如今,网络安全运营已经成为企业网络安全建设的重要组成部分。安全运营做好了,企业的安全风险就会降低;否则,可能存在重大安全隐患。然而,随着网络攻击技术的快速发展,企业安全运营体系也需要不断优化和完善,定期评估安全运营中心(SOC)和运营计划的有效性,但这并不容易。根据最新研究数据显示,大部分企业组织的安全运营成熟度有待提高和提高。在对250多名安全运维人员的调查中,只有不到20%的受访者对目前的安全运维能力感到满意;其余受访者认为,他们所在机构的安全运营工作还不成熟,或者不知道安全级别如何。MTTD(MeanTimetoDetection)和MTTR(MeanTimetoResponse)是目前最常用的衡量安全运营效率的评估指标。降低MTTD和MTTR成为企业增强安全运营弹性的主要目标。但随着企业的成熟,是时候更全面地评估安全运营团队是否能够实现其关键绩效指标(KPI)和服务水平协议(SLA)。因此,除了MTTD和MTTR之外,企业还应该追踪更多的关键能力指标,以衡量组织应对网络威胁的真实安全运营能力。下面总结了7个关键指标,可以帮助企业更好地设定安全运营基线,从而更全面地了解安全运营计划的执行情况,发现存在的问题和不足:1.平均事件检测时间(MeanIncidentTimetoDetect,MTTD)MTTD是指安全风险事件从被检测到最终确定其有效性所花费的时间。它是衡量安全运营效率的关键指标,能够反映企业识别安全事件真实威胁的能力和水平。指标值:启用基于威胁/事件类型的事件调查和报告(例如通过MITREATT&CK类别)。支持基于威胁检测方法(捕获、行为分析、场景分析、特定威胁检测技术等)的安全事件调查和报告。发现安全操作系统在支持威胁发现和威胁识别方面的能力和差距。2.平均事件响应时间(MeanIncidentTimetoResponse,MTTR)MTTR是衡量调查和缓解已确认事件所花费的时间。它是衡量安全运营有效性的关键指标,显示了安全运营团队在分析和缓解安全事件真正威胁方面的能力和差距。指标值:实现基于威胁/事件类型的安全事件调查和报告。发现安全运营体系在应对安全事件中存在的问题和不足。3、平均报警分流时间(MeanAlarmTimetoTriage,MTTT)MTTT是指从报警信息出现到运营团队开始检查报警信息所需要的时间。它可以帮助企业了解对威胁的实时响应级别。指标值:启用警报信息的优先级和范围。明确安全运营团队需要承担的监控负荷和范围。明确安全运营团队的监控重点,优化团队配置。4.平均报警合格时间(MeanAlarmTimetoQualify,MTTQ)MTTQ是指报警信息经过全面检查以确定其有效性或将其添加为威胁所需的时间。MTTQ帮助组织了解安全运营团队识别威胁和能力瓶颈的能力。指标值:启用跨警报优先级的有效报告。启用对警报结果的评估。人们发现安全运营解决方案在查询、分析和检索警报上下文的能力方面存在缺陷。5.平均威胁调查时间(MTTI)MTTI是指对新添加的威胁进行全面调查以确定其有效性或升级为事件所需的时间。它可以帮助组织识别和调查新的安全威胁事件。指标值:启用基于威胁/事件类型的调查和报告(例如通过MITREATT&CK类别)。评估安全运营解决方案在搜索、数据分析、上下文分析和协作领域的进展状态和能力水平。6.平均缓解时间(MeanTimetoMitigate,MTTM)MTTM是指安全事件从产生到事件风险得到缓解和消除所花费的时间。它可以帮助组织了解安全运营团队能够以多快的速度解决新出现的安全风险事件。指标值:启用基于威胁/事件类型的风险处理流程(例如,通过MITREATT&CK类别)。发现现有安全操作系统在调查取证、标准化操作、自动化、团队协作等方面的能力和存在问题。7.平均恢复时间(MTTV)MTTV是指安全风险事件从缓解到完全恢复所需的时间。它可以帮助企业了解安全运营团队和其他相关团队从意外安全事件中完全恢复的能力和速度,还可以识别安全运营和协作中的难点和瓶颈。指标值:启用基于威胁/事件类型的安全事件响应和处置(例如,通过MITREATT&CK类别)。发现现有安全操作系统在调查取证、标准化操作、自动化响应、团队协作等方面的能力和存在问题。
