2023年，全球企业组织在网络安全技术、产品及服务方面的支出超过了1900亿美元，同比增长12.7%。与此同时，也有越来越多的CISO和安全团队感到精疲力竭，他们已经为企业安全建设工作付出了最大的努力，却难以获得符合预期的回报。

在此背景下，研究机构Gartner提出，现代企业组织不应该一味追求更多的安全投入和有效性未知的安全建设，而是要恪守最低有效洞察力（Minimum Effective Insight）原则，根据企业实际拥有的资源和能力，合理决策对安全控制措施的部署和使用。而在开展网络安全能力建设时，组织应该使用一种以结果为导向的的新型安全效果评估度量指标——ODM（Outcome-Driven Security Metrics），对相关建设的实际效果进行科学评估，从而将安全度量指标与企业最关键的安全防护工作目标紧密联系起来。

ODM的主要特点

Gartner认为，在网络安全领域，ODM度量指标能够准确衡量由不同类别的安全控制措施所创建的保护级别，能够帮助组织从安全运营绩效和期望的业务结果视角，来衡量当前安全投入的有效性，从而为企业提供数据驱动的洞察力，并将网络安全工作与数字化业务成果结合起来，实现更有效的网络安全保护。相比传统的安全措施度量指标，ODM具有以下特点：

1. 更注重实际防护效果

ODM会根据实际的防护效果来衡量安全控制措施的有效性，比如减少事件、尽量降低风险和增强弹性。比如说，通过ODM体系评估已部署的防火墙究竟阻止了多少网络攻击的数量，而不是仅仅统计部署防火墙的数量。ODM所要求的度量指标包括：检测和响应威胁时间的缩短情况、安全事件的频次和严重性的降低程度，以及组织的安全状况总体改进情况。ODM方法跟踪的结果是具体可量化的，包括数据泄露减少、事件发生后恢复加快以及安全相关的总成本变化情况。

2. 能够与业务发展背景相结合

ODM需要考虑更广泛的业务背景，确保网络安全建设目标与组织的总体业务发展目标保持一致。这种一致性确保了网络安全工作能够真正支持业务增长、法规遵守、客户信任及其他整体战略目标。如果将安全度量指标与业务优先事项相整合，组织可以更有效地管理可能影响其战略目标的风险。将技术度量指标转换为业务结果，这有助于向管理层和非技术人员阐述网络安全预算投入的价值。

3. 安全投入的价值权衡

ODM能够根据建设成本评估安全投入的价值。这主要是分析投入在安全控制上的资源是否在降低风险及其他好处方面带来了相匹配的回报。通过权衡成本与价值，组织可以更有效地分配安全预算，优先考虑带来最高回报的投入。安全成本价值分析有助于优化安全投入组合，确保花出去的每一分钱都能最大限度地改善组织的安全状况。

4. 针对云安全的有效性评估

在云环境下，ODM有助于在针对云的安全控制上分配更适当的支出。因为ODM方法认识到，不同的云服务和环境可能需要不同级别和类型的安全投入。ODM能够根据具体的安全要求和与各种云服务相关的风险来动态分配资源。比如说，关键任务应用程序需要比不太重要的应用程序更可靠的安全控制。针对云的ODM衡量云安全控制（比如数据加密、身份及访问管理以及安全监控）在实现预期安全效果方面的有效性。这确保已落实的安全措施有效地保护云上的资产和数据。

如何实施ODM ？

企业组织在实施ODM时，需要借助一套科学的评估流程，才能确保安全措施与期望的结果目标保持高度一致。

1. 明确初始流程和支持技术

在实施ODM的初始阶段，重点在于清晰地识别出组织所必需的主要安全控制流程，并将它们与用于实施这些流程的安全技术对应起来。比如说，在开展端点安全保护时，就需要得到扩展检测和响应（XDR）或端点检测和响应（EDR）技术的支持；在漏洞管理时，利用使用漏洞扫描器；而身份安全管理时则需要通过身份和访问管理（IAM）系统和目录服务加以实施。明确初始流程和支持技术是实施ODM的基本步骤，要确保一套结构化框架来度量和管理安全工作。

2. 识别关键的业务目标和结果

在实施ODM的第二阶段，就是确定每个流程的特定优先事项和期望的结果，从而使安全流程与业务结果保持一致。在这个阶段，要确保安全工作直接与业务目标相关，因此需要从业务影响方面定义每个安全流程的优先级和重要性，并明确表明成功实施和效果的结果。比如在端点保护中，优先事项可能包括部署范围和威胁识别，结果由受保护的端点数量和缓解的威胁数量来衡量。同样对于漏洞管理而言，扫描频次和全面性以及威胁严重性识别是关键优先事项，其结果体现在已扫描系统的百分比和已解决的高危漏洞中。

3. 识别风险依赖关系

了解与技术和流程相关的风险依赖关系对于管理潜在故障及其可能对业务运营的影响至关重要。这个阶段需要分析每个流程依赖特定技术的情况，并评估关键技术失败或受攻击的后果。比如说，端点保护依赖XDR和EDR解决方案，它们的故障可能会使端点暴露在威胁面前。同样，漏洞管理依赖漏洞扫描器，它们的故障可能导致漏洞未加处理，从而加大被利用的风险。识别这些风险和依赖关系有助于规划应急事件，并确保安全运营的连续性。

4. 定义ODM特定度量指标

在这个阶段，重点是开发体现安全流程在实现预期结果方面有效性的特定度量指标。这需要为每个流程制定与运营结果和保护级别直接相关的度量指标，并确保它们是可度量的、清晰的，并提供实用的宝贵信息。定义这些度量指标确保可以定量评估并持续改进安全工作。

5. 评估准备状况和风险

接下来，就需要评估组织实施ODM的准备状况，以及与实施过程相关的风险挑战。这包括确定组织是否有必要的资源、技能和基础设施来有效地管理和监控ODM评估计划。比如说，有必要确保安全团队拥有分析ODM数据并采取后续行动的专业知识，确保IT基础设施能够支持所需的数据收集和分析。此外，需要识别和缓解潜在风险，比如数据准确性问题、新度量指标对现有流程的影响以及反对变化的阻力。制定应对这些风险的策略可确保更平滑的过渡和更有效地采用以结果为导向的安全度量指标。

参考链接：
https://10xds.com/blog/why-and-how-of-outcome-driven-security-metrics/

来源：安全牛