本文讲的是 威胁情报成熟度模型,衡量一个公司的安全能力有两个关键标准。其一是平均检测时间(MTTD:Mean-Time-to-Detect),这是公司发现一个真正有风险的威胁所用的平均时间,其中包含了更进一步的分析和响应。其二是平均响应时间(MTTR:Mean-Time-to-Respond),也就是公司全面分析威胁并平息任何可能的风险所用的平均时间。
“很多公司的运营中,MTTD和MTTR可高达数周或数月之久。”威胁情报企业LogRhythm首席技术官克里斯·彼得森彼得森说认为,已经被攻入的企业在这段时间里是处于很高的风险之中的。如果他们想减小风险,就必须改善这两个关键指标——从数周或数月降低至数小时到数天,最理想状态是在数分钟到数小时之间。
Trustwave是面向企业和公共部门提供信息安全性与合规性管理解决方案的公司,通过分析全球691起数据泄露调查,Trustwave了解到:71%的受害者甚至不是自己发现的数据泄露。通常是执法机构和其他第三方组织通告遭泄露的公司这一噩耗。这一特定研究中,MTTD是87天,MTTR是一周。根据Trustwave的说法,自我侦测出威胁可以缩短从侦测到遏制的时间间隔——从14天缩短到1天。
公司企业缩短MTTD和MTTR的关键在于采用安全情报,彼得森说。“正如商业情报帮助无数公司拨开那太多看起来毫无关联的商业数据制造的迷雾,找出之前没有发现的商机那般,安全情报对威胁信息所做的事大体与之相同。它能使公司清晰看到真正重要的威胁。安全情报的主要目标,是在正确的时间,采用合适的上下文,传达正确的信息,以便显著缩短检测和响应破坏性网络威胁所需要的时间。
在一篇详细介绍了安全情报成熟度模型(SIMM:Security Intelligence Maturity Model)的新白皮书中,彼得森描述了安全情报的重要性,以及那两个主要指标和怎样降低它们的方法。这个模型与美国国防部网络安全成熟度模型很相似。(点击左下角“阅读原文”可获取白皮书下载地址)
LogRhythm的SIMM模型描述了安全情报能力以及组织结构和风险特性的多个不同阶段,这些东西可以决定一家公司对减小有害数据泄露的可能性准备得有多充分(或者多不充分)。随着公司安全情报成熟度水平的上升,它检测和缓解威胁的能力也在上升,降低MTTD、MTTR和公司总体风险状况的能力自然随之上升。
安全情报成熟度模型是在那份白皮书的一张扩展表里描述的。不过,这里有个成熟度水平及其含义的样本:
- 级别 0:盲视——MTTD以月计,MTTR以周或月计。有基本的防火墙和反病毒软件,但没人真正关注威胁指标,也没有正规的事件响应流程。如果这家公司掌握着国家或网络罪犯感兴趣的知识产权,那它很可能早已被盗。
- 级别 1:最小合规——MTTD以周或月计,MTTR以周计。公司做了必须做的事情以符合法规要求。高风险的区域可能接受了更细致的安全审查,但公司基本上还是对内部和外部的威胁视而不见。敏感知识产权有可能被盗。
- 级别 2:安全合规——MTTD和MTTR都以小时或天计。公司部署了足够的安全情报措施,不仅仅是“划勾式”合规,而是有着改进的安全保障。对一些威胁有承受能力,但还是对高级威胁毫无办法。
- 级别 3:警醒——MTTD和MTTR以小时计。公司有强大的检测和响应威胁的能力。它可以通过全方位监控的仪表板主动搜寻风险。能承受大部分威胁,甚至那些借助高级持续性威胁功能的类型。
- 级别 4:承受力强——MTTD和MTTR以分钟计。公司有着全面的安全情报能力和24小时不间断的安全运营中心(SOC)。尽管是高价值目标,仍能禁得起最极端类型对手的冲击。
每家公司都需要根据自身的风险容许度评估适合自己的安全成熟度水平。不是每家公司都需要达到第4级。举个例子,预算有限而风险容许度较高的公司就可以藉由达到第2级安全成熟度水平而获得风险态势上的较大改善。
随着网络威胁被打上事关国家安全的标签,对公司而言很重要的一件事就是保持自身安全成熟度的不断增长并降低自身整体风险态势。
