网络安全领域20种特别差劲指标

SecureAuth 策略研究总监 Martin Gallo 表示，常见无效指标样例之一是去数影响应用、系统或网络的漏洞数量，然后以之评判系统安全程度。漏洞数量当然很重要，但仅仅数出问题数量而不考虑潜在影响和漏洞被利用的概率，那就是奔着糟糕风险管理去了。

类似的，公司资产关键程度有别，有些资产就是比别的资产重要。对最重要资产和不那么重要的资产都应用同样的指标，可能导致混乱，也产生不了什么特别的动作。

14. 网络钓鱼链接点击率

Barracuda Networks 安全意识副总裁 Dennis Dillman 表示， 虽然降低网络钓鱼链接点击率看起来像是用户意识项目投资回报率 (ROI) 的良好体现，但不应作为公司培训项目的主要关注点。关注重点全放在降低点击率上时，管理员倾向于向用户重复发送非常相似的网络钓鱼邮件。这种重复能教会用户识别鱼叉式网络钓鱼攻击，但并不能使用户做好准备应对可能遭遇的各种攻击。

需要注意的重要指标不止点击率一个。想更好地评估培训项目有效性，可以看有多少人在假冒登录页面上输入了凭证，多少人回复了你的模拟钓鱼，IT 团队收到了多少可疑电子邮件报告。

15. 漏洞修复天数

XM Cyber 产品副总裁 Menacem Shafran 表示，很多公司里，漏洞修复天数都是非常基础和常用的指标。因为很容易用漏洞扫描器获得。大部分企业会跟踪自身修复漏洞所需时长，无论是整体耗时还是按 CVSS 风险得分和资产分组得出的耗时。问题是，这个指标并不能真正反映出公司当前风险。非关键资产上的低风险评分漏洞也是可以助黑客染指更为重要的资产的。

16. 处理事件数

Siemplify 首席策略官 Nimmy Reichenberg 表示，说到安全运营，我最不喜欢的无用指标是 “处理事件数”。这个指标是典型的报告 “忙碌情况” 而不是 “业务情况”。处理事件数未能具现化 SecOps 在理解真正需处理事件上的有效性，呈现不了处理关键事件以减少威胁驻留时间的效率，反映不出自动排除误报以减少需处理事件数量的功效。

17. 每员工缓解事件数

DivvyCloud 共同创始人兼 CTO Chris DeRamus 表示，另一个无用指标是跟踪每个员工所缓解的事件数量。当今网络安全态势下，公司面临的活跃威胁数量动辄上百万。同样地，在如此庞大的威胁与漏洞数量面前，每员工能缓解的事件数量毫无意义，即使最有经验、技术最精湛的安全从业人员也无济于事。

仅靠人力不可能实时追踪所有活跃威胁并缓解全部安全事件，所以公司企业不应该在这些指标上浪费自身时间。

18. 事件开放时间/完结时间

Capgemini 首席安全官兼策略主管 Joe McMann 表示，特别令人生气的一个指标是 “事件完结时长”，这个指标太含混不清了，变数很多，有太多依赖关系。安全运营的目标不应该是尽可能快地了结任务处理请求，好让请求队列保持为空;安全运营中心不是客服中心。

作为企业防御者，我们的真正目标应该是有效响应、完整且深入的分析，以及利用所学构建更主动的防御态势。我想要衡量枚举整个进攻生命周期的能力，想确信该分析产生了新的特征码、检测或缓解。

19. 安全项目控制覆盖百分比

Cybersecurity GRC 创始人表示，策略中安全项目控制覆盖的百分比是一柄双刃剑。确保策略全面且覆盖安全项目中的控制措施很重要，所以这里并不是要贬低该指标的重要性。

但只有理解且遵循了的策略才能减少公司风险，所以还需要另一个相应的指标来衡量员工对策略的理解程度——审查后测试知识，以及/或评估策略遵从度。

20. 分析师待处理工单

Respond Sofware 客户成功副总裁 Chris Triolo 表示，我们讨厌这个，这就是在比谁更快了结工单，而不是分析并修复，或确保不出现问题。这是典型的 “衡量即完成” 问题。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!