Web 应用程序的网络安全指标

安全资讯 小布 537浏览 0评论

中小型企业能够以非常直接的方式管理其信息安全,包括 Web 应用程序安全。资产、漏洞和事件的数量足够少,安全经理能够清楚地了解 IT 安全状况。但是,随着您业务的增长和安全团队的扩大,您的安全管理方法将越来越需要依赖网络安全指标/KPI。

随着您的企业发展成为企业或公司,网络安全将一直延伸到董事会层面。您的业​​务领导者很可能不仅包括 CIO 和/或 CSO,还包括负责整个网络安全计划的 CISO(首席信息安全官)。他们的角色将专注于与风险评估和风险管理相关的决策,他们将无法进入信息技术细节,例如 Web漏洞管理数据。在这里,有效的安全指标计划成为组织安全的关键——它成为网络安全专家、整个 IT 团队和业务专家之间的沟通方式。

开始考虑指标

如果您负责小型企业的 Web 应用程序安全,那么尽早开始考虑 Web 应用程序的网络安全指标是个好主意,而不仅仅是在您被要求将它们提供给董事会成员时。不幸的是,其中一些指标需要的不仅仅是打印漏洞扫描的管理报告。

以下是您可能需要向最高管理层提供的与 Web 应用程序安全相关的最典型的网络安全指标。请注意,所有这些指标都应作为最新值和时间趋势进行监控。

漏洞总数

最明显和最容易获得的 Web 应用程序安全指标是发现的漏洞总数——使用自动漏洞扫描和进一步的手动渗透测试。但是,由于 Web 漏洞的后果可能非常不同,因此将它们细分为严重性等级很有用。

由于自动漏洞评估功能, 报告机制对于提供此指标非常有用。该工具根据潜在影响、易于利用等的严重程度自动对漏洞进行分类。

但是,您的 CISO 可能希望根据 Web 资产的业务影响对漏洞进行分类——例如,小型营销网站中的主要漏洞的影响可能比主要金融系统中的次要漏洞的影响要小得多。布尔云安 也可以帮助您进行监控,但您需要手动输入基线数据。因此,您应该不断评估每个 Web 资产的业务影响,并在 布尔云安 中将其作为扫描目标的参数进行修改。

反复出现的漏洞

重复发生的漏洞数量是衡量修复过程效率以及开发人员教育质量的一个非常重要的衡量标准。如果在多次连续的漏洞扫描期间重新发现同一网络资产中的相同漏洞,则意味着它没有得到修复。它没有得到修复的事实通常意味着没有足够的资源来修复它,这对董事会来说可能很重要。

另一方面,如果漏洞被修复,然后在相同或相似的目标中不断重现,则可能意味着开发人员教育和总体安全性能存在问题。这可以通过在 SDLC 早期引入 Web 漏洞扫描来解决,但同样,这对董事会来说是一个重要信号,因为它会影响所有安全操作。

平均修复时间

另一个重要的指标(再次细分为不同的严重性等级很有用)是修复漏洞通常所需的时间。此响应时间数据可以直接从扫描器(首次发现漏洞和最后一次出现此漏洞之间的时间)或从漏洞管理/问题跟踪工具获取。

与重复发生的漏洞数量类似,该指标旨在向最高管理层展示修复效率的当前状态和趋势。例如,如果平均修复时间不断增加,则意味着开发人员的负担过重,应采取措施减少需要简单修补以外的问题的数量。

修复成本

最高管理层非常关注 IT 预算,因此直接的财务信息对他们来说非常有价值。不幸的是,获取有关修复成本的数据并不像以前的测量那样容易,因为它不能直接从漏洞扫描程序获取。漏洞扫描器可以评估修复漏洞需要多长时间,但它无法评估漏洞在队列中停留的时间以及开发人员修复它实际需要多少时间和精力。

估算修复成本的最简单方法是评估开发人员在修复上花费的实际时间,这需要直接从问题跟踪系统中获取。成本评估将基于平均开发人员劳动力成本。

网络安全事件数量

除了潜在的网络威胁和攻击媒介(例如 Web 应用程序漏洞)之外,最高管理层还必须了解与这些潜在网络攻击媒介相关的任何网络安全事件。这些信息对于维持有效的风险管理计划是必要的。

Web 漏洞扫描完全侧重于预防,因此必须从其他类型的系统(例如 Web 应用程序防火墙或入侵检测系统)获取事件数据。

虽然之前的指标显示了自有资产的质量(从网络安全的角度来看),但该指标显示了实际损失的可能性,例如数据泄露造成的损失。这些数据可帮助最高管理层做出与网络风险相关的决策,例如,帮助他们决定是否在事件响应或预防措施上投入更多资金。

其他安全控制和指标

上述指标不是行业标准——它们只是您的最高管理层可能需要的数据类型的示例。实际指标和 KPI 因组织而异,具体取决于公司规模、资产类型,甚至最高管理层的方法。

尽早了解这些措施并准备使用例如具有广泛报告功能的扫描来来收集它们,对于成长型企业中的任何管理级安全专业人员来说都是一个好主意。

转载请注明:布尔云安的博客 » Web 应用程序的网络安全指标

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址