如何衡量企業網路安全方案的效果： 要思考的五大問題

要衡量企業資安措施的成效，只要瞭解企業採用的方案與同業其他公司相較之下表現如何，就能知道哪些關鍵之處有待改進或需要更多投入。 

網路安全機制有沒有成效往往難以證明： 如果貴公司只是進行網路防禦，也恰好沒有任何事端發生，到底是因為明智還是幸運？ 瞭解貴公司的防禦成效是改進網路安全機制重要的一大步。 

雖然新的攻擊程式或零時差攻擊會躍上新聞頭條，但資料外洩最常見的根本原因其實一點也不新鮮，而且可以預料。 根據 Tenable Research 的 2020 年威脅態勢回顧，這些原因包括：

• 存在已久、至今未修復的弱點

• 管理不彰及設定過程錯誤

• 資產追蹤不足


瞭解弱點管理流程是評估網路風險的基本功

掃描企業環境並以排定優先順序的方式來消除無法承擔的風險，是任何有效安全方案都必須具備的兩大支柱。  但企業往往對作業流程缺乏全盤性的瞭解。 企業必須能夠在彈指間運用兩大重要衡量指標：

• 評估成熟度： 這項指標能讓企業深入剖析掃描流程，確保團隊在面對不斷變遷的攻擊破綻時，能夠精準洞悉全局

• 修復成熟度： 這項指標能讓企業評估其緩解重大風險的及時性和積極度


從同業指標可看出哪些方面需要投入關鍵資本

這些弱點管理流程指標本身並不能提供企業所需的全部資訊，還需要明察秋毫，結合同業分組的大背景洞察這些指標的具體內涵。 無論貴公司屬於哪個產業，必定都不希望自己敬陪末座。 但如果不進行同業指標分析，就很難知道本身與其他公司相較表現如何。

請想一想公司網路安全機制的基礎 (評估和修復)，您必須清楚：

1. 我們公司表現如何？

2. 我們公司與同業相較如何？
3. 我們公司應該採取哪些具體的改進措施？ 


這些問題的答案將能協助您瞭解及傳達各個內部事業單位以及與同業其他公司相較之下的表現，從而方便申請預算及分配資源。 這就好比教授用常態分佈的曲線來幫您打分，讓您知道該考幾分才能拿到班上的 “A” 級。

評判企業安全方案成熟度所需思考的五大問題

1. 貴公司多久掃描一次絕大多數的資產？


這也是貴公司開啟成熟度之旅的起點。  只要能明確回答這個問題，就表示您已經開始瞭解公司內部有哪些資源、常理而言需完成哪樣工作，以及您可以得知哪些重大指標。


• 
有了掃描措施之後，您還應該尋求下列問題的解決之道：
• 貴公司定期掃描的資產在整個環境中佔了多少比例？

• 兩次掃描之間大約相隔多久？

• 這些措施的實施是否因不同的業務單位或據點而異？ 

• 掃描區域是否按資產對業務之關鍵性、資產類型、資產所在地理位置或任何其他因素加以劃分？ 

• 各類掃描的服務等級協議 (SLA) 有哪些規定？ 



掃描週期 (兩次掃描之間相隔的時間) 越長，弱點隱身及未修補的時間也就越長。  您不僅需要將風險加以量化，還必須很快分辨出這些風險。 提供您一個概念，根據 Tenable Research 的報告，企業平均大約每四天掃描一次資產。

2. 貴公司擷取到的未解決弱點佔了多少百分比？



身分驗證是第一個分流點。 看不見的東西無法量化。 既然目標是降低風險，那麼隨時隨地進行身分驗證絕對有必要。 歸根究柢，盡可能深入廣泛的評估資產是瞭解風險所在、哪些資產/業務單位受到影響以及企業該怎麼修復及降低風險等不可或缺的一環。 如果不知道範圍、關鍵性、影響和作業需求，就根本無法有效的管理風險並設立更成熟的方案，更遑論妥善解決及降低往後的風險。 Tenable Research 研究結果顯示，經認證的掃描所偵測出來的資產弱點數量平均是未經認證掃描的 45 倍；然而，有將近 60% 的企業資產在掃描時未使用本機憑證，因而造成漏報。 


3. 貴公司解決高風險弱點的速度有多快？


根據 Tenable 2021 年弱點情資報告，2020 年發現的新弱點有 18,358 個。 但其中只有 5.2% 具有可被利用的公開攻擊程式。 企業必須率先修復最重要的弱點。 如果要以最高效率且最有效的方式降低風險，就必須瞭解每當在對各業務單位具有高度重要性或重大意義的資產中發現高風險弱點時，企業修復弱點的速度有多快。 要瞭解弱點造成的威脅性質，就需要深入瞭解弱點的特性，知道攻擊者為何對這些弱點情有獨鍾，同時也要獲得威脅情資，進而分析及洞察因該弱點遭到猖獗利用而發生的攻擊事件。 企業已無餘裕將資源浪費在只有低度威脅或完全無威脅性的弱點上。

4. 設有端點保護機制的資產佔了多少百分比？


端點安全是眾多防禦措施中不可或缺的一環。  企業必須知道自身系統是否已安裝安全程式，以及這些資產上是否裝有未經授權或可能具有危險性的軟體。 但這不只是惡意軟體的問題；例如，Telnet 按規定不得在任何公司系統上使用時，開放 Telnet 等行為就涉嫌違規。 如果企業不思考這個問題，可能就無法得知所有必要位置是否妥當設置了管控措施。 這個問題無處不在。 由 Tenable 委託 Forrester Consulting 進行的研究顯示，只有 44% 的資訊安全主管表示自家公司對其最關鍵資產的安全性具備充分的能見度。


5. 貴公司主要業務單位的網路風險有沒有在降低？


Forrester 研究報告也顯示，10 位資安主管中，只有 4 位能充滿自信地回答「我們有多安全或多危險」這個問題。 這個問題乍聽之下簡單，卻會使缺乏正確情資和指標的人啞口無言。 
就管理面而言，瞭解所有業務單位 (各部門、據點、資產類型等) 的風險是否在降低符合企業整體目標，並可彰顯安全方案編列預算的價值和投報率。 就策略面而言，思考這個問題可讓領導階層日復一日的制定更明智的決策，即安全方案在什麼領域效果最好 (進而沿用到其他領域) 以及在什麼領域效果不彰。 就戰術面而言，負責修復和修補弱點的員工必須瞭解他們投入的心力如何推動特定業務單位朝正確方向發展，以及如何往上傳達給管理鏈的高階主管。 

企業如果無法針對這些問題交出明確的答案，可能就無法得知其做法是否真的能降低風險。 而且，還可能會忽略某些需要盡力降低風險的領域，或因為無法降低風險而致使企業其他領域陷入風險之中。 

提高安全方案的規格以降低企業的 Cyber Exposure

實實在在的剖析這五大問題的解決之道，企業就能以安全情資、網路風險和流程完整指標為基準，藉此衡量長期的改進措施成效，促使安全方案取得成功。 接著是比較內部團隊之間以及自身與同業其他公司的安全指標，這麼做可以找出需要改進的關鍵部分。例如，公司會計部門的身分驗證掃描範圍可能不夠廣；或是公司的整體安全方案與同業其他公司相較，修復重大問題的速度可能不夠快等等。


無論企業的安全方案成熟度處於何種階段，Tenable 都能自動追蹤這些關鍵流程指標並指出缺失，讓企業確定需要在哪方面額外投入資金和心力，才能盡量降低最多的風險。 唯有綜觀全局，企業才能著手排定修復措施的優先順序，並化被動防禦為主動出擊，積極修復那些最顯而易見也最有可能遭到攻擊者利用的破綻。 

深入瞭解

• 檢視資訊圖表： 評判企業安全方案成熟度所需思考的五大問題
• 閱讀白皮書：計算已知和未知的風險：Cyber Exposure Score 背後的數學
• 觀看影片：使用 Tenable Lumin 衡量方案效果
• 深入瞭解 Tenable 如何提供協助：申請示範