讓業務與安全貼合:適應業務需求的網絡安全指標
責編:gltian |2018-10-08 14:55:44數據泄露永遠不會杜絕,監管規定只會層出不窮。對品牌形象和盈利的潛在影響,令網絡安全成為了董事會級別的主要議題。網絡安全控制及過程如何適應業務重點的問題變得前所未有的重要。
安全公司Varonis最近的調查研究顯示,業務與安全并未完全貼合;雖然安全團隊覺得自己的意見已被聽取,但公司領導層卻承認他們根本有聽沒有懂。
問題很明顯:安全與業務間語言不通。因為安全處于二者關系中較弱的一方,以業務用語驅動對話的責任自然就落在了安全身上。只要雙方溝通順暢,安全控制與業務重點之間的協調也就會容易得多。
呈現良好的指標是雙方都能理解的共同因素,也可作為協同統一的主要驅動力。但事實上,這種情況其實不算常見。
用指標協同安全與業務
要理解如何更好地運用指標來與企業領導溝通,需要知道:為什么指標是必要的?指標如何改進?問題有哪些?代價是什么?
破除語言不通障礙
雖然某些董事可能知道防火墻是什么東西,絕大多數董事卻是根本不了解IDS/IPS、SIEM、代理,或者其他什么安全解決方案都有什么用途的。他們只關心公司的風險等級有多高。
CISO雖然了解網絡風險,卻又未必知道各業務部門什么時候風險最大。同樣的,業務主管也不知道不斷變化的網絡安全威脅會對具體業務風險造成什么樣的影響。
安全主管應先更好地了解公司業務層面的事項,以便給出業務主管能夠理解的有意義的風險管理指標。這么做可以讓安全與業務兩方面都能展開多了解對方的過程。業務部門會開始看到安全部門是如何降低風險的,也就會開始指定需要更具體防護措施的其他領域。
此中關鍵和難點在于找出并呈現推動這一過程的初始指標,安全與業務的分歧也正在于此。CIO領導的IT部門必須維持關鍵系統的正常運行時間,還要支持數字化轉型項目,以便改進業務部門用以完成其業務目標所用的技術。CISO領導的安全部門通常必須維護公司存儲、處理和傳輸的數據與信息的機密性、完整性和可用性。這些部門及其主管傾向于圍繞自身戰術性職責而非董事會/高管考慮的業務驅動力來提供指標。
安全部門聚焦戰術性指標,比如登錄、封禁流量、交易計數等等,但這些指標大多反映不出業務目標,或者不是以業務主管能夠理解或關心的形式提出的。好的指標因為與業務相關,需與金錢和經營效率掛鉤,并能展現安全有效性的趨勢模式。真正的挑戰和難點正在于此。
問題出在IT和安全專業出身的人往往缺乏基本的業務培訓上。2017年的首要管理工具是戰略規劃。戰略規劃常常躋身業務主管五大工具之列。但又有多少安全主管足夠了解戰略規劃與執行呢?他們能確保自己的指標對公司的戰略目標有所貢獻嗎?
業務主管沒有義務去了解安全。過去很多CISO的敗筆就是認為業務需要理解安全。這種想法是十分錯誤的。因為負責安全的是安全部門,安全才需要更好地去理解業務,以便能夠闡明不應用恰當安全防護的后果。CISO才是那個需要去了解業務并理解公司使命目標的人。
這么做值得嗎?
接受訪問調查的所有CISO都認為,更好地呈現正確的安全指標可以協調安全與業務。事實上,CISO也只有這么做才能讓執行管理層理解當前的挑戰有哪些,而安全部門又已取得了哪些成果。
除了指標和安全/業務動態,CISO還必須清楚董事會的心理——這就各家公司不一而足了。有些董事會很重視安全,有些則對安全興趣缺缺。比如說,如果某公司被競爭對手碾壓,但這與安全無關,那這家公司的董事會就很可能將安全置于低優先級議題之列。
時間可能由此成為CISO無法控制的問題:指標是應該定期給出,還是應該只在必要是呈現呢?前者可能不必要地占用業務主管過多時間,而后者則會讓CISO給人一種厄運使者的印象。
有些CISO認為,董事會不應經常聽到安全部門的聲音。除非有關鍵問題或重大業務轉型,否則每年上報一次主要趨勢、威脅態勢演變、戰略性安全規劃也就夠了。
這種觀點是少數派。很多CISO至少覺得應經常呈遞指標報告以供彰顯安全趨勢。
然后,呈現風格的問題。一旦有機會向業務主管呈現安全指標,最好別浪費。太多報告跟某些頒獎嘉賓發言似的,單調無聊。報告要么太長(太多細節),要么太多無關緊要的東西。如果報告太爛,只會導致被問及更多問題。
CISO應是銷售、市場營銷和安全三位一體的專家。安全報告本身應是一份良好的CV,開篇即能抓住眼球,并將受眾的興趣保持到底。最關鍵的是,報告應回答問題,而不是令董事會質疑該報告。
這一點直擊安全指標報告核心。如果報告的目的是展現安全團隊的優秀程度,或強調需分撥更多預算的新問題,那基本上可以預期會招致更多問詢了。但如果報告的目的是協調安全與業務重點,那這些指標就應更為一目了然不言自明。報告可以略帶挑釁,激起業務主管的討論與批評,但不應招致對報告本身的質疑。
CISO向董事會上呈的指標夠嗎?
CISO可能目前很大程度上并未交付良好的指標。
指標報告是個經典的雞生蛋蛋生雞問題。為交付良好的指標,CISO必須知道業務主管想要的東西;但想了解業務主管的需求,又得通過交付有效安全指標協調安全與業務來達成。
理想狀態下,CISO應已進入高管層級。想要交付以業務為中心的指標,安全主管就不應只是簡單地向高管匯報,而是躋身高管行列。只有安全主管進駐公司高層,公司才能期望他們的安全方法能反映出對業務戰略、方向與需求的深層次理解。
但很不幸,這種可能性很小。監管危機一直持續,因為絕大多數CISO依然報告給CIO。也就是防御協調員向攻擊協調員報告。CIO最感興趣的(比如安全部門防止宕機的頻率)往往不是安全應該向業務匯報的(比如為什么會出現威脅,威脅駐留時間是怎么被減少的,減少的程度如何等等)。
不良指標比毫無指標更常見。很多安全項目報告的是安全工具封鎖威脅的數量,畢竟解析日志很簡單,拋出被阻擋的威脅數量聽起來也挺唬人的。但不幸的是,這種數據對高層業務決策毫無用處。
供應商從應用產生指標有所幫助嗎?
供應商的應用報告功能若能產出現成的指標,會對公司安全情況有所幫助。一些供應商已經開始嘗試這么做了。隨著安全態勢量化的復興,供應商也在尋求跨混合基礎設施不同部分來提供這一信息。這也是服務供應商和托管安全服務提供商(MSSP)的主要倡議。威瑞森風險報告就是個良好的例子。
但并非所有供應商都贊同提供應用指標,也有供應商認為這不屬于自己的負責范圍。
問題的癥結在于安全部門想要使用的指標和董事會要求的信息之間是否協調良好。應用通常產生大量的細節性數據統計,需要經過很多處理(標準化、聚合和分析)才可以轉譯上呈董事會。
上呈董事會的指標應傳達出與每個受眾特別注意的目標相關的信息,并要簡潔明了,數量最好不要超過4到5個。
還有企業高管認為,依靠供應商提供自己產品有效性的指標,與讓黃鼠狼看管雞窩無異。而且,也沒有哪家供應商的控制措施能夠代表企業整體網絡安全戰略的有效性。
供應商日子也不好過,經常被壓價,還被要求按客戶需要提供不同形式的安全指標,而且他們的安全預算甚至比很多客戶的都小。大多數供應商提供安全指標的意愿越來越強烈,但這些指標到公司企業手上的時候往往經過了精心修飾,不會呈現真正的問題。
有些供應商會要求將日志聚合到單獨的報告服務器上,由他們自己的分析軟件加以處理,這就可能是個昂貴而復雜的解決方案了。而有些供應商僅提供封裝好的高層級報告,并不能供管理員深挖具體問題,限制了報告的有用性。
至于董事會級指標,分析數據必須結合某種形式的成本效益分析,而這種程度的數據幾乎沒有供應商能夠提供。公司企業的安全團隊選擇供應商時需考察其能否提供數據庫驅動的報告,可以方便根據需求加以定制的那種。
供應商需能夠,也應該提供其產品性能的原始數據,但CISO總得以與業務主管的關注點直接相關的方式去收集、關聯、分析和呈現恰當形式的正確指標。
好指標的要素有哪些?
好的指標需是業務主管重視,且能用于進一步協調安全與業務的那些。那么,好的指標由那些要素構成呢?
1. 將安全指標轉化為業務信息需要在關注焦點和報告格式上做出改變
業務部門用記分卡、月度或季度業務審核和關鍵績效指標(KPI)來衡量進展及表現。提供給業務部門的安全指標應對業務部門已在開展的業績評估有所幫助。提供應對業務問題的安全信息,比提供與業務目標無關的技術性信息和日志細節要高明得多。
老話說得好:度量指標應具體、可測、準確、可靠、及時。指標做好了,安全部門和業務部門協調一致奔向公司整體目標;指標做得不好,安全部門和業務部門各自為戰甚至互相掣肘,公司目標達成進展緩慢甚或倒退。
東西簡單有用就好。采用標準的紅/黃/綠指示器可以很快向董事會揭示風險、合規和監管的協同程度。圖表則可用于顯示風險隨時間減小的趨勢和整體框架整合情況。四象限圖能快速展示頂級風險、需引起管理層注意的問題、重大事件,以及進展中的重要項目。總之,簡潔明了。指標不需要附帶太多技術細節,但要有統計數據,并與業務/信息安全協作關系相一致。
可以參考個人信用評分(FICO)。比如說用百分制的一個評分來反映企業安全與合規態勢。當然,這其中應避免掉入一葉障目不見泰山的坑。不妨考察黑客滲透和侵害公司的方式,藉由同樣的方法得出安全評分。你首先發現并分類各種資源,既有現場的也有云端的,然后評估各自面臨的內部和外部威脅。基于該評估,你識別出系統中的弱點,再根據現有控制措施評估這些資源。
最終結果,就是反映公司當前網絡狀態的總得分。修復識別出的弱點可以提升得分。其他可以評分的因素還包括數據泄露的概率及其預期影響。后一個得分可以映射進CIA模型,也就是“機密性、完整性和可用性”模型。
2. 趨勢是非常重要的一方面
你能否由平均修復時間的大幅降低拿出每個業務部門對公司固有風險減小程度的月度統計數據?董事會關心的指標類型是這種,而不是防火墻阻擋了多少攻擊,也不是基礎設施漏打了多少補丁,更不是其他什么靠巨大的數量唬人的指標。
這種單純的大數指標或許在操作層面上對信息安全人員有所幫助,但在董事會層面最好還是說些董事們關心的事——董事會有責任保護公司業務平穩發展。報告給董事會的指標要與這些公司目標相一致。用董事會能理解的語言表達這些指標,比如對業務的影響而不是對技術的影響,并確保他們知道安全部門的訴求是什么。千萬別什么訴求都不提就匆匆結束董事會會議離場。
3. 安全報告還應是個持續的過程,及時報告安全趨勢而非靜態數據
比如說反映年度趨勢的逐月環比報告。這樣董事會才可以清晰地看出做得好的地方、有所改善的地方,以及還需要后續處理的重點問題。清晰的可視化展示和路線圖可以讓董事會明白公司安全形勢,而不是看起來一臉迷惑不解的樣子。
展示中應包含具體的指標,比如威脅駐留時間、橫向移動、重復感染、網絡覆蓋和響應時間。
這些問題可以綜合起來形成以業務為中心的指標。
比如說,風險可見性占比(處于安全管理之下的系統所占比例)就是個非常重要的指標。不僅僅要報告你能看到的東西,還要報告因為技術和時間限制而還沒看到的風險占比是多少。另外還有實現了某層級防御的受管系統所占比例。二者間差異很大,即便后者數據很棒(受管系統幾乎都實現了某種防御措施),如果前者情況糟糕(公司所有系統中只有一小部分處于安全管理之下),公司風險依然很大。
公司信息供應鏈和運營風險可分為3級。首先,從威脅追捕團隊的結果來判斷公司當前是否遭受網絡攻擊,攻擊的規模有多大?其次,該網絡犯罪被撲滅和控制最快得要多久?最后,公司是否遵從了行業和地區的強制合規標準?如果沒有合規,原因是什么?
不同指標應綜合到一起以揭示公司的整體安全態勢。呈現威脅形勢和公司響應隨時間的發展變化也很有用。這能讓通常不是網絡安全專家的公司高級管理層體會到為什么安全是以業務為中心的,讓他們覺得安全值得持續投資。CISO需將安全洞見提煉成非技術受眾也能理解的東西,這些受眾往往對“為什么”更感興趣,而對“是什么”興趣缺缺。
信息孤島是必須要杜絕的東西。可以設置一個新興威脅儀表板,在一個地方縱覽所有安全相關事務,方便快捷地查看有哪些東西需要多加注意,應添加哪些控制措施。
但在最后的分析中,最好的指標展現的是網絡安全項目在達成關鍵業務目標上的有效性。
要點
報告給業務主管的信息安全指標沒有固定的形式,各個行業間差異很大,同行業的各個公司之間也有所不同。指標好不好,取決于關鍵業務驅動力。
信息安全必須了解業務。CISO不能期待業務主管來理解安全。指標的目的就是要解釋安全是怎么支持或進一步支持業務重點的。為做到這一點,CISO必須了解這些業務重點。
此中存在的問題是,這種了解最好來自于成為整體業務領導層的一部分——極少發生的一種情況。在一些開明的案例中,CISO至少在董事會層級是能發聲的;但大多數情況下他們的直屬上級依然是CIO,而CIO有他自己異于CISO的關注重點。
指標問題必須解決。指標問題解決得好,可以獲得極高的回報,至少可以享有更有效的安全、更好的盈利,可以在必要的時候爭取到所需的預算,以及在董事會層級刷出更大的個人存在感。如果能夠在重要的位置提供恰當的防護,安全基本上也就成為了業務驅動力和盈利增長點,而不再是眾人眼中空耗公司預算的資金黑洞。
如果沒有良好的指標,安全和業務沒辦法協同統一。沒有這種協同統一,安全部門就是救火隊的角色,而業務時刻面臨風險。
Varonis最近的調查研究原文地址:
https://www.securityweek.com/continuing-problem-aligning-cybersecurity-business