网络安全运营关键绩效指标

01检测到的入侵企图
入侵企图指的是未形成安全事件或后果的攻击探测行为,所有成功的入侵事件都可能由其发展而来。因此,企业应该将攻击者尝试获得非法访问的次数作为安全工作的衡量指标之一,这需要通过防火墙和SOC系统的日志来收集相关情报。入侵企图表明了企业面临的威胁总数量。企业安全运营普遍存在的一个问题是,当威胁预防机制奏效、很少发生事件时,管理者往往会错误认为本企业不再是攻击者的主要目标,但事实并非如此。

02已经发生的安全事件数量
企业组织已发生的安全事件指的是攻击者已经成功实现的攻击行为,对组织的资产或数据造成了实际的损失。攻击者破坏企业信息资产或网络的次数可以作为衡量企业网络安全建设不足的重要指标。安全运营工作的一个关键方面是密切关注改变工具和流程是否会带来改进。通过汇集企业安全事件数量和发生率方面的数据,可以帮助企业确保落实到位的防御措施对保护企业的数字资产带来了积极影响。

03网络安全事件严重程度
了解组织的网络入侵或数据盗窃的严重程度将有助于合理设定安全运营工作的优先级,以确保导致企业业务中断等严重网络安全事件不会继续发生。这个绩效指标还可以用来评估新的安全措施或流程是否切实有效。

04平均威胁响应时间(MTTC)
威胁响应是指在安全事件检测与有效处置之间的事件应对情况。解决安全事件的总成本很大程度上取决于安全团队对突发事件的快速响应能力,响应时间越短,解决问题的成本就会越低。如果企业需要很长时间才能启动有效的响应机制和流程,这就反映出整体安全能力建设的不均衡。

05平均威胁处置时间(MTTR)
迅速响应网络安全事件只是安全事件处置的一方面,平均威胁处置时间(MTTR)则可以反映安全事件发生后安全运营团队的处置效率有多高。如果跟踪这个指标,就可以评估调整安全运营策略将可以获得哪些好处。MTTR还可用于评估安全团队快速解决不同安全事件的能力,比如DDoS攻击、勒索软件攻击和数据泄漏等。

06误报和漏报程度
网络安全运营需要依赖各种安全工具来识别和检测恶意软件或可疑行为,并在发现可疑情况时提醒安全运营团队。然而这类工具需要微调和定期维护,以免发生误报和漏报。跟踪误报和漏报的数量情况可以帮助团队确定各项安全工具的配置是否恰当。

07漏洞补丁更新时间
网络犯罪分子正在大量使用威胁情报工具,以利用补丁发布和实际修补之间的时间差。因此,企业应准确了解实施应用程序安全补丁或缓解CVE列出的高风险漏洞需要多长时间。典型的事例就是勒索软件“WannaCry”的广泛破坏,虽然其所利用的“永恒之蓝(EternalBlue)”漏洞很快就被修补,但由于很多企业的补丁更新工作不够及时,结果还是沦为了受害者。

08漏洞评估结果
漏洞扫描工具会针对IT系统和用户设备运行测试,查看它们是否针对已知漏洞进行了修复,并识别其他潜在的安全问题。漏洞评估结果会列出各种新的和仍然存在的漏洞、风险评级、漏洞得逞/失败率及其他数据。如果将该信息与漏洞修复时间这一指标结合使用,企业就可以确定是否应该分配更多的资源来保障漏洞管理工作。

09内部用户的访问安全性指标
企业负责人可能会认为网络安全威胁主要来自企业外部。然而在很多数字化企业中,针对内部用户的网络安全指标显示,内部威胁是更为严重的问题。收集和分析员工的访问权限以及应用程序和数据访问方面的信息,可以表明内部安全问题以及需要对用户访问控制所做的更改。

10网络整体流量数据
虽然企业网络中的整体流量数据量不是严格意义上的安全度量指标,但对于识别潜在威胁、确定安全工具和流程的可扩展性大有裨益。网络流量的变化(无论是逐渐的变化还是突发的变化)都可能表明恶意软件入侵或其他类型的网络攻击。该度量指标还有助于证明需要新的或升级的安全措施。它有助于传达这个观念:随着网络使用量增加,用于保护网络和IT系统的资金应该随之增加。

11安全审计和渗透测试次数
网络安全运营工作应该包括一系列的安全性审计、风险评估、渗透测试及其他检查,这样才可以确保安全流程和工具发挥正常功效。但是组织的安全运营团队往往日常任务负担过重,导致这些重要的工作被延迟或遗忘。在此背景下,组织应该通过跟踪安全审计和渗透测试等任务的次数,了解网络安全运营工作中是否有存在疏忽的环节。

12与同行横向比较的安全基准
安全团队向董事会级别进行工作报告时,一种重要的主题就是,企业目前的网络安全状况如能力,与所在行业的同行企业相比如何。这些汇报信息和评价指标更容易被管理层所理解,且在视觉上更加具有吸引力,容易受到非专业型领导的关注。从某种意义上说,与同行横向比较的安全基准是一个“比较指标的指标”。这样的基准测试有助于确定IT安全团队与同行相比是处于正常水平还是需要重新调整。

网络安全工具解析

1. 蓝矢量(Blue Vector)
功能: Blue Vector利用深度学习技术来检测和响应网络威胁。它能够实时监控网络流量,识别异常行为,并自动阻断潜在的威胁。
优势: 该工具随着时间的推移不断学习和适应,提高了对新兴威胁的防御能力。它能够理解每个部署网络的独特性,并相应调整其算法。
使用场景: 特别适用于寻求动态和自适应网络安全解决方案的企业。

2. Bricata
功能: Bricata结合了入侵预防和检测系统(IPS/IDS)的功能,并进一步增加了基于异常或事件的威胁狩猎能力。
优势: 它不仅捕捉大多数网络问题和安全漏洞,还能够识别并应对专门设计来绕过IDS的攻击。
使用场景: 适合那些需要超越传统IPS/IDS防御的中大型企业。

3. 云卫士(Cloud Defender)
功能: 云卫士专为云环境设计,提供检查和保护网络应用、数据和服务的功能。
优势: 它为移动到云的企业提供了易于使用的工具,帮助它们发现潜在威胁和弱点。
使用场景: 对于那些正在转向云计算并寻求专门保护的组织来说,这是一个理想的选择。

4. 钓鱼防御工具(Cofense Triage)
功能: Cofense Triage帮助组织管理和响应用户报告的可疑钓鱼电子邮件。
优势: 它提高了用户识别钓鱼邮件的能力,并为组织创建了一种机制来利用这种新培养的技能。
使用场景: 适用于任何规模的组织,特别是那些希望提高员工安全意识和防御能力的组织。

5. 对比安全(Contrast Security)
功能: 对比安全是一套工具,能够在应用程序的整个生命周期内提供保护,从开发到部署和运营。
优势: 通过将代理嵌入应用程序中,它能够几乎消除误报,同时提供持续的安全监控和防御。
使用场景: 特别适合开发和维护大量自定义应用程序的企业。

6. 数字守卫(Digital Guardian)
功能: Digital Guardian提供了一个平台,通过预先加载的数千条最佳实践规则,即刻开始保护端点。
优势: 它提供即刻的保护,无需长时间的学习和规则设置,使其成为迅速部署的理想选择。
使用场景: 适用于需要快速有效端点保护解决方案的企业。

7. 符合性和安全(Intellitica)
功能: 该工具提供了一个持续监控的合规仪表板,帮助企业保持安全和符合性。
优势: 它将合规性和安全性结合起来,确保企业在遵守规则的同时保持充分的安全防护。
使用场景: 特别适合需要同时管理安全性和合规性的企业。

8. MANTIX4
功能: MANTIX4旨在发现并消除可能绕过传统保护的高级威胁。
优势: 它为关键基础设施提供专门的保护,帮助防御高级和针对性的攻击。
使用场景: 适合那些在关键领域运营并寻求高级安全解决方案的组织。

9. SECBI
功能: SECBI提供网络流量分析,帮助提高企业网络的效率和安全性。
优势: 它将传统的网络效率工具转变为安全工具,帮助识别和阻止潜在威胁。
使用场景: 适用于任何需要改善网络性能和安全性的企业。

等保三级关注点

《GB∕T 22239-2019 信息安全技术网络安全等级保护基本要求》三级更加关注以下几点:

1. 在技术层面,更关注物理方面的安全性:

(1)在防盗和防破坏方面,机房防盗报警系统或专人值守视频监控系统。

(2)在防雷方面,设置防雷保安器或过压保护装置等。

(3)在防火方面,机房划区管理,区域和区域之间设置隔离防火措施。

(4)在防水和防潮方面,要求有对水敏感的检测仪表或元件,对机房进行防水检测和报警。

(5)在防静电方面,要求采用静电消除器、佩戴防静电手环等。

(6)在电力供应方面,设置冗余或并行的电力电缆线路;

(7)在电磁屏蔽方面,应对关键设备实施电磁屏蔽。

2. 在技术层面,更加关注访问控制的管控;

(1)限制非法内联、非法外联,以及无线网络的使用;

(2)限制对进出网络的数据流实现基于应用协议和应用内容的访问。

(3)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

(4)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

3. 在技术层面,更加关注网络攻击的主动防御;

(1)在关键网络节点检测、防止或限制从内、外部发起的网络攻击行为;

(2)采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。

(3)当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警;

(4)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。。

(5)垃圾邮件的检测和防护,并维护垃圾邮件防护机制的升级和更新

4. 在技术层面,更加关注业务的连续性;

(1)高可用,业务处理能力和带宽需要满足业务高峰期的需要;

(2)冗余,包括关键设备(网络设备、计算设备)、线路的冗余等;

(3)备份,且异地备份;

5. 在技术层面,更加关注数据的安全性,强调密码技术;

(1)传输和存储过程中需校验技术或密码技术来确保数据的完整性和保密性;

(2)身份鉴别过程中需要双因素来验证,其中一种鉴别技术应使用密码技术来实现;

6. 在技术层面,更加关注安全管理和集中管控方面;

(1)安全管理中心,二级只有系统管理和审计管理方面;

(2)对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;

(3)对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间为6个月;

(4)对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。

7. 在管理层面,更加关注管理制度的体系化,并得到高层的支持;

(1)成立网络安全领导小组,其最高领导由单位主管领导担任或授权;

(2)形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系;

(3)配备专职安全管理员,不可兼任。