漏洞管理 (VM) 计划不仅仅是在合规检查表中勾选一个方框,它是任何整体安全策略的核心。组织可能认为他们的 VM 程序很强大。但它们在日益复杂和复杂的威胁环境中是否有效?这就是漏洞管理 KPI 和指标发挥关键作用的地方。
漏洞管理的 KPI 和指标有助于量化与漏洞相关的风险,并有效衡量漏洞管理计划的健康状况。如果组织或 CISO 选择了错误/冗余的指标,他们将无法获得正确的结果,这将反映在他们的安全策略中。
重要的漏洞管理 KPI
1.检测时间
此漏洞管理 KPI 衡量整个组织中漏洞创建和检测之间的平均时间间隔。例如,在上个月发生的更新期间,应用程序中引入了一个漏洞,而该组织仅在上周发生攻击后才设法检测到该漏洞。
CISO 和 IT 安全团队应持续工作,以将检测时间缩短为数天、数分钟和数秒。还建议定期进行渗透测试和安全审计,并使用自动扫描工具以获得更好的结果。
2.解决/缓解漏洞的时间
此 KPI 显示 IT 安全团队解决漏洞和缓解攻击所花费的平均时间。如果这需要更长的时间,风险就会加剧,攻击者就会找到攻击的空地。
该指标将查看以下内容:
- 同时解决/减轻,
- 受违规/事件影响的用户百分比
- 同时是否满足组织根据其风险偏好设定的目标时间?
- IT 安全团队多久能解决这个问题?
3.平均曝光窗口
该漏洞管理指标揭示了漏洞公开披露与修补所有受影响的系统/应用程序/网络所需时间之间的平均时间差距。此窗口越大,风险越高。
4.开放高/严重漏洞的数量
此漏洞管理 KPI 会告诉您有多少高风险和严重漏洞未修补以及保留了多长时间。选择忽略此指标可能会导致巨大的损失。
5.周转补丁的平均时间
该 KPI 突出了补丁管理流程的有效性,告诉您修补未知/未检测到的漏洞所需的平均时间。
6.例外情况的数量
由于不同的原因,组织通常会选择免除某些漏洞的扫描和/或修复。但是,出于审计目的以及根据不断变化的风险态势采取未来行动,需要跟踪这些异常情况。
7.综合扫描覆盖
- 漏洞识别扫描过程中包含哪些资产、应用程序、系统、第三方服务等?
- 是否包含关键业务资产和应用程序?
- 执行哪些类型的扫描?
这些是该指标提供答案的一些问题。您涵盖的清单越多,您通过安全程序行使的控制力就越大。
8.漏洞重开率
此 KPI 告诉您漏洞修复和补丁管理流程是否有效。如果已解决的漏洞频繁重新打开,则表明您的修复过程存在严重缺陷。
9.每个资产组/业务单元的平均风险
此漏洞管理 KPI 使您能够了解资产组/业务部门面临的风险,从而重新将您的重点放在 VM 程序中。
您可以忽略的 VM 指标
1.漏洞数量
此漏洞管理KPI未说明与漏洞相关的严重性、优先级、可利用性、影响或风险。因此,如果 CISO 要告诉董事会他们发现了 10000 个漏洞并全部修复,董事会可能不愿意分配更多资金。但是,如果您告诉他们您发现了一个可能完全削弱业务的漏洞,他们可能会看到业务案例。
2.扫描次数、攻击次数、打补丁次数等
从技术角度来看,这些指标可能很重要,但不会为 VM 程序的改进增加价值。但考虑到它们可能会给业务利益相关者带来一种错误的安全感。
3.平均 CVSS 分数
这种标准化的 VM 指标不反映漏洞或风险状况的特殊性。
前进的道路
安全是一项共同的业务责任,而不仅仅是 CISO 的特权。漏洞管理 KPI 和报告不能简单地陈述技术术语和数字,而是必须告诉最高管理层漏洞如何影响业务和日常运营。