安全运营中心(SOC)是企业网络安全防御体系的核心,但评估SOC的能力和有效性并不容易。虽然可用于评估SOC能力的指标有很多,但响应速度是公认的关键指标,快速响应对于遏制攻击和避免灾难性的数据泄露有着重大意义。

与“时间”和“速度”有关的基本指标有很多,大家耳熟能详,同时也是最为重要的是平均检测时间(MTTD)和平均响应时间(MTTR),这两个关键指标也是GoUpSec此前发布的“董事会最关注的七个安全指标”之一。

企业规划和实施弹性安全运营计划的主要目标就是降低MTTD和MTTR,将网络攻击对企业造成的损失降至最低限度。

MTTD指发现潜在安全威胁所需的平均时间。该指标可有助于了解企业安全运营的有效性以及团队识别威胁的速度和能力。因此,目标是使该指标尽可能低,以减少妥协对组织的影响。

MTTR则是检测到威胁后对其做出响应所需的平均时间。较长的响应时间表明攻击可能导致更为严重的数据泄露。类似MTTD,改善MTTR指标意味着企业能更快做出响应并降低风险。

MTTD和MTTR都是衡量和提高企业安全运营中心团队能力的关键指标,因为随着企业安全成熟度的增长,定期评估团队的有效性至关重要。安全主管们需要通过MTTD和MTTR等指标来评估安全运营的有效性以确定是否达到KPI和SLA要求。

除了MTTD和MTTR外,安全主管们还应该监控其他与“速度”有关的指标,以确保有效评估和传达安全运营有效性。

以下,我们整理了企业安全运营中心需要关注的另外七个“速度”指标,可用于全面了解和改进安全运营计划:

警报分类时间(TTT)

TTT指从警报信息出现到团队开始检查信息所用的时间,可用于衡量团队紧急检查警报的能力。TTT有助于实时了解团队对威胁的响应速度。TTT指标可用于评估警报的优先级分类、并根据团队配置划分重点监控范围。

警报合格时间(TTQ)

TTQ用于衡量警报需要多长时间才能得到有效性验证和全面调查。TTQ可用于发现团队识别威胁的能力或面临的障碍。

威胁调查时间(TTI)

彻底调查威胁所需的时间。TTI有助于识别威胁调查的瓶颈并了解团队的真实能力。

缓解时间(TTM)

衡量缓解事件和消除直接业务风险所需的时间。TTM有助于了解团队能够以多快的速度缓解问题或阻止主动威胁。

恢复时间(TTV)

从安全事件中完全恢复所需的时间。测量TTV可帮助您了解安全团队和其他相关人员能够以多快的速度将运营完全恢复到正常状态。该指标还有助于发现运营和协作中的瓶颈。

事件检测时间(TTD)

事件被检测发现到最终完成有效性确认所需的时间。TTD是安全运营有效性的重要指标,因为它展示了识别实际导致事件的威胁所需的时间。

事件响应时间(TTR)

全面调查和缓解已确认事件所需的时间。TTR是衡量安全运营有效性的重要指标,因为它显示了分析和缓解导致事件的威胁所需的时间。

上述指标旨在通过收集、分析和报告数据,为SOC和安全计划的有效性、能力和责任的评估提供依据。这些指标还有助于发现流程中的瓶颈,并确定工具或流程需要整改和优化的地方。所有业务流程都需要基于指标改进,安全运营也不例外。而且,这些指标也有着重要的沟通作用,有助于安全团队向企业其他部门和管理层直观地展示安全运营的能力和价值(提升)。

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。