CISO必须知道的安全管理五大基线

在当今这个瞬息万变的世界中，CISO需要了解他们的安全计划和战略是否能够跟上不断变化的威胁形势。以下是任何组织的CISO都应该了解并用来衡量其安全策略有效性的5大基线。

《指标宣言》描述了BOOM框架（基线目标和优化指标），提出应该用5个基线作为衡量企业安全能力的基础，进而阐明清晰且可衡量的目标，以衡量安全工具和措施是否真的能够保护组织的网络环境。

BOOM框架由以下5个基线组成：生存分析、燃尽指标、到达率、等待时间和逃逸率。这些基线源自全球CISO之间的共识，即网络安全事件总是会发生，并非所有问题都可以完全预防。这些基线不仅可用于评估安全事件，也可用于衡量网络弹性的改进。（编者：部分基线配有图示）

一、生存分析

生存分析是关于测量安全事件的存续时间。通过了解事件（如漏洞或其他风险原因）在您的环境中存在的时长，以及事件的类型或严重性，您可以减少风险暴露的不确定性。该基线的一个示例（上图）是：“50%的关键漏洞存在48小时或更长时间”。您需要避免使用事件类型集群的平均值，并尽可能多地收集细粒度数据。

二、燃尽指标

燃尽指标关注已消除的风险（在特定时间范围内）与新增风险的比率。它衡量您消除风险的速度比风险增长速度快还是慢。例如：如果在上个月你有100个新漏洞，而你的团队能够移除60个风险，则燃尽率为60%。尽管燃尽率低于100%意味着风险总量正在增加，但如果团队前一个月的燃尽率是50%，CISO就能知道团队正在进步。燃尽率是一个非常有用的绩效指标，开发人员团队可以使用它来衡量他们自己的绩效，并让CISO能够比较团队表现，并决定在未来一段时间内关注哪个团队以对安全性产生最大影响。

三、到达率

燃尽指标能够测量您消除风险的速度，到达率则衡量风险出现的速度。预测明天会发生什么是很困难的，但是通过利用威胁情报和历史数据（针对您的环境），您可以构建概率曲线，以显示您的技术堆栈中的一个漏洞在下个月被报告的可能性。知道到达率很有用，因为新漏洞的到来定义了您团队的工作。因此，此基线可帮助您做出资源分配决策。

四、等待时间

等待时间是安全运营管理中众所周知的衡量标准，用于测量风险原因（如漏洞）到达之间的时间。了解此指标可帮助您优化安全运营团队。但它也应该用作风险的领先指标：如果等待时间减少，风险就会增加。

五、逃逸率

最后一个基线是衡量风险如何在您的环境中迁移。特别是，它衡量风险从某种安全控制状态的环境转移到具有较低控制状态的环境的速率。例如，风险从开发环境转移到生产环境的速度。换句话说：逃逸率指风险“逃脱”的速度。现代软件开发团队正在提高他们的发布速度。这也会增加逃逸率，除非您的安全程序能够在不降低代码发布速度的情况下降低逃逸率。

总结

每位CISO都应该能够熟练应用上述五个BOOM框架的安全基线，查看指标随时间的变化，并及时调整安全策略来改进这些指标。使用这些基线开始为您的安全策略设定目标，并使用指标来阐明信息风险偏好。只有能够不断改进这些指标的安全工具和解决方案才是真正能够提高IT环境安全性的有效安全投资。