衡量漏洞管理的绩效:哪些指标重要,哪些不重要?

漏洞管理 (VM) 计划不仅仅是在合规检查表中勾选一个方框,它是任何整体安全策略的核心。组织可能认为他们的 VM 程序很强大。但它们在日益复杂和复杂的威胁环境中是否有效?这就是漏洞管理 KPI 和指标发挥关键作用的地方。

衡量漏洞管理的绩效:哪些指标重要,哪些不重要?

漏洞管理的 KPI 和指标有助于量化与漏洞相关的风险,并有效衡量漏洞管理计划的健康状况。如果组织或 CISO 选择了错误/冗余的指标,他们将无法获得正确的结果,这将反映在他们的安全策略中。

重要的漏洞管理 KPI

1.检测时间

此漏洞管理 KPI 衡量整个组织中漏洞创建和检测之间的平均时间间隔。例如,在上个月发生的更新期间,应用程序中引入了一个漏洞,而该组织仅在上周发生攻击后才设法检测到该漏洞。

CISO 和 IT 安全团队应持续工作,以将检测时间缩短为数天、数分钟和数秒。还建议定期进行渗透测试和安全审计,并使用自动扫描工具以获得更好的结果。

2.解决/缓解漏洞的时间

此 KPI 显示 IT 安全团队解决漏洞和缓解攻击所花费的平均时间。如果这需要更长的时间,风险就会加剧,攻击者就会找到攻击的空地。

该指标将查看以下内容:

  • 同时解决/减轻,
  • 受违规/事件影响的用户百分比
  • 同时是否满足组织根据其风险偏好设定的目标时间?
  • IT 安全团队多久能解决这个问题?

3.平均曝光窗口

该漏洞管理指标揭示了漏洞公开披露与修补所有受影响的系统/应用程序/网络所需时间之间的平均时间差距。此窗口越大,风险越高。

4.开放高/严重漏洞的数量

此漏洞管理 KPI 会告诉您有多少高风险和严重漏洞未修补以及保留了多长时间。选择忽略此指标可能会导致巨大的损失。

5.周转补丁的平均时间

该 KPI 突出了补丁管理流程的有效性,告诉您修补未知/未检测到的漏洞所需的平均时间。

6.例外情况的数量

由于不同的原因,组织通常会选择免除某些漏洞的扫描和/或修复。但是,出于审计目的以及根据不断变化的风险态势采取未来行动,需要跟踪这些异常情况。

7.综合扫描覆盖

  • 漏洞识别扫描过程中包含哪些资产、应用程序、系统、第三方服务等?
  • 是否包含关键业务资产和应用程序?
  • 执行哪些类型的扫描?

这些是该指标提供答案的一些问题。您涵盖的清单越多,您通过安全程序行使的控制力就越大。

8.漏洞重开率

此 KPI 告诉您漏洞修复和补丁管理流程是否有效。如果已解决的漏洞频繁重新打开,则表明您的修复过程存在严重缺陷。

9.每个资产组/业务单元的平均风险

此漏洞管理 KPI 使您能够了解资产组/业务部门面临的风险,从而重新将您的重点放在 VM 程序中。

您可以忽略的 VM 指标

1.漏洞数量

此漏洞管理KPI未说明与漏洞相关的严重性、优先级、可利用性、影响或风险。因此,如果 CISO 要告诉董事会他们发现了 10000 个漏洞并全部修复,董事会可能不愿意分配更多资金。但是,如果您告诉他们您发现了一个可能完全削弱业务的漏洞,他们可能会看到业务案例。

2.扫描次数、攻击次数、打补丁次数等

从技术角度来看,这些指标可能很重要,但不会为 VM 程序的改进增加价值。但考虑到它们可能会给业务利益相关者带来一种错误的安全感。

3.平均 CVSS 分数

这种标准化的 VM 指标不反映漏洞或风险状况的特殊性。

前进的道路

安全是一项共同的业务责任,而不仅仅是 CISO 的特权。漏洞管理 KPI 和报告不能简单地陈述技术术语和数字,而是必须告诉最高管理层漏洞如何影响业务和日常运营。

文章链接: https://www.mfisp.com/19723.html

文章标题:衡量漏洞管理的绩效:哪些指标重要,哪些不重要?

文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
IDC云库

使用更好的URL结构改善您的SEO

2023-4-18 14:59:52

IDC云库

关于网络漏洞评估的一切

2023-4-18 15:14:51

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

梦飞科技 - 最新云主机促销服务器租用优惠