Varnostne metrike, ki dejansko stejejo

Mnoge varnostne metrike merijo aktivnost, ne rezultatov. Enkrat sem delal s podjetjem, ki je ponosno porocalo o zakrpanju 10.000 ranljivosti v enem cetrletju. Slisalo se je impresivno, dokler nisem odkril, da je bilo 95 odstotkov teh zakrp na nekriticnih razvojnih napravah, medtem ko so njihovi produkcijski strezniki, obrnjeni proti internetu, se vedno imeli kriticne ranljivosti izpred sestih mesecev. Metrika je kazala aktivnost, ne varnostne izboljsave. Osredotocite se na tisto, kar dejansko kaze varnostno drzto, in boste sprejemali boljse odlocitve o tem, kam vloziti omejeni proracun.

Prazne metrike, ki se jim je treba izogibati

Te metrike izgledajo impresivno na diapozitivu, a vam ne povedo skoraj nic o vasi dejanski varnostni drzti.

• Stevilo najdenih ranljivosti - Vec bi lahko pomenilo boljso pokritost pregledovanja ali slabsanje okolja. Brez konteksta je ta stevilka brez pomena. Videl sem ekipe, ki so slavile, da najdejo vec ranljivosti iz leta v leto, ne da bi se zavedale, da to kaze na neuspeh programa odprave.
• Uporabljene zakrpe - Stetje zakrp brez upostevanja, kateri sistemi so bili zakrpani ali kriticnosti obravnavanih ranljivosti, ustvarja lazni obcutek varnosti.
• Zakljucena usposabljanja - Stopnje dokoncanja vam ne povedo nic o tem, ali se je vedenje spremenilo. Testiral sem organizacije s 100-odstotno stopnjo dokoncanja, ki so se vedno imele 40-odstotno stopnjo klikov na phishing.
• Uvedena orodja - Nekatere najvarnejse organizacije, ki jih testiram, imajo relativno malo orodij, dobro konfiguriranih in nadzorovanih. Nekatere najmanj varne imajo na desetine orodij, ki generirajo opozorila, ki jih nihce ne bere.

Smiselne metrike

Te metrike dejansko korelirajo z izboljsanimi varnostnimi rezultati.

• Povprecni cas do zaznave (MTTD) - Med projekti rdece ekipe sledim, kako dolgo traja, da stranka zazna moje aktivnosti. Deloval sem znotraj omrezij tedne brez zaznave in bil ujet v urah v drugih. Razlika je skoraj vedno pripisljiva zrelosti zmogljivosti zaznave.
• Povprecni cas do odziva (MTTR) - Zaznava brez odziva je brezpredmetna. Sledite casu od zaznave do zajezitve, nato od zajezitve do popolne odprave. Te stevilke bi se morale skozi cas zmanjsevati.
• Cas izpostavljenosti kriticnim ranljivostim - Kako dolgo kriticne ranljivosti ostajajo nezakrpane na produkcijskih sistemih? To meri okno priloznosti za napadalce.
• Trendi stopnje klikov phishinga - Ne absolutno stevilo, ampak trend. 15-odstotna stopnja, ki je bila lani 30-odstotna, kaze pristno izboljsavo. Sledite tudi stopnjam prijavljanja.
• Zmanjsanje napadne povrsine - Sledite storitvam, obrnjenim proti internetu, odprtim vratom, poteklim certifikatom in opuscenim aplikacijam skozi cas.

Vodilni proti zaostajajocim indikatorjem

• Vodilni indikatorji - Napovedujejo prihodnje tezave: vrzeli pokritosti pri pregledovanju ranljivosti, odstotek sistemov brez zaznave na koncnih tockah, starost nepregledanih pravil pozarnega zidu.
• Zaostajajoci indikatorji - Merijo pretekle dogodke: stevilo in resnost incidentov, stroski vdorov, rezultati penetracijskih testov. Pomembni za razumevanje preteklosti, nezadostni za napovedovanje prihodnosti.

Pogostost porocanja

• Nadzorne plosce vodstva: mesecno - Tri do pet kljucnih metrik z jasnimi pusticami trendov, ki prikazujejo, ali se program premika v pravo smer.
• Operativne metrike: tedensko - Stanje zakrp, obseg opozoril, aktivnosti odziva na incidente in pokritost pregledovanja za varnostno ekipo.
• Metrike incidentov: po potrebi - Nadzorne plosce v realnem casu med aktivnimi incidenti, podrobne metrike po incidentu med retrospektivami.

Gradnja programa metrik

Zacnite majhno. Videl sem organizacije, ki so poskusale slediti 50 metrikam hkrati in na koncu nobene niso sledile dobro. Izberite tri do pet metrik, usklajenih z vasimi najpomembnejsimi tveganji, in jih dosledno merite sest mesecev, preden dodate vec. Zagotovite avtomatizirano zbiranje podatkov, ker so rocne metrike nevzdrzne. Najpomembneje pa je, da ukrepate na podlagi podatkov. Vsaka metrika bi morala imeti definiran prag, ki sprozi specificno dejanje.

Uporaba rezultatov penetracijskih testov kot metrik

Rednim strankam zagotavljam primerjave iz leta v leto, ki prikazujejo stevila ugotovitev po resnosti, stopnje odprave predhodno identificiranih ranljivosti in cas, potreben za dosego zacetne kompromitacije. Ko stranka, ki je prej padla na phishing v 10 minutah, zdaj zazna in blokira moje poskuse, to pove veliko bolj smiselno zgodbo kot katerokoli potrditveno polje skladnosti. Ti trendi prikazujejo otipljiv donos na varnostno nalozbo.