Как продвигается ваша программа управления уязвимостями? Эффективна ли она? Успешна ли? Давайте будем честными, без правильных показателей или аналитики, как вы можете определить, насколько хорошо у вас идут дела, прогрессируете ли вы или получаете ли рентабельность инвестиций? Если вы не проводите измерения, откуда вы знаете, что это работает?
И даже если вы проводите измерения, неправильная отчетность или сосредоточение внимания на неправильных показателях могут создать слепые зоны и затруднить информирование о любых рисках для остальной части бизнеса.
Итак, как вы узнаете, на чем сосредоточиться? Кибергигиена, охват сканированием, среднее время исправления, серьезность уязвимостей, частота исправлений, подверженность уязвимостям… список бесконечен. Каждый инструмент на рынке предлагает разные показатели, поэтому бывает трудно понять, что важно.
Эта статья поможет вам определить ключевые показатели, необходимые для отслеживания состояния вашей программы управления уязвимостями, достигнутого прогресса, чтобы вы могли создавать отчеты, готовые к аудиту, которые:
С помощью правильной аналитики вы можете увидеть, какие проблемы являются более важными, расставить приоритеты в том, что нужно исправить в первую очередь, и измерить прогресс в ваших усилиях. В конечном счете, правильные показатели позволяют вам принимать обоснованные решения, поэтому вы распределяете ресурсы по нужным местам.
Количество обнаруженных уязвимостей всегда является хорошей отправной точкой, но само по себе оно мало о чем говорит – с чего начать без расстановки приоритетов, рекомендаций и прогресса? Поиск, приоритизация и устранение наиболее критичных уязвимостей гораздо важнее для вашей бизнес-деятельности и безопасности данных, чем простое обнаружение каждой уязвимости.
Интеллектуальная расстановка приоритетов и отфильтровывание помех важны, потому что не заметить подлинные угрозы безопасности слишком легко, когда вы перегружены несущественной информацией. Интеллектуальные результаты облегчают вашу работу, расставляя приоритеты в вопросах, которые оказывают реальное влияние на вашу безопасность, не обременяя вас несущественными недостатками.
Например, ваши системы, подключенные к Интернету, являются самой легкой мишенью для хакеров. Определение приоритетности проблем, которые делают это уязвимым, упрощает минимизацию поверхности атаки. Такие инструменты, как Intruder, упрощают управление уязвимостями даже для неспециалистов, объясняя реальные риски и предоставляя рекомендации по устранению на понятном языке. Но помимо расстановки приоритетов, что еще вы должны или могли бы измерять?
Пример страницы отчета Злоумышленника об управлении уязвимостями
Поскольку ваша поверхность атаки развивается, меняется и растет с течением времени, важно отслеживать любые изменения в том, что покрывается, и в вашей ИТ-среде, например, в недавно открытых портах и службах. Современный сканер обнаружит развертывания, о которых вы, возможно, не знали, и предотвратит непреднамеренное раскрытие ваших конфиденциальных данных. ИТ-отдел также должен отслеживать изменения в ваших облачных системах, обнаруживать новые ресурсы и автоматически синхронизировать ваши IP-адреса или имена хостов с облачными интеграциями.
Например, когда вы готовитесь к аудиту SOC2 или ISO и видите критический риск, вы можете быть готовы принять его, потому что ресурсы, необходимые для его устранения, не оправданы фактическим уровнем риска или потенциальным воздействием на бизнес. Конечно, когда дело доходит до отчетности, ваш технический директор может захотеть узнать, сколько проблем откладывается и почему!
Что это означает на практике? Если поверхность атаки увеличивается, вы можете обнаружить, что вам потребуется больше времени для всестороннего сканирования всего, и ваше среднее время обнаружения также может увеличиться. И наоборот, если ваше среднее время обнаружения остается неизменным или сокращается, вы эффективно используете свои ресурсы. Если вы начинаете видеть обратное, вам следует спросить себя, почему на обнаружение уходит больше времени? И если ответ заключается в том, что количество атак увеличилось, возможно, вам нужно больше инвестировать в свой инструментарий и команду безопасности.
Почему это важно? Потому что, когда вы обнаруживаете проблему, вы хотите иметь возможность исправить ее как можно быстрее. Такие инструменты, как Intruder, используют несколько механизмов сканирования для интерпретации выходных данных и приоритизации результатов в соответствии с контекстом, так что вы можете сэкономить время и сосредоточиться на том, что действительно важно.
При обнаружении новой уязвимости, которая может критически повлиять на ваши системы, Intruder автоматически начнет сканирование
Почему это важно? Ваша поверхность атаки неизбежно будет развиваться с течением времени, от открытых портов до запуска новых облачных инстансов, вам необходимо отслеживать эти изменения, чтобы свести к минимуму вашу уязвимость. Вот тут-то и пригодится наше обнаружение поверхности атаки. Количество новых сервисов, обнаруженных за указанный период времени, помогает вам понять, увеличивается ли количество атак (намеренно или нет).
И даже если вы проводите измерения, неправильная отчетность или сосредоточение внимания на неправильных показателях могут создать слепые зоны и затруднить информирование о любых рисках для остальной части бизнеса.
Итак, как вы узнаете, на чем сосредоточиться? Кибергигиена, охват сканированием, среднее время исправления, серьезность уязвимостей, частота исправлений, подверженность уязвимостям… список бесконечен. Каждый инструмент на рынке предлагает разные показатели, поэтому бывает трудно понять, что важно.
Эта статья поможет вам определить ключевые показатели, необходимые для отслеживания состояния вашей программы управления уязвимостями, достигнутого прогресса, чтобы вы могли создавать отчеты, готовые к аудиту, которые:
- Докажите свою надежность в области безопасности
- Соблюдайте SLA и контрольные показатели по устранению уязвимостей
- Помогают проходить аудиты и соответствовать требованиям
- Продемонстрируйте рентабельность инвестиций в инструменты безопасности
- Упрощение анализа рисков
- Расставьте приоритеты в распределении ресурсов
Почему вам нужно измерять управление уязвимостями
Показатели играют решающую роль в оценке эффективности вашей уязвимости и управлении поверхностью атаки. Измерение того, насколько быстро вы обнаруживаете, расставляете приоритеты и устраняете недостатки, позволяет вам постоянно отслеживать и оптимизировать свою безопасность.С помощью правильной аналитики вы можете увидеть, какие проблемы являются более важными, расставить приоритеты в том, что нужно исправить в первую очередь, и измерить прогресс в ваших усилиях. В конечном счете, правильные показатели позволяют вам принимать обоснованные решения, поэтому вы распределяете ресурсы по нужным местам.
Количество обнаруженных уязвимостей всегда является хорошей отправной точкой, но само по себе оно мало о чем говорит – с чего начать без расстановки приоритетов, рекомендаций и прогресса? Поиск, приоритизация и устранение наиболее критичных уязвимостей гораздо важнее для вашей бизнес-деятельности и безопасности данных, чем простое обнаружение каждой уязвимости.
Интеллектуальная расстановка приоритетов и отфильтровывание помех важны, потому что не заметить подлинные угрозы безопасности слишком легко, когда вы перегружены несущественной информацией. Интеллектуальные результаты облегчают вашу работу, расставляя приоритеты в вопросах, которые оказывают реальное влияние на вашу безопасность, не обременяя вас несущественными недостатками.
Например, ваши системы, подключенные к Интернету, являются самой легкой мишенью для хакеров. Определение приоритетности проблем, которые делают это уязвимым, упрощает минимизацию поверхности атаки. Такие инструменты, как Intruder, упрощают управление уязвимостями даже для неспециалистов, объясняя реальные риски и предоставляя рекомендации по устранению на понятном языке. Но помимо расстановки приоритетов, что еще вы должны или могли бы измерять?
Пример страницы отчета Злоумышленника об управлении уязвимостями
5 лучших показателей для каждой программы управления уязвимостями
Охват сканирования
Что вы отслеживаете и сканируете? Охват сканированием включает все активы, которые вы покрываете, и аналитику всех критически важных для бизнеса активов и приложений, а также тип предлагаемой аутентификации (например, на основе имени пользователя и пароля или без проверки подлинности).Поскольку ваша поверхность атаки развивается, меняется и растет с течением времени, важно отслеживать любые изменения в том, что покрывается, и в вашей ИТ-среде, например, в недавно открытых портах и службах. Современный сканер обнаружит развертывания, о которых вы, возможно, не знали, и предотвратит непреднамеренное раскрытие ваших конфиденциальных данных. ИТ-отдел также должен отслеживать изменения в ваших облачных системах, обнаруживать новые ресурсы и автоматически синхронизировать ваши IP-адреса или имена хостов с облачными интеграциями.
Среднее время исправления
Время, необходимое вашей команде для устранения критических уязвимостей, показывает, насколько оперативно ваша команда реагирует на результаты любых обнаруженных уязвимостей. Этот показатель должен быть неизменно низким, поскольку команда безопасности несет ответственность за решение проблем и доведение сообщений и планов действий по исправлению до руководства. Он также должен основываться на вашем заранее определенном SLA. Серьезность уязвимости должна соответствовать относительному или абсолютному периоду времени для планирования и устранения.Оценка риска
Серьезность каждой проблемы автоматически рассчитывается вашим сканером, обычно она критическая, высокая или средняя. Если вы решаете не исправлять конкретную уязвимость или группу уязвимостей в течение указанного периода времени, это означает принятие риска. С Intruder вы можете отложить решение проблемы, если готовы принять риск и существуют смягчающие факторы.Например, когда вы готовитесь к аудиту SOC2 или ISO и видите критический риск, вы можете быть готовы принять его, потому что ресурсы, необходимые для его устранения, не оправданы фактическим уровнем риска или потенциальным воздействием на бизнес. Конечно, когда дело доходит до отчетности, ваш технический директор может захотеть узнать, сколько проблем откладывается и почему!
Проблемы
В этом суть от обнародования уязвимости до сканирования всех целей и обнаружения любых проблем. По сути, это вопрос о том, насколько быстро обнаруживаются уязвимости в вашей среде атаки, чтобы вы могли их исправить и сократить окно возможностей для злоумышленника.Что это означает на практике? Если поверхность атаки увеличивается, вы можете обнаружить, что вам потребуется больше времени для всестороннего сканирования всего, и ваше среднее время обнаружения также может увеличиться. И наоборот, если ваше среднее время обнаружения остается неизменным или сокращается, вы эффективно используете свои ресурсы. Если вы начинаете видеть обратное, вам следует спросить себя, почему на обнаружение уходит больше времени? И если ответ заключается в том, что количество атак увеличилось, возможно, вам нужно больше инвестировать в свой инструментарий и команду безопасности.
Измерение прогресса
Расстановка приоритетов – или разумные результаты – важна для того, чтобы помочь вам решить, что исправить в первую очередь, из-за ее потенциального влияния на ваш бизнес. Злоумышленник отфильтровывает шум и помогает уменьшить количество ложных срабатываний, что является ключевым показателем для отслеживания, потому что, как только вы уменьшите количество шума, вы сможете вернуться назад и сосредоточиться на самом важном показателе – среднем времени исправления.Почему это важно? Потому что, когда вы обнаруживаете проблему, вы хотите иметь возможность исправить ее как можно быстрее. Такие инструменты, как Intruder, используют несколько механизмов сканирования для интерпретации выходных данных и приоритизации результатов в соответствии с контекстом, так что вы можете сэкономить время и сосредоточиться на том, что действительно важно.
При обнаружении новой уязвимости, которая может критически повлиять на ваши системы, Intruder автоматически начнет сканирование
Мониторинг поверхности атаки
Это помогает вам увидеть процент активов, которые защищены на вашей поверхности атаки, обнаруженных или неоткрытых. По мере того, как ваша команда запускает новые приложения, сканер уязвимостей должен проверять, когда открывается доступ к новой службе, чтобы вы могли предотвратить непреднамеренное раскрытие данных. Современные сканеры отслеживают изменения в ваших облачных системах, находят новые ресурсы и синхронизируют ваши IP-адреса или имена хостов с вашими интеграциями.Почему это важно? Ваша поверхность атаки неизбежно будет развиваться с течением времени, от открытых портов до запуска новых облачных инстансов, вам необходимо отслеживать эти изменения, чтобы свести к минимуму вашу уязвимость. Вот тут-то и пригодится наше обнаружение поверхности атаки. Количество новых сервисов, обнаруженных за указанный период времени, помогает вам понять, увеличивается ли количество атак (намеренно или нет).
