在為財富 500 強公司減輕風險、確保合規性以及構建強大的安全項目超過 25 年后，我明白了一個道理：看起來忙碌并不等同于真正的安全。

對于忙碌的網絡安全負責人來說，這是一個很容易陷入的陷阱。我們依賴一些指標來展示我們付出的巨大努力 —— 比如我們修復了多少漏洞，響應速度有多快 —— 但往往漏洞管理指標會與運營指標聯系在一起，因為傳統的衡量和實施漏洞管理的方法實際上并不能降低風險。所以，我們采用各種方式來報告在傳統的 30/60/90 天補丁修復方法下應用了多少補丁。

我把這些稱為虛榮指標：這些數字在報告中看起來令人印象深刻，但缺乏實際的影響。它們能讓人安心，卻無法提供有價值的洞察。與此同時，威脅變得越來越復雜，攻擊者利用我們沒有衡量到的盲點進行攻擊。我親眼目睹了這種衡量與實際意義之間的脫節是如何讓組織暴露在風險之中的。

在本文中，我將解釋為什么虛榮指標不足以保護當今復雜的環境，以及為什么是時候停止衡量活動，轉而衡量有效性了。
深入探究：什么是虛榮指標？

虛榮指標是那些在報告中看起來不錯，但幾乎沒有戰略價值的數字。它們很容易追蹤，展示起來也很簡單，通常用于展示活動情況 —— 但它們通常并不能反映實際的風險降低情況。它們通常主要分為三類：

·數量指標 —— 這些指標統計一些事情：應用的補丁數量、發現的漏洞數量、完成的掃描次數。它們營造出一種工作富有成效的感覺，但并不能說明對業務的影響或與風險的相關性。
·缺乏風險背景的基于時間的指標 —— 像平均檢測時間（MTTD）或平均修復時間（MTTR）這樣的指標聽起來可能令人印象深刻。但如果沒有基于關鍵程度的優先級排序，速度只是 “怎么做”，而不是 “做什么”。
·覆蓋范圍指標 —— 像 “掃描了 95% 的資產” 或 “修復了 90% 的漏洞” 這樣的百分比給人一種掌控全局的錯覺。但它們忽略了一個問題，即那未被掃描或修復的 5% 是什么 —— 以及這些是否是最重要的部分。

虛榮指標本身并沒有錯 —— 但它們極其不完整，存在很大的危險。它們追蹤的是行動，而非意義。如果它們與威脅的相關性或關鍵業務資產沒有關聯，它們可能會在不知不覺中破壞你的整個安全策略。
虛榮指標：弊大于利

當虛榮指標主導安全報告時，它們可能弊大于利。我見過一些組織在追求那些在高管簡報中看起來很棒的數字上耗費了大量時間和預算 —— 而關鍵的風險暴露卻無人處理。

當你依賴虛榮指標時，會出現什么問題呢？

·精力分配不當 —— 團隊專注于容易修復的事情或能提升指標的事情，而不是真正能降低風險的事情。這就在已做的事情和需要做的事情之間造成了一個危險的差距。
·錯誤的自信 —— 不斷上升的圖表可能會誤導領導層，讓他們認為組織是安全的。如果沒有考慮到漏洞可利用性、攻擊路徑等背景信息，這種自信是脆弱的，而且可能會付出高昂的代價。
·優先級混亂 —— 沒有背景信息的大量漏洞列表會讓人感到疲憊。高風險問題很容易在繁雜的信息中被忽略，而在最重要的地方，修復工作可能會被延遲。
·戰略停滯 —— 當報告獎勵的是活動而不是影響時，創新就會放緩。安全項目變得被動應對 —— 總是忙碌，但并不總是更安全。

我見過在關鍵績效指標（KPI）亮眼的環境中發生的數據泄露事件。原因是什么呢？那些關鍵績效指標與現實脫節。一個不能反映實際業務風險的指標不僅毫無意義 —— 而且很危險。
轉向有意義的指標

如果說虛榮指標告訴我們做了什么，那么有意義的指標則告訴我們什么是重要的。它們將重點從活動轉移到了影響上 —— 讓安全團隊和業務負責人對實際風險有一個共同的理解。

一個有意義的指標始于一個清晰的公式：風險 = 可能性 × 影響。它不只是問 “存在哪些漏洞？”—— 而是問 “這些漏洞中哪些可以被利用來攻擊我們最關鍵的資產，后果會是什么？” 為了轉向有意義的指標，考慮圍繞以下五個關鍵指標來進行報告：

1、風險評分（與業務影響相關）—— 一個有意義的風險評分會綜合考慮漏洞可利用性、資產關鍵程度和潛在影響。隨著風險暴露情況的變化或威脅情報的更新，它應該動態演變。這個評分有助于領導層從業務角度理解安全狀況 —— 不是存在多少漏洞，而是我們離真正的數據泄露有多近。
2、關鍵資產暴露情況（隨時間追蹤）—— 并非所有資產都是同等重要的。你需要知道當前哪些關鍵業務系統處于暴露狀態 —— 以及這種暴露情況的趨勢如何。你是在降低對最重要基礎設施的風險，還是只是在低影響的修復上白費力氣？隨時間追蹤這一指標可以顯示你的安全項目是否真的在填補正確的漏洞。
3、攻擊路徑映射 —— 漏洞不是孤立存在的。攻擊者會將各種風險暴露因素（配置錯誤、權限過高的身份、未修復的常見漏洞和暴露情況（CVE））串聯起來，以攻擊高價值目標。映射這些路徑可以讓你了解攻擊者實際上如何在你的環境中行動。它不僅有助于對單個問題進行優先級排序，還能了解這些問題如何共同構成威脅。
4、風險暴露類別細分 —— 你需要了解哪些類型的風險暴露最普遍 —— 以及最危險。無論是憑證濫用、未打補丁、開放端口還是云配置錯誤，這種細分都能為戰術響應和戰略規劃提供信息。例如，如果 60% 的風險源于基于身份的風險暴露，那么這應該影響你的投資決策。
5、關鍵風險暴露的平均修復時間（MTTR）—— 平均修復時間是一個有缺陷的指標。它會被容易修復的問題拉低，而忽略了棘手的問題。重要的是你關閉那些真正讓你面臨風險的風險暴露的速度有多快。關鍵風險暴露（與可利用的攻擊路徑或核心資產相關的風險暴露）的平均修復時間才真正決定了運營效率。

綜合考慮并不斷更新這些有意義的指標，它們帶給你的不僅僅是一個快照 —— 它們提供了一個關于你所面臨的威脅暴露的動態、有背景的視圖。它們將安全報告從任務追蹤提升到了戰略洞察的層面。最重要的是，它們為安全團隊和業務負責人提供了一種共同的語言，以便做出基于風險的明智決策。
要點總結

虛榮指標讓人感到安心。它們填滿了儀表盤，在董事會會議上給人留下深刻印象，并顯示出進展。但在現實世界中 —— 威脅行為者并不關心你上個月應用了多少補丁 —— 它們幾乎無法提供保護。

真正的安全需要從追蹤容易衡量的事情，轉向關注真正重要的事情。這意味著采用基于業務風險的指標。而這正是像持續威脅暴露管理（CTEM）這樣的框架發揮作用的地方。持續威脅暴露管理為組織提供了一種架構，使其能夠從靜態的漏洞列表轉向動態的、按優先級排序的行動。結果是令人矚目的 —— 高德納咨詢公司（Gartner）預測，到 2026 年，實施持續威脅暴露管理的組織的數據泄露事件可能會減少三分之二。
《黑客新聞》

你選擇的指標塑造了你進行的對話 —— 也決定了你錯過的對話。虛榮指標讓每個人都感到舒適。有意義的指標則會引出更尖銳的問題，但它們會讓你更接近真相。因為如果你不能正確地衡量風險，你就無法降低風險。

注：本文由 XM Cyber 的駐場首席信息安全官（CISO）杰森?弗魯格（Jason Fruge）精心撰寫。

https://thehackernews.com/2025/04/security-theater-vanity-metrics-keep.html