是时候停止以绝对的方式衡量安全性了

评论

指导风险评估的背景和指标不断变化，我们对安全团队进展的理解也在不断变化。测量一切是不可能的，并且仅仅因为你可以测量它并不意味着它很重要。这很容易让我们迷失在细节中而错过大局：我们是否有方向性的改进？

问题的很大一部分在于标准的安全策略，它追求完美，却忽视了可实现的目标。在我们的行业中，我们有政策规定，例如，“所有高风险漏洞必须在 10 天内得到解决”，或者“所有用户访问必须每季度进行一次审查”。我们的假设是，您将争取 100% 的努力，而不会讨论这是否可以实现以及需要哪些资源来实现该目标。

通常，安全团队在 70% 的情况下会实现该目标，这被视为失败。团队经常花费大量资源试图缩小差距，例如，通过解决 70% 的关键漏洞和 100% 的策略目标。当这些资源可以更好地用在其他地方时，他们最终可能会耗尽资源来追求完美。

作为一个行业，我们需要退后一步，重新评估指导我们计划的政策和指标，决定它们是否现实，以及它们是否是正确的衡量标准。为实现这一目标，需要采取以下三个步骤。

1. 确定您的风险偏好

在所有风险领域都达到完美是不可能的。安全团队最终可能会玩打地鼠游戏，而失去对更微妙风险的关注。需要进行业务级别的对话来定义组织最大的安全风险在哪里、在哪里投入资源，以及管理人员可以承受一定风险级别的领域。例如，像 MOVEit 这样的关键漏洞可能在业务的一个领域代表可接受的风险，但在拥有一级系统且对业务影响的容限为零或最小的另一领域则不然。 中央情报局三合会 机密性、完整性和可用性。查看您所在行业中最大的漏洞以及通常针对您所在领域的企业的攻击类型，以执行风险评估。

2.设定灵活、可实现的目标

下一步是根据风险评估制定可实现的安全策略，重点关注渐进式进展。您不可能一夜之间从修补 50% 的漏洞跃升至 95%。重要的是要了解实现您的目标所需的资源，以及如果目标是完全修补而不是 85%，您会放弃哪些机会。关闭最后几个点可能不值得投资。

不要设定静态目标并力求完美，而是专注于相对于之前的情况改进计划。您应该问的问题是：我们正在朝着正确的方向前进吗？程序有改进吗？我们是否总体上降低了风险？

3.定期重新评估

由于漏洞和攻击方法总是在变化，安全领导者应定期与更广泛的企业进行讨论，以重新评估风险偏好和安全策略。至少应每年进行一次。重新评估目标是否与已知风险和风险承受能力相一致，并做出有意识的权衡决策。

例如，您可能确定可以在 85 天内解决 10% 的关键漏洞。为了达到90%， X 资源量，用以下术语表示 金钱投入、时间投入、人员投入， 将被要求。与这些额外资源进行权衡后，您可能会发现 85% 的风险水平是可接受的。

追求进步，而不是完美

有关风险的决策不应在真空中做出。这就是为什么安全领导者必须拥有这些 与其他企业领导人和董事会的对话。底线：在这个行业中，完美是很难实现的，追求完美可能弊大于利。相反，专注于取得进步。设定现实的目标，采取小步骤来实现目标，并不断提高标准，直到达到风险缓解的最佳水平。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes