25 yılı aşkın riskleri azaltma, uyum sağlama ve Fortune 500 şirketleri için sağlam güvenlik programları oluşturduktan sonra, bunu öğrendim Meşgul görünmek güvenli olmakla aynı şey değildir.
Meşgul siber güvenlik liderlerinin düşmesi kolay bir tuzak. Harcadığımız muazzam çabaların bir hikayesini anlatan metriklere güveniyoruz – kaç güvenlik açığı yamaladığımız, ne kadar hızlı yanıt verdiğimiz – ancak genellikle güvenlik açığı yönetimi metrikleri operasyonel metriklerle ilişkilendiriliyor, çünkü geleneksel güvenlik açığı yönetimini ölçme ve uygulama konusundaki geleneksel yaklaşımlar aslında riski azaltmıyor. Bu nedenle, geleneksel 30/60/90 günlük yama yöntemi altında kaç yama uygulandığını bildirmenin çeşitli yollarına başvuruyoruz.
Bunları diyorum makyaj metrikleri: Raporlarda etkileyici görünen ancak gerçek dünyadaki etkileri olmayan sayılar. Güvence sunarlar, ancak içgörüler sunmazlar. Bu arada, tehditler daha sofistike büyümeye devam ediyor ve saldırganlar ölçmediğimiz kör noktalardan yararlanıyor. Ölçüm ve anlam arasındaki bu bağlantının kuruluşları nasıl açıklayabileceğini ilk elden gördüm.
Bu makalede, vanity metriklerinin bugünün karmaşık ortamlarını korumak için neden yeterli olmadığını ve neden ölçmeyi durdurmanın zamanı geldiğini açıklayacağım aktivite ve ölçmeye başla verimlilik.
Drill Down: Vanity metrikleri nedir?
Vanity metrikleri, bir raporda iyi görünen ancak çok az stratejik değer sunan sayılardır. İzlemesi kolay, sunumu basit ve genellikle aktivite göstermek için kullanılırlar – ancak genellikle gerçek risk azaltma yansıtmazlar. Genellikle üç ana türe girerler:
- Hacim metrikleri – Bunları saymak: uygulanan yamalar, keşfedilen güvenlik açıkları, taramalar tamamlandı. Bir üretkenlik duygusu yaratırlar, ancak iş etkisi veya risk alaka düzeyinden bahsetmezler.
- Risk bağlamı olmayan zamana dayalı metrikler – Ortalama ortalama tespit süresi (MTTD) veya düzeltme ortalama süresi (MTTR) gibi metrikler etkileyici gelebilir. Ancak, kritikliğe dayalı önceliklendirme olmadan, hız sadece “ne” değil “ne değil.
- Kapsam metrikleri – “Varlıkların% 95’i tarandı” veya “güvenlik açıklarının% 90’ı” gibi yüzdeler kontrol yanılsaması verir. Ancak% 5’in kaçırıldığı sorusunu ve en önemli olanlar olup olmadıklarını görmezden gelirler.
Vanity metrikleri doğal olarak yanlış değil – ama tehlikeli bir şekilde eksik. Hareketi izliyorlar, anlam değil. Ve eğer tehdit alaka düzeyine veya kritik kritik varlıklara bağlı değillerse, tüm güvenlik stratejinizi sessizce zayıflatabilirler.
Vanity Metrikleri: İyiden Daha Fazla Zarar
Makyaj metrikleri güvenlik raporlarına hakim olduğunda, iyi olmaktan daha fazla zarar verebilirler. Kritik maruziyetlere el değmemişken, organizasyonların zaman içinde yantığını ve yönetici brifinglerinde harika görünen bütçeleri kovaladığını gördüm.
Vanity metriklerine güvendiğinizde ne yanlış gidiyor?
- Yanlış çaba – Takımlar neyin düzeltilmesi kolay veya neyin bir metriği hareket ettirdiğine odaklanır, riski gerçekten azaltan şey değil. Bu, olan arasında tehlikeli bir boşluk yaratır Tamamlandı Ve ne yapılması gerekiyor.
- Yanlış güven -Yukarı yönlü grafikler, kuruluşun güvenli olduğuna inanmak için liderliği yanıltabilir. Bağlam olmadan – sömürülebilirlik, saldırı yolları – bu inanç kırılgandır ve maliyetli olabilir.
- Kırık önceliklendirme – Bağlamsız büyük güvenlik açığı listeleri yorgunluğa neden olur. Yüksek riskli sorunlar gürültüde kolayca kaybolabilir ve iyileştirme en önemli olduğu yerde gecikebilir.
- Stratejik durgunluk – Etki üzerinde ödül aktivitesini rapor ederken, inovasyon yavaşlar. Program reaktif hale gelir – her zaman meşgul, ancak her zaman daha güvenli değildir.
Parlayan KPI’larla dolu ortamlarda ihlallerin meydana geldiğini gördüm. Nedeni? Bu KPI’lar gerçeğe bağlı değildi. Gerçek iş riskini yansıtmayan bir metrik sadece anlamsız değildir – tehlikelidir.
Anlamlı metriklere geçmek
Vanity metrikleri bize neler yapıldığını söylerse, anlamlı metrikler bize söyleyin Önemli olan. Odak noktasını değiştiriyorlar aktivite ile darbe – Güvenlik ekiplerine ve iş liderlerine ortak bir risk anlayışı vermek.
Anlamlı bir metrik net bir formülle başlar: Risk = olasılık × etki. Sadece “hangi güvenlik açıkları var?” – “Bunlardan hangisinin en kritik varlıklarımıza ulaşmak için sömürülebileceği ve sonuçları ne olurdu?” Anlamlı metriklere geçiş yapmak için raporunuzu beş temel metrik etrafında tutmayı düşünün:
- Risk Puanı (İş Etkisine Bağlı) – Anlamlı bir risk puanı sömürülebilirliği, varlık kritikliğini ve potansiyel etkiyi ağırlar. Maruziyetler değiştikçe veya tehdit istihbaratı değiştikçe dinamik olarak gelişmelidir. Bu puan, liderliğin güvenliği iş açısından anlamasına yardımcı olur – kaç güvenlik açığı var değil, anlamlı bir ihlale ne kadar yakın olduğumuzu.
- Kritik varlık maruziyeti (zamanla izlenir) – Tüm varlıklar eşit değildir. Hangi iş açısından kritik sistemlerinizin şu anda maruz kaldığını ve bu pozlamanın nasıl trend olduğunu bilmeniz gerekir. En önemli altyapınız için riski mi azaltırsınız yoksa sadece düşük etkili düzeltmelerde döngüleri döndürüyor musunuz? Bunu zamanla izlemek, güvenlik programınızın gerçekten doğru boşlukları kapatıp kapatmadığını gösterir.
- Saldırı Yolu Haritalama – Güvenlik açıkları tek başına mevcut değildir. Saldırganlar, yüksek değerli hedeflere ulaşmak için maruziyetleri – yanlış yakınlaştırmalar, aşırı ayrı kimlikler, açılmamış CVES – bir araya getirir. Bu yolları haritalamak, bir saldırganın ortamınızdan nasıl geçebileceğini gösterir. Sadece bireysel sorunlara değil, aynı zamanda bir tehdit oluşturmak için nasıl birlikte çalıştıklarına da öncelik vermeye yardımcı olur.
- Pozlama sınıfı dökümü – Ne tür maruziyetlerin en yaygın ve en tehlikeli olduğunu anlamanız gerekir. İster kimlik bilgisi kötüye kullanımı, ister eksik yamalar, açık bağlantı noktaları veya bulut yanlış yapılandırmaları olsun, bu arıza hem taktik yanıtı hem de stratejik planlamayı bilgilendirir. Riskinizin% 60’ı, örneğin kimlik temelli maruziyetlerden kaynaklanıyorsa, bu yatırım kararlarınızı şekillendirmelidir.
- Kritik maruziyetler için ortalama iyileştirme süresi (MTTR) – Ortalama MTTR kusurlu bir metriktir. Kolay düzeltmelerle sürüklenir ve zorlu sorunları göz ardı eder. Önemli olan, sizi gerçekten riske atan maruziyetleri ne kadar hızlı kapattığınızdır. Kritik maruziyetler için MTTR – sömürülebilir saldırı yollarına veya taç -jewel varlıklarına bağlı olanlar – operasyonel etkinliği gerçekten tanımlayan şeydir.
Birlikte ve sürekli olarak güncellenen anlamlı metrikler size bir anlık görüntüden daha fazlasını verir – tehdit maruziyetinizin canlı ve bağlamsal bir görünümünü sağlarlar. Güvenlik raporlarını görev izlemeden stratejik anlayışa yükseltiyorlar. Ve en önemlisi, hem güvenlik ekiplerine hem de iş liderlerine riskle bilgilendirilmiş kararlar vermek için ortak bir dil veriyorlar.
Sonuçta
Vanity metrikleri konfor sunar. Gösterge tablolarını doldururlar, yönetim kurulu odalarında etkileyici yaparlar ve ilerleme önerirler. Ancak gerçek dünyada – tehdit aktörlerinin geçen ay kaç tane yamayı uyguladığınız umurunda olmadığı – çok az koruma sunuyorlar.
Gerçek güvenlik, ölçülmesi kolay olanı izlemekten gerçekte neyin önemli olduğuna odaklanmaya geçiş gerektirir. Bu, iş riskine dayanan metrikleri kucaklamak anlamına gelir. Ve burada sürekli tehdit maruziyet yönetimi (CTEM) gibi çerçeveler devreye giriyor. CTEM, kuruluşlara statik güvenlik açığı listelerinden dinamik, öncelikli eyleme geçme yapısı verir. Ve sonuçlar zorlayıcı – Gartner projeleri 2026 yılına kadar CTEM uygulayan kuruluşların ihlalleri üçte ikisi azaltabileceği.
Seçtiğiniz metrikler, karşılaştığınız konuşmaları ve özlediklerinizi şekillendirir. Vanity metrikleri herkesi rahat tutar. Anlamlı metrikler daha zor soruları zorlar, ancak sizi gerçeğe yaklaştırırlar. Çünkü düzgün ölçmüyorsanız riski azaltamazsınız.
Not: Bu makale, XM Cyber’da ikamet eden Ciso Jason Fruge tarafından ustaca yazılmıştır.