)，CISO還必須清楚董事會的心理——這就各家公司不一而足了。有些董事會很重視安全，有些則對安全興趣缺缺。比如說，如果某公司被競爭對手碾壓，但這與安全無關(guān)，那這家公司的董事會就很可能將安全置于低優(yōu)先級議題之列。

時間可能由此成為CISO無法控制的問題：指標是應該定期給出，還是應該只在必要是呈現(xiàn)呢？前者可能不必要地占用業(yè)務主管過多時間，而后者則會讓CISO給人一種厄運使者的印象。

有些CISO認為，董事會不應經(jīng)常聽到安全部門的聲音。除非有關(guān)鍵問題或重大業(yè)務轉(zhuǎn)型，否則每年上報一次主要趨勢、威脅態(tài)勢演變、戰(zhàn)略性安全規(guī)劃也就夠了。

這種觀點是少數(shù)派。很多CISO至少覺得應經(jīng)常呈遞指標報告以供彰顯安全趨勢。

然后，呈現(xiàn)風格的問題。一旦有機會向業(yè)務主管呈現(xiàn)安全指標，最好別浪費。太多報告跟某些頒獎嘉賓發(fā)言似的，單調(diào)無聊。報告要么太長(太多細節(jié))，要么太多無關(guān)緊要的東西。如果報告太爛，只會導致被問及更多問題。

CISO應是銷售、市場營銷和安全三位一體的專家。安全報告本身應是一份良好的CV，開篇即能抓住眼球，并將受眾的興趣保持到底。最關(guān)鍵的是，報告應回答問題，而不是令董事會質(zhì)疑該報告。

這一點直擊安全指標報告核心。如果報告的目的是展現(xiàn)安全團隊的優(yōu)秀程度，或強調(diào)需分撥更多預算的新問題，那基本上可以預期會招致更多問詢了。但如果報告的目的是協(xié)調(diào)安全與業(yè)務重點，那這些指標就應更為一目了然不言自明。報告可以略帶挑釁，激起業(yè)務主管的討論與批評，但不應招致對報告本身的質(zhì)疑。

CISO向董事會上呈的指標夠嗎？

CISO可能目前很大程度上并未交付良好的指標。

指標報告是個經(jīng)典的雞生蛋蛋生雞問題。為交付良好的指標，CISO必須知道業(yè)務主管想要的東西；但想了解業(yè)務主管的需求，又得通過交付有效安全指標協(xié)調(diào)安全與業(yè)務來達成。

理想狀態(tài)下，CISO應已進入高管層級。想要交付以業(yè)務為中心的指標，安全主管就不應只是簡單地向高管匯報，而是躋身高管行列。只有安全主管進駐公司高層，公司才能期望他們的安全方法能反映出對業(yè)務戰(zhàn)略、方向與需求的深層次理解。

但很不幸，這種可能性很小。監(jiān)管危機一直持續(xù)，因為絕大多數(shù)CISO依然報告給CIO。也就是防御協(xié)調(diào)員向攻擊協(xié)調(diào)員報告。CIO最感興趣的(比如安全部門防止宕機的頻率)往往不是安全應該向業(yè)務匯報的(比如為什么會出現(xiàn)威脅，威脅駐留時間是怎么被減少的，減少的程度如何等等)。

不良指標比毫無指標更常見。很多安全項目報告的是安全工具封鎖威脅的數(shù)量，畢竟解析日志很簡單，拋出被阻擋的威脅數(shù)量聽起來也挺唬人的。但不幸的是，這種數(shù)據(jù)對高層業(yè)務決策毫無用處。

供應商從應用產(chǎn)生指標有所幫助嗎？

供應商的應用報告功能若能產(chǎn)出現(xiàn)成的指標，會對公司安全情況有所幫助。一些供應商已經(jīng)開始嘗試這么做了。隨著安全態(tài)勢量化的復興，供應商也在尋求跨混合基礎(chǔ)設(shè)施不同部分來提供這一信息。這也是服務供應商和托管安全服務提供商(MSSP)的主要倡議。威瑞森風險報告就是個良好的例子。

但并非所有供應商都贊同提供應用指標，也有供應商認為這不屬于自己的負責范圍。

問題的癥結(jié)在于安全部門想要使用的指標和董事會要求的信息之間是否協(xié)調(diào)良好。應用通常產(chǎn)生大量的細節(jié)性數(shù)據(jù)統(tǒng)計，需要經(jīng)過很多處理(標準化、聚合和分析)才可以轉(zhuǎn)譯上呈董事會。

上呈董事會的指標應傳達出與每個受眾特別注意的目標相關(guān)的信息，并要簡潔明了，數(shù)量最好不要超過4到5個。

還有企業(yè)高管認為，依靠供應商提供自己產(chǎn)品有效性的指標，與讓黃鼠狼看管雞窩無異。而且，也沒有哪家供應商的控制措施能夠代表企業(yè)整體網(wǎng)絡安全戰(zhàn)略的有效性。

供應商日子也不好過，經(jīng)常被壓價，還被要求按客戶需要提供不同形式的安全指標，而且他們的安全預算甚至比很多客戶的都小。大多數(shù)供應商提供安全指標的意愿越來越強烈，但這些指標到公司企業(yè)手上的時候往往經(jīng)過了精心修飾，不會呈現(xiàn)真正的問題。

有些供應商會要求將日志聚合到單獨的報告服務器上，由他們自己的分析軟件加以處理，這就可能是個昂貴而復雜的解決方案了。而有些供應商僅提供封裝好的高層級報告，并不能供管理員深挖具體問題，限制了報告的有用性。

至于董事會級指標，分析數(shù)據(jù)必須結(jié)合某種形式的成本效益分析，而這種程度的數(shù)據(jù)幾乎沒有供應商能夠提供。公司企業(yè)的安全團隊選擇供應商時需考察其能否提供數(shù)據(jù)庫驅(qū)動的報告，可以方便根據(jù)需求加以定制的那種。

供應商需能夠，也應該提供其產(chǎn)品性能的原始數(shù)據(jù)，但CISO總得以與業(yè)務主管的關(guān)注點直接相關(guān)的方式去收集、關(guān)聯(lián)、分析和呈現(xiàn)恰當形式的正確指標。

好指標的要素有哪些？

好的指標需是業(yè)務主管重視，且能用于進一步協(xié)調(diào)安全與業(yè)務的那些。那么，好的指標由那些要素構(gòu)成呢？

1.將安全指標轉(zhuǎn)化為業(yè)務信息需要在關(guān)注焦點和報告格式上做出改變

業(yè)務部門用記分卡、月度或季度業(yè)務審核和關(guān)鍵績效指標(KPI)來衡量進展及表現(xiàn)。提供給業(yè)務部門的安全指標應對業(yè)務部門已在開展的業(yè)績評估有所幫助。提供應對業(yè)務問題的安全信息，比提供與業(yè)務目標無關(guān)的技術(shù)性信息和日志細節(jié)要高明得多。

老話說得好：度量指標應具體、可測、準確、可靠、及時。指標做好了，安全部門和業(yè)務部門協(xié)調(diào)一致奔向公司整體目標；指標做得不好，安全部門和業(yè)務部門各自為戰(zhàn)甚至互相掣肘，公司目標達成進展緩慢甚或倒退。

東西簡單有用就好。采用標準的紅/黃/綠指示器可以很快向董事會揭示風險、合規(guī)和監(jiān)管的協(xié)同程度。圖表則可用于顯示風險隨時間減小的趨勢和整體框架整合情況。四象限圖能快速展示頂級風險、需引起管理層注意的問題、重大事件，以及進展中的重要項目。總之，簡潔明了。指標不需要附帶太多技術(shù)細節(jié)，但要有統(tǒng)計數(shù)據(jù)，并與業(yè)務/信息安全協(xié)作關(guān)系相一致。

可以參考個人信用評分(FICO)。比如說用百分制的一個評分來反映企業(yè)安全與合規(guī)態(tài)勢。當然，這其中應避免掉入一葉障目不見泰山的坑。不妨考察黑客滲透和侵害公司的方式，藉由同樣的方法得出安全評分。你首先發(fā)現(xiàn)并分類各種資源，既有現(xiàn)場的也有云端的，然后評估各自面臨的內(nèi)部和外部威脅?；谠撛u估，你識別出系統(tǒng)中的弱點，再根據(jù)現(xiàn)有控制措施評估這些資源。

最終結(jié)果，就是反映公司當前網(wǎng)絡狀態(tài)的總得分。修復識別出的弱點可以提升得分。其他可以評分的因素還包括數(shù)據(jù)泄露的概率及其預期影響。后一個得分可以映射進CIA模型，也就是“機密性、完整性和可用性”模型。

2.趨勢是非常重要的一方面

你能否由平均修復時間的大幅降低拿出每個業(yè)務部門對公司固有風險減小程度的月度統(tǒng)計數(shù)據(jù)？董事會關(guān)心的指標類型是這種，而不是防火墻阻擋了多少攻擊，也不是基礎(chǔ)設(shè)施漏打了多少補丁，更不是其他什么靠巨大的數(shù)量唬人的指標。

這種單純的大數(shù)指標或許在操作層面上對信息安全人員有所幫助，但在董事會層面最好還是說些董事們關(guān)心的事——董事會有責任保護公司業(yè)務平穩(wěn)發(fā)展。報告給董事會的指標要與這些公司目標相一致。用董事會能理解的語言表達這些指標，比如對業(yè)務的影響而不是對技術(shù)的影響，并確保他們知道安全部門的訴求是什么。千萬別什么訴求都不提就匆匆結(jié)束董事會會議離場。

3.安全報告還應是個持續(xù)的過程，及時報告安全趨勢而非靜態(tài)數(shù)據(jù)

比如說反映年度趨勢的逐月環(huán)比報告。這樣董事會才可以清晰地看出做得好的地方、有所改善的地方，以及還需要后續(xù)處理的重點問題。清晰的可視化展示和路線圖可以讓董事會明白公司安全形勢，而不是看起來一臉迷惑不解的樣子。

展示中應包含具體的指標，比如威脅駐留時間、橫向移動、重復感染、網(wǎng)絡覆蓋和響應時間。

這些問題可以綜合起來形成以業(yè)務為中心的指標。

比如說，風險可見性占比(處于安全管理之下的系統(tǒng)所占比例)就是個非常重要的指標。不僅僅要報告你能看到的東西，還要報告因為技術(shù)和時間限制而還沒看到的風險占比是多少。另外還有實現(xiàn)了某層級防御的受管系統(tǒng)所占比例。二者間差異很大，即便后者數(shù)據(jù)很棒(受管系統(tǒng)幾乎都實現(xiàn)了某種防御措施)，如果前者情況糟糕(公司所有系統(tǒng)中只有一小部分處于安全管理之下)，公司風險依然很大。

公司信息供應鏈和運營風險可分為3級。首先，從威脅追捕團隊的結(jié)果來判斷公司當前是否遭受網(wǎng)絡攻擊，攻擊的規(guī)模有多大？其次，該網(wǎng)絡犯罪被撲滅和控制最快得要多久？最后，公司是否遵從了行業(yè)和地區(qū)的強制合規(guī)標準？如果沒有合規(guī)，原因是什么？

不同指標應綜合到一起以揭示公司的整體安全態(tài)勢。呈現(xiàn)威脅形勢和公司響應隨時間的發(fā)展變化也很有用。這能讓通常不是網(wǎng)絡安全專家的公司高級管理層體會到為什么安全是以業(yè)務為中心的，讓他們覺得安全值得持續(xù)投資。CISO需將安全洞見提煉成非技術(shù)受眾也能理解的東西，這些受眾往往對“為什么”更感興趣，而對“是什么”興趣缺缺。

信息孤島是必須要杜絕的東西。可以設(shè)置一個新興威脅儀表板，在一個地方縱覽所有安全相關(guān)事務，方便快捷地查看有哪些東西需要多加注意，應添加哪些控制措施。

但在最后的分析中，最好的指標展現(xiàn)的是網(wǎng)絡安全項目在達成關(guān)鍵業(yè)務目標上的有效性。

要點

報告給業(yè)務主管的信息安全指標沒有固定的形式，各個行業(yè)間差異很大，同行業(yè)的各個公司之間也有所不同。指標好不好，取決于關(guān)鍵業(yè)務驅(qū)動力。

信息安全必須了解業(yè)務。CISO不能期待業(yè)務主管來理解安全。指標的目的就是要解釋安全是怎么支持或進一步支持業(yè)務重點的。為做到這一點，CISO必須了解這些業(yè)務重點。

此中存在的問題是，這種了解最好來自于成為整體業(yè)務領(lǐng)導層的一部分——極少發(fā)生的一種情況。在一些開明的案例中，CISO至少在董事會層級是能發(fā)聲的；但大多數(shù)情況下他們的直屬上級依然是CIO，而CIO有他自己異于CISO的關(guān)注重點。

指標問題必須解決。指標問題解決得好，可以獲得極高的回報，至少可以享有更有效的安全、更好的盈利，可以在必要的時候爭取到所需的預算，以及在董事會層級刷出更大的個人存在感。如果能夠在重要的位置提供恰當?shù)姆雷o，安全基本上也就成為了業(yè)務驅(qū)動力和盈利增長點，而不再是眾人眼中空耗公司預算的資金黑洞。

如果沒有良好的指標，安全和業(yè)務沒辦法協(xié)同統(tǒng)一。沒有這種協(xié)同統(tǒng)一，安全部門就是救火隊的角色，而業(yè)務時刻面臨風險。

（原標題：讓業(yè)務與安全貼合：適應業(yè)務需求的網(wǎng)絡安全指標）