隨著現(xiàn)代企業(yè)數(shù)字化轉型發(fā)展的不斷深入，在網絡安全建設中的投入也在不斷增加，力求全方位保障企業(yè)的業(yè)務系統(tǒng)和數(shù)據(jù)資產安全。然而，安全上的投資與人員上的投入，并不直接等同于實際防護能力的提升。

網絡安全由于其服務支撐功能定位，其能力構成與投入效果很難被量化地感知和考量，往往依靠主觀和感性的判斷，建設單位投入了大量的資源，最后并沒有得到相匹配的安全保障。實踐證明，很多企業(yè)的安全建設中都存在安全產品堆積、功能落差大、回報率低、實戰(zhàn)能力未知等問題。

檢測考核是驗證一切工作成果最有效的方法，缺失有效的、客觀檢測和考核量化指標，一旦出現(xiàn)問題，建設單位將付出慘重的代價。在企業(yè)實際安全運營工作中，有許多指標需要考慮，比如平均漏洞修補時間、數(shù)據(jù)傳輸速率和網絡端口暴露面等。但是每個企業(yè)都應建立一套基本性的安全建設策略與評價方法，從核心要素入手，對網絡安全投入效果與實際能力進行科學、客觀的評價，本文討論了企業(yè)要密切跟蹤的五個重要安全能力指標。

平均檢測時間

平均檢測時間(MTTD)是IT運營團隊需衡量的標準指標，他們用它來評估識別特定的問題平均用時多久。由于威脅分子使用越來越隱蔽的手法來隱藏攻擊意圖，因此許多企業(yè)很難快速檢測到其面臨的網絡安全威脅，MTTD能力指標目前對企業(yè)的價值變得越來越重要。

發(fā)現(xiàn)環(huán)境中是否存在威脅所需的時間越長，攻擊可能造成的危害就越大。如果未能檢測并隔離受影響的資源，事件可能愈演愈烈，結果影響更多的應用程序和數(shù)據(jù)。企業(yè)需要定期全面評估安全團隊檢測網絡安全事件需要多長時間，并旨在不斷縮短這個指標。

平均處置時間

檢測只是解決安全事件的第一步。這就是為什么平均處置時間(MTTR)是同等重要的安全分析指標，需要認真衡量。

MTTR反映了安全事件發(fā)生后安全運營團隊的工作效率有多高。如果跟蹤這個指標，就可以評估改變安全運營策略后可以獲得多大的效率，比如采用一種新工具，或者對安全響應團隊進行組織層面上的改變。MTTR還可用于評估團隊快速解決不同安全事件的能力，比如DDoS攻擊、勒索軟件攻擊和數(shù)據(jù)泄漏。

平均響應時間

響應通常出現(xiàn)在安全事件檢測與有效處置之間。響應是指這個過程：一旦檢測到安全事件，隔離受影響的資源，以免使其受到進一步的危害。

平均響應時間(MTTC)在一些方面甚至比MTTR還要重要，因為解決安全事件的總成本很大程度上取決于安全團隊對突發(fā)事件的快速響應能力，響應時間越短，解決問題的成本就會越低。

因此，除了跟蹤MTTD和MTTR外，還要跟蹤MTTC。如果管理者發(fā)現(xiàn)組織可以迅速檢測事件，但之后卻需要很長時間才能啟動有效的響應機制和流程，這就反映出整體安全能力建設的不均衡，有必要在響應能力提升方面加大投入。

網絡資產的識別能力

今天的網絡變得非常彈性，各種終端設備不斷接入和下線，網絡邊界已經變得越來越模糊，因為它們不斷連接到遠程云基礎設施和通過VPN連接異地網絡等。這意味著企業(yè)更加難以準確認定網絡設備的合法性和安全性。

在此背景下，安全團隊更需要系統(tǒng)地跟蹤網絡上有多少未識別的設備。未識別的設備是指來源和用途未知的設備。在許多情況下，未識別的設備是良性的。它們可能是工程師創(chuàng)建的新虛擬機，也可能是員工帶到現(xiàn)場的移動設備。

不過，網絡上未識別設備的數(shù)量通常應遵循一致的模式。假設檢測到的未知設備突然激增，這可能表明面臨風險，比如未遵守公司IT治理規(guī)定的員工未經授權創(chuàng)建了新端點，或者更糟糕的是，攻擊者將惡意設備帶入到環(huán)境，導致安全事件升級。

訪問控制能力

現(xiàn)代IT環(huán)境的訪問控制角色和策略很復雜。不同的網絡基礎設施(比如公共云以及本地服務器和工作站)通常需要匹配不同的訪問控制方法，因而需要使用不同類型的設備和策略。

沒有哪種簡單的方法可以跟蹤訪問控制配置或積極識別風險。為此，需要全面而詳細的訪問控制管理技術，比如云安全態(tài)勢管理(CSPM)和云基礎設施權限管理(CIEM)。很多安全分析策略都可以跟蹤指標，比如訪問控制配置中的用戶和角色數(shù)量等指標。企業(yè)還可以衡量訪問控制策略變化的頻率。這兩個指標若出現(xiàn)異常波動，很大程度上表明可能已經存在安全問題。

參考鏈接：

https://www.helpnetsecurity.com/2022/04/28/security-analytics-importance/。