「被衡量的事物才会完成(What gets measured gets done)。」零售科技商Shopline资安长李彦民以此名言强调,资安实务中,用具体指标(Metrics)和科学方法来支持决策的重要性。
李彦民说,追踪资安指标是为了用更客观的资料,来量化分析资安风险、追踪资安做法成效、改善资安决策。不过,他引用研究说明,使用贝氏统计方法、蒙地卡罗模拟等科学统计方法的资安从业人员不到2成。反而,按照资安风险发生机率跟影响性高低,来主观排序风险高低的做法,采用率将近8成。「科学证据支持方法仍被大量忽视,但按照主观判断来管理资安风险的做法,恐怕只能达成安慰剂效果。」李彦民直言。
他建议企业,从权威机关的资安控管指南下手,寻找测量项目的大方向。接著,用科学的分析框架及统计方法,来决定应追踪、分析的具体指标,以估算资安风险和评量自家资安措施效益。
资安控管指南,他推荐参考美国网路安全中心(CIS)发布的以金额计算风险的FAIR模型适合用来分析结果型指标,适合分析部署型指标的模型,则是BOOM框架(Baseline Objectives and Optimization Measurements)。资安科技公司Qualys的风险科技长Richard Seiersene提出此框架,根据5大基准,来追踪资安做法的成效,进而追踪KPI达成情况,以及设定未来KPI。
这5大基准分别对应风险生命周期的5阶段,分别是漏洞到达率(Arrival Rate)、等待时间(Wait-Time)、存活率(Survival Rate)、消减率(Burndown Rate)以及逃逸率(Escape Rate)。根据这些基准,企业可以订定漏洞管理案例、数据指标,决定追踪资料性质、判断可能问题,再寻找应对措施。
举例来说,以漏洞到达率为指标,可以追踪每周新发现的漏洞数量(例如每周新增50个新漏洞),设定明确数据指标,确立资料性质为频率型(件数/时间),了解指标意义为风险进入速度。接著,识别可能问题,如攻击面过大、新设备导致新弱点,进而采取相应措施,如加强开发安全、降低攻击面(如关闭不用的端口)和进行高危漏洞修补。
Shopline也开始采用这些做法,综合FAIR、BOOM、CIS Controls等架构,来交叉衡量风险。李彦民总结,可以用CIS Controls控制项目,作为FAIR和BOOM框架分析时的参考资料,决定要追踪哪些指标。再来,利用FAIR结果导向分析来衡量风险「值」,以及BOOM过程导向分析来衡量控制「成效」,两者互补,推估控管效率增减,会为企业带来多少收益或损失。
他补充,在利用这些模型来分析时,可能会出现实际资料不明确的情况,例如「从漏洞抵达到解决费时」中,可能有些漏洞抵达时间不明,因而无法精确追踪。不过,他再次强调,指标追踪不是为了获得百分百精确的统计资料,而是要用资料作为参考,来驱动决策方向。他推荐使用估计贝氏计算法(Approximate Bayesian Computation Methodology,ABC)统计方法,结合贝氏推论法和蒙地卡罗模拟法,根据过往经验进行模拟,来推论实际指标或风险数值,再用FAIR和BOOM模型进一步分析。