如今，網(wǎng)絡(luò)安全運(yùn)營(yíng)已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全保障建設(shè)的一項(xiàng)重要內(nèi)容。安全運(yùn)營(yíng)做的好，企業(yè)的安全風(fēng)險(xiǎn)就會(huì)降低，反之，則可能會(huì)存在重大安全隱患。不過(guò)，隨著網(wǎng)絡(luò)攻擊技術(shù)的日新月異，企業(yè)安全運(yùn)營(yíng)體系也需要不斷的優(yōu)化和改進(jìn)，并定期對(duì)安全運(yùn)營(yíng)中心（SOC）及運(yùn)營(yíng)計(jì)劃的有效性進(jìn)行評(píng)估，但這并不容易。

　　據(jù)最新研究數(shù)據(jù)顯示，目前大多企業(yè)組織的安全運(yùn)營(yíng)成熟度有待改進(jìn)和提升。在對(duì)250多名安全運(yùn)營(yíng)人員的調(diào)查中，僅有不到2成的受訪者對(duì)目前的安全運(yùn)營(yíng)能力感到滿意；其余受訪者則認(rèn)為，其所在組織的安全運(yùn)營(yíng)工作并不成熟，或者并不了解安全運(yùn)營(yíng)水平究竟如何。

　　MTTD（平均檢測(cè)時(shí)間）和MTTR（平均響應(yīng)時(shí)間）是目前最常用于衡量安全運(yùn)營(yíng)效率的評(píng)價(jià)指標(biāo)，減少M(fèi)TTD和MTTR已經(jīng)成為企業(yè)增強(qiáng)安全運(yùn)營(yíng)彈性的主要目標(biāo)。但隨著企業(yè)成熟度的提高，這時(shí)候需要更全面的評(píng)估安全運(yùn)營(yíng)團(tuán)隊(duì)是否可以實(shí)現(xiàn)其關(guān)鍵績(jī)效指標(biāo)（KPI）和服務(wù)等級(jí)協(xié)議（SLA）。因此，除了MTTD和MTTR外，企業(yè)還應(yīng)該跟蹤更多的關(guān)鍵性能力指標(biāo)，以衡量組織應(yīng)對(duì)網(wǎng)絡(luò)威脅的真實(shí)安全運(yùn)營(yíng)能力。

　　以下總結(jié)了7個(gè)關(guān)鍵指標(biāo)，可以幫助企業(yè)更好地設(shè)置安全運(yùn)營(yíng)基線，從而更全面了解安全運(yùn)營(yíng)計(jì)劃的執(zhí)行情況，并從中發(fā)現(xiàn)存在的問(wèn)題和不足：

　　01 平均事件檢測(cè)時(shí)間

　　（Mean Incident Time to Detect，MTTD）

　　MTTD是指安全風(fēng)險(xiǎn)事件從最初被檢測(cè)到最終確定其有效性所花費(fèi)的時(shí)間。它是衡量安全運(yùn)營(yíng)效率的關(guān)鍵指標(biāo)，可以反映企業(yè)在識(shí)別安全事件的真實(shí)威脅方面的能力和水平。

　　指標(biāo)價(jià)值：

　　實(shí)現(xiàn)基于威脅/事件類型（例如通過(guò)MITRE ATT&CK類別）的事件調(diào)查和報(bào)告；

　　實(shí)現(xiàn)基于威脅檢測(cè)方法（捕獲、行為分析、場(chǎng)景分析、特定威脅檢測(cè)技術(shù)等）的安全事件調(diào)查和報(bào)告；

　　發(fā)現(xiàn)安全運(yùn)營(yíng)體系在支持威脅發(fā)現(xiàn)和威脅鑒定方面的能力水平和不足。

　　02 平均事件響應(yīng)時(shí)間

　　（Mean Incident Time to Response，MTTR）

　　MTTR是衡量調(diào)查和減輕已確認(rèn)事件所花費(fèi)的時(shí)間。它是衡量安全運(yùn)營(yíng)效率的關(guān)鍵指標(biāo)，顯示了安全運(yùn)營(yíng)團(tuán)隊(duì)在分析和緩解安全事件的實(shí)際威脅方面的能力與不足。

　　指標(biāo)價(jià)值：

　　實(shí)現(xiàn)基于威脅/事件類型的安全事件調(diào)查與報(bào)告；

　　發(fā)現(xiàn)安全運(yùn)營(yíng)體系在安全事件響應(yīng)方面存在的問(wèn)題和不足。

　　03 平均警報(bào)分類時(shí)間

　　（Mean Alarm Time to Triage，MTTT）

　　MTTT是指從警報(bào)信息出現(xiàn)到運(yùn)營(yíng)團(tuán)隊(duì)開(kāi)始檢查告警信息所需的時(shí)間。它可以幫助企業(yè)了解對(duì)威脅的實(shí)時(shí)響應(yīng)水平。

　　指標(biāo)價(jià)值：

　　實(shí)現(xiàn)對(duì)警報(bào)信息的優(yōu)先級(jí)范圍劃分；

　　明確安全運(yùn)營(yíng)團(tuán)隊(duì)需要承擔(dān)的監(jiān)控負(fù)載和范圍；

　　可以明確安全運(yùn)營(yíng)團(tuán)隊(duì)的監(jiān)控重點(diǎn)，并以此優(yōu)化團(tuán)隊(duì)配置。

　　04 平均警報(bào)合格時(shí)間

　　（Mean  Alarm Time to Qualify，MTTQ）

　　MTTQ是指警報(bào)信息經(jīng)過(guò)全面檢查到確定其有效性或添加為威脅所需的時(shí)間。MTTQ可幫助企業(yè)了解安全運(yùn)營(yíng)團(tuán)隊(duì)識(shí)別威脅的能力以及其中所存在的能力瓶頸。

　　指標(biāo)價(jià)值：

　　實(shí)現(xiàn)警報(bào)優(yōu)先級(jí)范圍內(nèi)的有效報(bào)告；

　　實(shí)現(xiàn)對(duì)警報(bào)結(jié)果的評(píng)價(jià)；

　　發(fā)現(xiàn)安全運(yùn)營(yíng)解決方案在警報(bào)查詢、分析和上下文檢索方面存在能力不足。

　　05 平均威脅調(diào)查時(shí)間

　　（Mean Threat Time to Investigate，MTTI）

　　MTTI是指新添加的威脅經(jīng)過(guò)全面調(diào)查到確定有效性或升級(jí)為事件所需的時(shí)間。它可以幫助企業(yè)識(shí)別對(duì)新安全威脅事件的識(shí)別和調(diào)查能力。

　　指標(biāo)價(jià)值：

　　實(shí)現(xiàn)基于威脅/事件類型（例如通過(guò)MITRE ATT&CK類別）的調(diào)查和報(bào)告；

　　評(píng)估安全運(yùn)營(yíng)解決方案在搜索、數(shù)據(jù)分析、上下文分析和協(xié)作領(lǐng)域的進(jìn)展?fàn)顩r和能力水平。

　　06 平均事件緩解時(shí)間

　　（Mean Time to Mitigate，MTTM）

　　MTTM是指從安全事件創(chuàng)建到事件風(fēng)險(xiǎn)緩解并消除所花費(fèi)的時(shí)間。它可以幫助企業(yè)了解安全運(yùn)營(yíng)團(tuán)隊(duì)能夠以多快的速度解決新出現(xiàn)的安全風(fēng)險(xiǎn)事件。

　　指標(biāo)價(jià)值：

　　實(shí)現(xiàn)基于威脅/事件類型（例如通過(guò)MITRE ATT&CK類別）的風(fēng)險(xiǎn)處置流程；

　　發(fā)現(xiàn)現(xiàn)有安全運(yùn)營(yíng)體系在調(diào)查取證、標(biāo)準(zhǔn)化操作、自動(dòng)化和團(tuán)隊(duì)協(xié)作方面的能力水平和存在問(wèn)題。

　　07 平均事件恢復(fù)時(shí)間

　　（Mean Time to Recover，MTTV）

　　MTTV是指從安全風(fēng)險(xiǎn)事件緩解到完全恢復(fù)所需的時(shí)間。它可以幫助企業(yè)了解安全運(yùn)營(yíng)團(tuán)隊(duì)和其他相關(guān)群體從突發(fā)安全事件中完全恢復(fù)的能力和速度，也可以從中識(shí)別出安全運(yùn)營(yíng)和協(xié)作的難點(diǎn)及瓶頸。

　　指標(biāo)價(jià)值：

　　實(shí)現(xiàn)基于威脅/事件類型（例如通過(guò)MITRE ATT&CK類別）的安全事件應(yīng)對(duì)和處置；

　　發(fā)現(xiàn)現(xiàn)有安全運(yùn)營(yíng)體系在調(diào)查取證、標(biāo)準(zhǔn)化操作、自動(dòng)化響應(yīng)和團(tuán)隊(duì)協(xié)作方面的能力水平和存在問(wèn)題。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<