CISO助手
完成度
0%(0/189)
评估报告
DSOM

DevSecOps 成熟度模型 2024

成熟度模式

DevSecOps成熟度模型,帮助组织实施和改进DevSecOps实践。

版本: 2024覆盖状态: 完整覆盖 (378/378)控制项/量表/总计: 189/189/378当前展示: 22 / 1895 个分类

Logging

6
G-LO-1-1集中式系统日志记录成熟度实践
信息收集 / Logging

通过使用集中日志记录,日志可以防止未经授权的修改。风险:本地存储的系统日志可能被攻击者未经授权地篡改,或者在事件发生后可能损坏。此外,汇总日志也很困难。实施安全相关事件的日志记录。以下事件往往与安全相关:成功/失败的登录/登出、用户的创建、修改和删除、输入验证和输出创建过程中的错误、名称中带有“安全”的异常和错误、有价值的交易(例如),金融交易,高成本操作):unicorn:(您应用程序的特殊功能)风险:没有安全相关事件的跟踪,使事件分析更加困难。通过适当的安全事件,安全事件分析所需的时间显著减少,从而可以在攻击者达到目标之前阻止攻击。协议在易于使用的实时监控系统中可视化。图形用户界面提供了在协议中搜索特殊属性的功能。风险:系统和应用程序协议无法正确可视化,这会导致日志评估缺失或非常有限。特别是开发人员可能会难以使用像 Linux 工具 'cat' 这样的非常规工具来阅读应用程序日志。 使用了集中日志系统,应用程序日志(包括应用程序异常)会被发送到该系统。风险:本地存储的日志可能会被具有系统访问权限的攻击者未经授权地篡改,或者在发生事件后可能会损坏。此外,对日志进行关联分析也很困难。这会导致攻击,可以悄无声息地进行。事件在一个系统上进行关联。例如,将失败的登录尝试与成功的登录尝试进行关联和可视化。风险:无法检测不同系统/工具/指标上的安全相关事件。已记录并应用了如何记录个人身份信息(PII)的概念。风险:个人身份信息(PII)被记录,且未遵守隐私法(例如《通用数据保护条例》)。标准:通过使用集中日志记录,日志可以防止未经授权的修改。

评估
评估状态:
评估备注:
G-LO-2-1安全事件记录成熟度实践
信息收集 / Logging

通过使用集中日志记录,日志可以防止未经授权的修改。风险:本地存储的系统日志可能被攻击者未经授权地篡改,或者在事件发生后可能损坏。此外,汇总日志也很困难。实施安全相关事件的日志记录。以下事件往往与安全相关:成功/失败的登录/登出、用户的创建、修改和删除、输入验证和输出创建过程中的错误、名称中带有“安全”的异常和错误、有价值的交易(例如),金融交易,高成本操作):unicorn:(您应用程序的特殊功能)风险:没有安全相关事件的跟踪会使事件分析变得更加困难。通过适当的安全事件,安全事件分析所需时间显著减少,从而可以在攻击者达到目标之前阻止攻击。协议在一个易于使用的实时监控系统中可视化。图形用户界面提供了在协议中搜索特殊属性的功能。风险:系统和应用程序协议无法正确可视化,这导致没有或非常有限的日志评估。特别是开发人员可能会难以使用像 Linux 工具 'cat' 这样的非常规工具来阅读应用程序日志。 使用了集中式日志系统,并且应用程序日志(包括应用程序异常)都会发送到该系统。风险:本地存储的日志可能被具有系统访问权限的攻击者未经授权地篡改,或者在发生事件后可能损坏。此外,日志的关联分析也很困难。这会导致攻击,可以悄无声息地进行。事件在一个系统上进行关联。例如,将失败的登录尝试与成功的登录尝试进行关联和可视化。风险:无法检测不同系统/工具/指标上的安全相关事件。记录和应用个人可识别信息(PII)的概念已有文档记录并付诸实践。风险:个人身份信息(PII)被记录,且未遵守隐私法律(例如《通用数据保护条例》)。标准:安全相关事件,例如登录/注销或用户的创建、修改、删除,都应被记录。

评估
评估状态:
评估备注:
G-LO-2-2可视化日志成熟度实践
信息收集 / Logging

通过使用集中日志记录,日志可以防止未经授权的修改。风险:本地存储的系统日志可能被攻击者未经授权地篡改,或者在事件发生后可能损坏。此外,汇总日志也很困难。实施安全相关事件的日志记录。以下事件往往与安全相关:成功/失败的登录/登出、用户的创建、修改和删除、输入验证和输出创建过程中的错误、名称中带有“安全”的异常和错误、有价值的交易(例如),金融交易,高成本操作):独角兽(你应用程序的特殊功能)风险:无法跟踪与安全相关的事件,使事件分析更加困难。通过适当的安全事件,安全事件分析所需的时间显著减少,从而可以在攻击者达到目标之前阻止攻击。协议在易于使用的实时监控系统中可视化。GUI 提供了在协议中搜索特殊属性的功能。风险:系统和应用协议未被正确可视化,导致日志评估没有或非常有限。特别是开发人员可能会难以使用像 Linux 工具 'cat' 这样的非常规工具来阅读应用程序日志。 使用了集中日志系统,应用程序日志(包括应用程序异常)会被发送到该系统。风险:本地存储的日志可能会被具有系统访问权限的攻击者未经授权地篡改,或者在发生事件后可能会损坏。此外,执行日志的关联分析也很困难。这会导致攻击,可以悄无声息地进行。事件在一个系统上进行关联。例如,将失败的登录尝试与成功的登录尝试进行关联和可视化。风险:无法检测涉及不同系统/工具/指标的安全相关事件。有关于如何记录个人身份信息(PII)的概念已被记录并应用。风险:个人可识别信息(PII)被记录,但未遵守隐私法(例如《通用数据保护条例》)。标准:协议在一个简单易用的实时监控系统中进行可视化。图形用户界面(GUI)提供搜索协议中特殊属性的功能。

评估
评估状态:
评估备注:
G-LO-3-1集中式应用日志记录成熟度实践
信息收集 / Logging

通过使用集中日志记录,日志可以防止未经授权的修改。风险:本地存储的系统日志可能被攻击者未经授权地篡改,或者在事件发生后可能损坏。此外,汇总日志也很困难。实施安全相关事件的日志记录。以下事件往往与安全相关:成功/失败的登录/登出、用户的创建、修改和删除、输入验证和输出创建过程中的错误、名称中带有“安全”的异常和错误、有价值的交易(例如),金融交易,高成本操作):unicorn:(您应用程序的特殊功能)风险:没有安全相关事件的跟踪会使事件分析变得更加困难。通过适当的安全事件,安全事件分析所需时间显著减少,从而可以在攻击者达到目标之前阻止攻击。协议在一个易于使用的实时监控系统中可视化。图形用户界面提供了在协议中搜索特殊属性的功能。风险:系统和应用程序协议无法正确可视化,这导致没有或非常有限的日志评估。特别是开发人员可能会难以使用像 Linux 工具 'cat' 这样的非常规工具来阅读应用程序日志。 使用了集中式日志系统,并且应用程序日志(包括应用程序异常)都会发送到该系统。风险:本地存储的日志可能被具有系统访问权限的攻击者未经授权地篡改,或者在发生事件后可能损坏。此外,日志的关联分析也很困难。这会导致攻击,可以悄无声息地进行。事件在一个系统上进行关联。例如,将失败的登录尝试与成功的登录尝试进行关联和可视化。风险:无法检测不同系统/工具/指标上的安全相关事件。记录和应用个人可识别信息(PII)的概念已有文档记录并付诸实践。风险:个人可识别信息(PII)被记录,且未遵守隐私法律(例如《通用数据保护条例》)。标准:使用集中式日志系统,应用程序日志(包括应用程序异常)被传送到该系统中。

评估
评估状态:
评估备注:
G-LO-5-1安全事件关联成熟度实践
信息收集 / Logging

通过使用集中日志记录,日志可以防止未经授权的修改。风险:本地存储的系统日志可能被攻击者未经授权地篡改,或者在事件发生后可能损坏。此外,汇总日志也很困难。实施安全相关事件的日志记录。以下事件往往与安全相关:成功/失败的登录/登出、用户的创建、修改和删除、输入验证和输出创建过程中的错误、名称中带有“安全”的异常和错误、有价值的交易(例如),金融交易,高成本操作):独角兽(你应用程序的特殊功能)风险:无法跟踪与安全相关的事件,使事件分析更加困难。通过适当的安全事件,安全事件分析所需的时间显著减少,从而可以在攻击者达到目标之前阻止攻击。协议在易于使用的实时监控系统中可视化。GUI 提供了在协议中搜索特殊属性的功能。风险:系统和应用协议未被正确可视化,导致日志评估没有或非常有限。特别是开发人员可能会难以使用像 Linux 工具 'cat' 这样的非常规工具来阅读应用程序日志。 使用了集中式日志系统,并且应用程序日志(包括应用程序异常)都会发送到该系统。风险:本地存储的日志可能被具有系统访问权限的攻击者未经授权地篡改,或者在发生事件后可能损坏。此外,日志的关联分析也很困难。这会导致攻击,可以悄无声息地进行。事件在一个系统上进行关联。例如,将失败的登录尝试与成功的登录尝试进行关联和可视化。风险:无法检测不同系统/工具/指标上的安全相关事件。记录和应用个人可识别信息(PII)的概念已有文档记录并付诸实践。风险:个人可识别信息(PII)被记录,并且没有遵循隐私法律(例如《通用数据保护条例》)。标准:事件在一个系统上进行关联。例如,将失败登录尝试与成功登录尝试结合起来进行关联和可视化。

评估
评估状态:
评估备注:
G-LO-5-2个人可识别信息记录概念成熟度实践
信息收集 / Logging

通过使用集中日志记录,日志可以防止未经授权的修改。风险:本地存储的系统日志可能被攻击者未经授权地篡改,或者在事件发生后可能损坏。此外,汇总日志也很困难。实施安全相关事件的日志记录。以下事件往往与安全相关:成功/失败的登录/登出、用户的创建、修改和删除、输入验证和输出创建过程中的错误、名称中带有“安全”的异常和错误、有价值的交易(例如),金融交易,昂贵的操作):unicorn:(你应用程序的特殊功能)风险: 如果没有安全相关事件的跟踪,将更难分析安全事件。通过适当的安全事件,安全事件分析所需时间显著减少,从而可以在攻击者达到目标之前阻止攻击。协议在一个易于使用的实时监控系统中可视化。GUI 提供了在协议中搜索特殊属性的功能。风险:系统和应用协议未被正确可视化,导致无法或仅能进行有限的日志评估。特别是开发人员可能会难以使用像 Linux 工具 'cat' 这样的非常规工具来阅读应用程序日志。 使用了集中式日志系统,并且应用程序日志(包括应用程序异常)都会发送到该系统。风险:本地存储的日志可能被具有系统访问权限的攻击者未经授权地篡改,或者在发生事件后可能损坏。此外,日志的关联分析也很困难。这会导致攻击,可以悄无声息地进行。事件在一个系统上进行关联。例如,将失败的登录尝试与成功的登录尝试进行关联和可视化。风险:无法检测涉及不同系统/工具/指标的安全相关事件。有关于如何记录个人身份信息(PII)的概念已被记录并应用。风险:个人可识别信息(PII)被记录,并且未遵守隐私法律(例如《通用数据保护条例》)。标准:已记录并应用如何记录 PII 的概念。

评估
评估状态:
评估备注:

Monitoring

16
G-MO-1-1简单的应用指标成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。已设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝),会产生意外成本。收集系统指标有助于识别事件,尤其是CPU使用、内存使用和硬盘使用等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全计划的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所使用的所有资源。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能因编程错误而导致高负载。标准:收集应用程序指标有助于识别诸如暴力攻击、登录/注销等事件。

评估
评估状态:
评估备注:
G-MO-1-2简单预算指标成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源利用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来显示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生过程中,安全相关信息被发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能由于编程错误而导致高负载。标准:云服务提供商通常会提供预算方面的见解。设置预算阈值和报警。

评估
评估状态:
评估备注:
G-MO-1-3简单的系统指标成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝),会产生意外成本。收集系统指标有助于识别事件,尤其是CPU使用、内存使用和硬盘使用等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生过程中安全相关信息被发现得太晚。测试过程中的指标有助于识别编程错误。风险:变更可能因为编程错误导致高负载。标准:收集系统指标有助于识别事件,特别是像CPU使用、内存使用和硬盘使用等瓶颈问题。

评估
评估状态:
评估备注:
G-MO-2-1Alerting成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全计划的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所使用的所有资源。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事故发生时安全相关信息发现得太晚。测试期间的指标有助于发现编程错误。风险:变更可能由于编程错误导致高负载。标准:为指标设定阈值。如果达到阈值,会发送警报。这些情况应引起重视,因为其影响严重。

评估
评估状态:
评估备注:
G-MO-2-2成本监控成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤防火墙或应用防火墙,可以检测和阻止攻击。目前尚不清楚已检测和阻止了多少次攻击。通过设置内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生时,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:实施成本预算。设置警报阈值,并在达到时发送错误。在最理想的情况下,设置第二个有上限的阈值,以确保成本不会进一步增加。

评估
评估状态:
评估备注:
G-MO-2-3可视化指标成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全计划的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所使用的所有资源。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:指标以用户友好的方式实时可视化。

评估
评估状态:
评估备注:
G-MO-3-1高级可用性和稳定性指标成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机时间。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所使用的所有资源。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息被发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能由于编程错误而导致高负载。标准:收集与可用性和稳定性相关的高级指标。例如,每年的非计划停机次数。

评估
评估状态:
评估备注:
G-MO-3-2系统事件审计成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要负责处理。来自测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息被发现太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:收集系统调用。

评估
评估状态:
评估备注:
G-MO-3-3停用未使用的指标成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。已设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全计划的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤防火墙或应用防火墙,可以检测和阻止攻击。目前尚不清楚已检测和阻止了多少次攻击。通过设置内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生时安全相关信息被发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:停用未使用的指标有助于释放资源。

评估
评估状态:
评估备注:
G-MO-3-4指标分组成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件中安全相关信息被发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:有意义的指标分组有助于加快分析速度。

评估
评估状态:
评估备注:
G-MO-3-5定向警报成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未能收到达到预算上限的通知(例如由于拒绝服务攻击),会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要负责处理。来自测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来显示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤防火墙或应用防火墙这样的入侵检测/防御系统可以检测并阻止攻击。尚不清楚已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板,可以帮助可视化事件。风险:在事件发生过程中,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:根据事件目标群体的定义,人们只会收到他们负责的事件的警报。

评估
评估状态:
评估备注:
G-MO-4-1高级应用指标成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件过程中安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:来自测试和验证维度的所有缺陷都已被记录。

评估
评估状态:
评估备注:
G-MO-4-2覆盖率和控制指标成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及异常活动高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。已设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝),会产生意外成本。收集系统指标有助于识别事件,尤其是CPU使用、内存使用和硬盘使用等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机时间。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生时,安全相关信息发现得太晚。测试期间的度量有助于识别编程错误。风险:变更可能由于编程错误导致高负载。标准:使用覆盖率和控制度量来显示安全程序的有效性。覆盖率是指特定安全控制在特定目标群体中使用所有资源的应用程度。控制程度显示了安全标准和安全指南的实际应用情况。例如,收集有关防病毒、防Rootkit、补丁管理、服务器配置和漏洞管理的信息。

评估
评估状态:
评估备注:
G-MO-4-3防御指标成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机时间。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来显示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生时,安全相关信息被发现得过晚。测试期间的指标有助于识别编程错误。风险:更改可能由于编程错误导致高负载。标准:收集防御指标,如 TCP/UDP 源,可以推断请求的地理位置。假设一个有出站流量过滤器的 Kubernetes 集群(例如)。基于IP/域名的情况,每次违规可能都会发送警报。对于入站流量,可能甚至不会考虑发出警报。

评估
评估状态:
评估备注:
G-MO-4-4带有指标可视化的屏幕成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未能收到达到预算上限的通知(例如由于拒绝服务攻击),会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机时间。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能因编程错误而导致高负载。标准:通过拥有一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。

评估
评估状态:
评估备注:
G-MO-5-1指标与测试结合成熟度实践
信息收集 / Monitoring

收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事故过程中,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能由于编程错误导致高负载。标准:测试期间的指标有助于识别编程错误。

评估
评估状态:
评估备注: