信息安全指标 FoundStone FoundScore

? !}! ?

0F$IHH )RXQGVWRQH )RXQG6FRUH

? ? ?? ? ? ? ?亢??? ? ?? ??? ??? ?? ?? ? ? ? ???? )RXQG6FRUH ?)RXQG6FRUH ?)RXQG6FRUH )RXQG6FRUH??? ?? ?? )RXQG6FRUH 亢??? )RXQGVWRQH ? 0F$IHH )RXQGVWRQH 0F$IHH ??

安全一向被视为成本中心，通常与收益驱动的计划无关。这会使软件、硬件、人员、服务、培训、流程和程序方面的安全预算和支出难以获得批准，明其合理性。为应对这一挑战，许多具有安全意识的机构都会使用一种约定俗成的方法，称为安全投资回报（ROSI）。

引言

本白皮书旨在阐明如何使用可靠的指标来评估信息安全支出和方法的业务价值，以及如何将此信息有效传达给企业的最高管理层。本文讨论了为什么要使用安全指标来了解您环境中的风险、如何使用McAfee? Foundstone?FoundScore 来跟踪环境中的安全改进，以及基于风险的管理未来的发展前景。

Foundstone 有助于企业控制其数字风险，并智能化、前瞻性地加以管理。它所提供的战略安全领域的专业技术可帮助客户实现技术、人员和流程的最佳平衡，进而实现持续且可评估的漏洞和风险管理。利用Foundstone 基于优先级的方法，企业可以降低风险并保护其重要资产。

通过对安全进行量化赋值，验证安全计划的实际结果，显著扩展“软”评估或定性评估，客户可利用FoundScore 风险评估方法量化安全进程。他们可以从以下三个因素客观地分析风险：

? 资产价值以及为保护这些资产而采取的措施

? 这些资产所面临的威胁

? 利用这些威胁的漏洞FoundScore 是一个指标，可显示具体的投资回报和切实的变更措施，因而，客户可将其作为支出和资源分配的指南。客户可以根据时间的变化来跟踪这些指标，并以行业平均值为基准进行评估。企业还可以比较其各个分支机构的分数，从而确保将最佳的安全措施应用于风险最大的领域，大幅降低成本。FoundScore 是有行业区别的，以适应不同的风险承受度。例如，与信息访问相关的风险对于金融行业的重要性可能要高于医疗保健行业，后者可能主要关心信息的机密性和完整性。风险评估计算也可能因行业而异。McAfee 针对各类企业都进行全面测试，并因此得到了一定数量可供使用的 Foundscore 数据，这些数据可以当作各个行业的衡量标尺来参考。

为什么使用安全风险指标？

在日趋规范的经济环境下，证明新技术的成本是否合理可能会非常困难。实施安全技术并不能直接转化为收益；因此，安全专业人员必须使用其他分析方法来证明支出的合理性。

安全指标有助于从纯定性评估转向更有意义的数字评估。定性方法是主观的（“企业的声誉值多少钱？”），定量方法则使用明确的数值来评估安全风险和投资回报。

定性方法的局限性

过去，安全支出的有效性一直使用软评估方法来衡量，如既定年度预算下的安全人员数量，针对新漏洞或病毒的解决速度或补丁程序。这留下了一个巨大缺口，因为它没有证明预防攻击所节省的成本。这种方法是被动的，并且不可量化。例如：

采用 McAfee Foundstone FoundScore 作为指标来衡量企业风险

情形 A：过时的安全防护方法

资产、威胁和漏洞：

? 资产—公众可以访问企业的 Web 服务器并可能对其发动攻击

? 威胁—针对 Web 服务器的新漏洞

? 漏洞—攻击很快散播开来，您的 Web 服务器是目标之一。当攻击真的发生时，IT 团队只能被动响应。入侵检测/防护系统在实际的服务器入侵发生后才向您发出警报，敦促您做出反应

解决方案

IT/安全团队根据需要修补存在漏洞的服务器。此解决方案存在的问题：

? IT/安全团队没有前瞻性

? IT/安全团队可以采用单个补丁程序来修补漏洞，但它们并未改善整个环境的安全状况

? 由于不清楚 Web 服务器的价值，导致应用的安全资源或者过多，或者过少；没有用金钱来衡量服务器价值，也没有将风险评级应用于该资产

? IT/安全团队进行变更通常都缺乏事先准备

? 难以评估变更的结果

定量风险评估方法可产生切实可行的结果

ROSI 可填补这一评估缺口，此方法不仅必要，而且可以量化。许多具有安全意识的机构都将它作为一种行之有效的方法来计算所节省的总资金中安全投资占的份额。企业可以通过将特定的安全产品与其安全状况的数字评估相联系来计算 ROSI。例如，如果您购买防火墙，它会对您整体的安全状态产生怎样的影响？如果在发现最新的 Web 服务器漏洞后您未被攻击，也未因此造成任何业务中断或销售损失，您能明确说出所节省资金的具体数额吗？ROSI 可给出这些问题的答案。

使用一种基于风险的战略方法（如 Foundstone 提供的方法）时，情形 A 的企业会通过持续监控和分析将资源集中用于高风险领域，这些领域是根据资产的重要性确定的。Web 服务器是资产，并可能被认为具有“高风险”，因此需要采取比较有力的安全措施。切实可行的方法会要求企业提前测试 Web 服务器的安全性，以便在它们受到攻击之前能够发现并修复存在的任何漏洞。通过指定一个金额值或指定一个关键值，您可以提前获知每项资产的风险等级，进而量化安全措施并采取相应级别的安全保护。定量评估方法与定性评估方法对比

定量评估方法：使用分配给资产的数值来评估风险

用于评估风险的定量评估方法

定性评估方法：使用主观价值标准为潜在风险分配资源

用于评估风险的定性评估方法

定量分析论证

要量化安全措施，需要指定各个措施的风险等级，各项资产和功能的数值。指定风险等级是在风险分析中优点缺点

? 结果基于客观评估? 计算可能比较复杂

? 向风险和安全评估分配货币

价值

? 指定资产的风险等级需

要提前做出大量工作? 可通过计算比较不同时间的

安全状况

? 尚未制定风险与回报的

行业标准

? 可以随着时间的推移跟踪风

险管理措施

? 可将资源集中用于高风险领

域

? 可以评估和跟踪安全解决方

案的投资回报

? 可以进行业务影响分析

? 可与行业标准进行对比

? 管理层可以根据风险状况了

解安全问题的货币成本

优点缺点

? 计算简单（如果有）? 结果是纯主观的

? 不一定使用货币价值? 资源可能被部署在错误的领

域

? 无需对威胁和其应对措

施进行评估

? 无法计算实施安全措施和结

果的货币价值

? 无需评估针对威胁所采

取措施的成本

? 无法分析成本/收益

? 可以总结风险并据此迅

速采取措施

? 无法客观地识别风险

? 无法分析业务影响

进行的。相对于您的测试环境子网，与您财务部门子

网相关的风险等级是多少？相对于您的内部内联网服务器，与您在线银行应用程序服务器相关的风险等级是多少？指定资产的关键值后，您即可开始确定每项资产的风险等级以及保护该资产的措施的价值。

评估安全策略实施意味着降低风险，并将用于安全管理的有限资金集中到正确的措施上。要证明风险措施的合理性，需要（用金额）量化资产的风险等级和价值。

安全指标的变化方式有三种：

? 随时间—每个环境都发生变化。变化的形式多种，

如新漏洞的出现、新服务何时上线以及新系统何时上线。安全是一个不断变化的目标，因此，每天通过指标评估您的安全状况将使您能够实时了解环境中的安全变化情况

? 按行业—各行各业对数据和资源的重视程度各不相同。例如，金融业采取安全措施的重要性不可能和制造业一样。通过确定特定行业的风险，可以开发适用于评估您企业安全状况的方法

? 按措施—为降低风险而采取的措施会影响整体风险等级。措施的多少会引起安全状况的变化。通过以数字方式来了解每项技术、每个流程和程序如何影响您的安全状况，可将资源集中用于最经济高效的措施，以实现最佳效果

FoundScore 提供全面的定量评估FoundScore 是一个安全评级系统，通过将您所在环境的若干方面与最佳实践标准作比较，量化您的安全风

险。McAfee Foundstone Enterprise 通过测试您的全球网络以查找漏洞，并生成一个 FoundScore。通过这些分数，您可以了解您的安全工作随时间变化的情况，并且可以跟踪这些工作所产生的影响。

Foundstone Enterprise 根据所评估的对象是内部网络还是外部网络，以两种方式计算 FoundScore。内部网络中某些漏洞和暴露情况所产生的风险可能完全不同于面向 Internet 的网络中某些漏洞和暴露情况所产生的风险。

在计算 FoundScore 时，Foundstone Enterprise 还会考虑资产关键程度。例如，在对业务非常关键的资产（如会计服务器）上发现中级风险漏洞时所扣除的FoundScore 分数会高于在非关键资产（如测试服务器）上发现同样漏洞时所扣除的 FoundScore 分数。内部 FoundScore

内部 FoundScore 分为两个部分：

为确定您的总体 FoundScore 评分（漏洞情况 + 暴露情况），需要评估您所在环境的如下属性：

外部 FoundScore

外部 FoundScore 同样分为两部分：

为确定您的总体 FoundScore 评分（漏洞情况 + 暴露情况），需要评估您所在环境的如下属性：

漏洞情况 70 分评分系统—根据在您环境中发现的高、中和低风险漏洞的综合情况，Foundstone 给您评出一个 0 到 70的分数，并根据所发现的每个漏洞的风险等级（高、中和低）扣除相应的分数。

暴露情况 30 分评分系统—根据公认的安全准则，反映您的网络暴露给 Internet 威胁的等级。最高为 30 分。Foundstone 会根据三个领域中的每种违规情况扣除相应的分数。

您的环境中是否存在这样的漏洞，攻击者可利用它们损害您的系统和/或获得未经授权的访问？

您的环境中是否存在可能受到攻击者破坏的无线接入点？

您的环境中是否有计算机上开放了木马端口？

您的环境中是否有恶意或通常应被禁止的应用程序（例如，即时消息应用程序、P2P 数据共享应用程序等）在运行？

漏洞情况 50 分评分系统—根据在您环境中发现的高、中和低风险漏洞的综合情况，Foundstone 给您评出一个 0 到 50的分数，并根据所发现的每个漏洞的风险等级（高、中和低）扣除相应的分数。

暴露情况 50 分评分系统—根据公认的安全准则，反映您的网络暴露给 Internet 威胁的等级。最高为 50 分。Foundstone 会根据三个领域中的每种违规情况扣除相应的分数。

您的环境中是否存在这样的漏洞，攻击者可利用它们损害您的系统和/或获得未经授权的访问？

您的环境中是否存在不重要的网络服务，它们会增加出现安全漏洞的可能性？

您的环境中是否有计算机未能执行支持正常 Internet 操作所必需的功能？

除端口 53 上的 DNS 流量外，您是否允许 UDP 流量进入您的网络？

您是否允许 ICMP 进入您的网络？

?ぎ

?? ?? 催?

? ?

?? ? ??

通过对照上面所列的五个标准来比较您的网络，您可以从一个量化的角度了解您所在环境的安全风险情况。在 FoundScore 系统中，网络的初始分数为满分 100分。每次违规，FoundScore 会扣除一个分数。因此，分数越高意味着网络环境的固有风险越小。分数越低则表明您的环境存在着较多的安全漏洞，因此也存在着较大的风险。最高分为 100，最低分为 0。下表给出了不同的分数区间所对应的等级。

行业

通过跨行业收集安全信息，McAfee 可提供一个基线模型来比较同行业中不同企业之间的安全性。我们所跟踪的行业包括：? 广播? 娱乐? 金融? 高科技? 保险? 制造业? 专业服务? 公共事业

由于 McAfee 对各类企业都进行过测试，因此我们可以使用一定数量的 FoundScore 数据为各个行业创建基准。通过将 McAfee 产品中提供的数据作为行业数据的中央资料库，您可以依靠客观的第三方机构来帮助您将自己的安全状况与业界以及其他行业的安全状况进行对比，所有对比都通过完全匿名的功能完成。图 1 显示了我们所分析的某些行业的平均 FoundScore 。这些平均分是通过计算大约 53,000 个 FoundScore 而得到的，而这 53,000 个 FoundScore 则是通过扫描 160 多万台主机所生成的。

图 1：行业平均 FoundScore

每个机构都可以随着时间的变化跟踪自己的FoundScore 。在图 2 所示的示例中，FoundScore 在系统被扫描的日期范围内变化比较剧烈。如果这是一家金融机构，我们可以将该机构的 FoundScore 平均值 78与金融行业平均值 63 进行比较。

该机构的 FoundScore 高于其行业平均值，这表明该机构的漏洞等级属于“中上”等级。

图 2：某个机构的 FoundScore

分数范围 等级

0-26劣26-50中下51-70中71-85中上85-100

优

??? ????

案例分析：FoundScore 的实际应用

现在，Foundstone 客户可以以多种方式来有效利用其FoundScore 。本节详细介绍某跨国企业如何使用该解决方案来评估和修正其安全架构。

FoundScore 的用途和优点

图 3：分支机构 FoundScore 比较

图 3 比较了该企业中各分支机构的 FoundScore 。此图显示了各分支机构的安全状况，揭示了该公司需要解决的重要问题。

? 只有伦敦分部的结果是一致的。其他分公司的结果为什么会有如此大的波动呢？

? 除了一段大约三周的时间外，纽约的 FoundScore 分数最高。那里的情况是怎样的？

? 西雅图的安全状况变化最为剧烈。原因何在？? 东京安全状况的改善巨大，但最高稳定在 60 至 70 分之间。它为什么没有继续改善呢？

通过根据 FoundScore 结果提出类似的问题，安全管理员就可以抓住安全状况变化的真正原因，并确定为什么没有改善。

计算和比较 FoundScore 的主要好处是能够确定安全措施应用于哪个领域最有成效。首先我们可以确定漏洞最大的领域，即 FoundScore 最低的区域。图 3 告诉我们，该公司西雅图分部的 FoundScore 很差；因此，应进行分析以确定相应的解决方案。

降低成本

通过风险分析，该公司可以确定西雅图分部存在哪些漏洞。分析结果可能是该分部的网络已与其他分部断开，或是该网络中没有对该公司的财务起关键作用的资产。这一信息告诉我们，将安全资金用于其他分部（如东京分部）会更有效，该分部保存着所有研发资料。如果西雅图分部确有重要资源（如会计服务器），则低 FoundScore 意味着该分部的风险很高。该公司应该增加分配给西雅图分部的安全资金，并减少其他分部的安全资金，如纽约分部，因为该分部已经很安全了。

通过将资金成本与资产相关联，该公司可以知道其真实的资产价值。FoundScore 会告诉该公司，哪些资产的风险最大并有可能造成经济损失，使其可以有效地分配预算。

FoundScore 的灵活性

McAfee FoundScore 还拥有针对特定环境的高灵活性。企业可利用 FoundScore 创建一个称为“MyFoundScore ”的定制风险分数。此功能使企业能够修改风险评分标准和风险权重，从而更严格地遵从企业特定的信息安全策略。有的企业对特定漏洞的评估方法可能不同于Foundstone 系统默认的等级评定方法。有的企业则可能认定流入的 ICMP 流量对于外部网络来说完全可以接受。通过提供可定制的风险评级机制，MyFoundScore

客户

跨国企业，其分支机构均采用 Foundstone Enterprise 评估

比较

? 比较各分支机构之间的 FoundScore ? 比较行业内整个企业的累积 FoundScore ? 与其他行业的 FoundScore 相比较

? 当公共域中发现新漏洞时，跟踪 FoundScore 的变化

? 当公共域中出现新病毒时，跟踪 FoundScore 的变化

? 随着补丁程序和修补程序的实施情况，跟踪FoundScore 随时间的变化情况

优势

? 高层管理人员可以查看与安全支出相关的企业安全状况的实际变化情况

? 管理人员可以按单个指标查看实际结果，该指标显示了为降低风险所采取的前瞻性措施的有效性

? 可以比较各分支机构的安全状况

? 可以比较和评估 IT 人员跨分支机构修补漏洞的有效性

? 可以通过将资源集中用于卓有成效的安全措施来降低成本

? 可以使用 FoundScore 将目标管理 (MBO) 指标设定为衡量安全措施随着时间的推移所产生的效果的指标

)RXQG6FRUH 0\)RXQG6FRUH

可以反映企业相对于其可接受的安全策略的风险等级。企业还可以将 MyFoundScore 值与 Foundstone FoundScore 的基线对比，从而了解其风险评级和理念与业界观点有何不同。

图 4：FoundScore 与修改后的 MyFoundScore 对比

在图 4 中，FoundScore 和 MyFoundScore 比较接近，但仍有一些差异。此例中，该公司对某些风险因素的看法与 Foundstone Enterprise 风险解决方案不太一致。通过修改风险权重从而更精确地契合您的环境，您可以更清楚地了解您的企业是如何看待风险的。

风险算法

Foundstone Enterprise 使用一种风险算法来量化资产、威胁、漏洞和所采取措施的价值。通过将一个数学公式应用于这些要素，此风险算法可以评估企业安全各个方面的风险和资金成本。通过根据风险来分配风险等级和资金成本，您可以推断出环境变化是如何影响安全和安全成本的。通过与 FoundScore 相关联，此风险算法提供了一种针对整个企业风险的独特的自动评估方法。

此风险算法可评估以下内容：

? 资产 — 对企业有用或用以支持企业正常开展业务的任何功能、任务、能力、设备或信息

? 资产对策 — 在资产丢失、不可用或损坏的情况下，帮助更换或提供等效服务的所有流程

? 威胁 — 可能损坏企业资产或业务功能的任何人、情况或事件

? 威胁对策 — 限制或拦截访问，阻止或降低特定环境中发生的威胁的任何流程、程序、产品、特性或功能? 漏洞 — 为威胁利用系统或流程的弱点提供方便的系统的任何设计、实施或管理缺陷

? 漏洞对策 — 消除、减轻漏洞影响或改变漏洞暴露程度的任何流程、程序、产品、特性或功能

结论

无论是大型机构还是小型机构，其安全部门都逐渐认识到量化风险评估的必要性。这些企业需要控制其安全风险，并能够在整个企业内切实地传达安全改进情况。从 CIO 到 IT 经理，都需要一种方法来计算新的安全技术、流程和程序的成本，以及因不采取安全措施而付出的代价。借助于 FoundScore ，您可将数字评估应用于风险，从而使之转变为采用的安全措施和真正节省的资金。

根据 FoundScore 随时间的变化情况跟踪安全状况的变化可以证明真实的 ROSI 。通过证明安全计划会给企业带来直接影响并节约资金，申请安全预算将变得更加容易。

现在还可以比较行业内不同企业之间的安全状况。借助客观的第三方（如 Foundstone ），您可将自己的风险等级与业界同行进行对比，从而确定自己在行业内的位置。在内部，您可以比较不同分支机构在FoundScore 方面的差异并进行相应的调整。这为您提供了一个超越竞争对手的明显优势。

? ??????? ?

? ?? ? ?? $ ??? ??? ??? ?? ? ??? ??

??? ??? ??? ? ???? ? ? ? ??? ??? ???

0F$IHH ,QF )UHHGRP &LUFOH 6DQWD &ODUD &$ ZZZ PFDIHH FRP

0F$IHH ? ? ? 0F$IHH ,QF ? ? ?? ?0F$IHH ? ? ??? 0F$IHH ?? ?? ????? ?? ? ? ? ??? ??? 0F$IHH ,QF ? ? FRU IV IV

可操作的安全措施会带来切实的结果。在实施新的安全措施时通过监控 FoundScore 的变化，您可以看到哪些因素对您的环境造成的影响最大。通过采取适当的措施来保护相应的资产免受威胁的侵扰，Foundstone 可帮助您尽可能地以最佳的方式使用有限的安全资金。

关于 Foundstone 漏洞管理解决方案

Foundstone Enterprise 是一款基于优先级的解决方案，可集成和简化大中型企业的漏洞管理，并实现漏洞管理的自动化，从而降低来自漏洞和威胁的业务风险。

关于 McAfee Foundstone 专业服务

Foundstone 为您提供最新的服务和培训计划，帮助您的企业应对不断变化的安全需求。

? 业务安全咨询 — 我们会全面诊断您当前的安全状况，并为制定满足您当前和未来需求的计划奠定基础

? 技术安全咨询 — 我们的专家会指出您网络和应用程序中存在的漏洞，并为增强您的安全防御能力献计献策

? 培训课程 — 我们为涉身安全领域的每一个人 — 从技术人员到管理人员 — 提供世界一流的培训

关于 McAfee

McAfee, Inc. 前瞻性地保护系统和网络免受已知威胁和未知威胁的侵袭。我们的客户和合作伙伴对我们无与伦比的安全专业技术信赖有加，并确信我们全面而成熟的解决方案可有效地拦截攻击并预防业务中断。

联系方式

若要了解更多有关 Foundstone 漏洞管理解决方案如何保护您企业的安全，请访问我们的网站https://www.360docs.net/doc/ed17932682.html,/cn ，发送电子邮件至sales@https://www.360docs.net/doc/ed17932682.html, 或致电 1-888-847-8766。