只有可以被衡量的事才能得到有效管理，對于網(wǎng)絡(luò)安全運(yùn)營工作更是如此。在日常工作中，安全運(yùn)營團(tuán)隊(duì)?wèi)?yīng)該通過可量化的指標(biāo)向企業(yè)管理層和其他業(yè)務(wù)部門展示組織當(dāng)前的網(wǎng)絡(luò)安全建設(shè)狀況和風(fēng)險(xiǎn)態(tài)勢，同時(shí)證明現(xiàn)有的網(wǎng)絡(luò)安全投入是否有效。

在此背景下，網(wǎng)絡(luò)安全運(yùn)營工作應(yīng)該被設(shè)置合理的績效指標(biāo)?；谶@些指標(biāo)，企業(yè)可以更好地了解當(dāng)前面臨的風(fēng)險(xiǎn)，了解攻擊者的攻擊企圖，同時(shí)還能夠?yàn)閮?yōu)化未來的工作目標(biāo)提供參考。本文收集整理了企業(yè)網(wǎng)絡(luò)安全運(yùn)營工作中應(yīng)該密切跟蹤的12個(gè)關(guān)鍵績效度量指標(biāo)，并對其特點(diǎn)進(jìn)行了簡要分析。

01、檢測到的入侵企圖

入侵企圖指的是未形成安全事件或后果的攻擊探測行為，所有成功的入侵事件都可能由其發(fā)展而來。因此，企業(yè)應(yīng)該將攻擊者嘗試獲得非法訪問的次數(shù)作為安全工作的衡量指標(biāo)之一，這需要通過防火墻和SOC系統(tǒng)的日志來收集相關(guān)情報(bào)。入侵企圖表明了企業(yè)面臨的威脅總數(shù)量。企業(yè)安全運(yùn)營普遍存在的一個(gè)問題是，當(dāng)威脅預(yù)防機(jī)制奏效、很少發(fā)生事件時(shí)，管理者往往會錯(cuò)誤認(rèn)為本企業(yè)不再是攻擊者的主要目標(biāo)，但事實(shí)并非如此。

02、已經(jīng)發(fā)生的安全事件數(shù)量

企業(yè)組織已發(fā)生的安全事件指的是攻擊者已經(jīng)成功實(shí)現(xiàn)的攻擊行為，對組織的資產(chǎn)或數(shù)據(jù)造成了實(shí)際的損失。攻擊者破壞企業(yè)信息資產(chǎn)或網(wǎng)絡(luò)的次數(shù)可以作為衡量企業(yè)網(wǎng)絡(luò)安全建設(shè)不足的重要指標(biāo)。安全運(yùn)營工作的一個(gè)關(guān)鍵方面是密切關(guān)注改變工具和流程是否會帶來改進(jìn)。通過匯集企業(yè)安全事件數(shù)量和發(fā)生率方面的數(shù)據(jù)，可以幫助企業(yè)確保落實(shí)到位的防御措施對保護(hù)企業(yè)的數(shù)字資產(chǎn)帶來了積極影響。

03、網(wǎng)絡(luò)安全事件嚴(yán)重程度

了解組織的網(wǎng)絡(luò)入侵或數(shù)據(jù)盜竊的嚴(yán)重程度將有助于合理設(shè)定安全運(yùn)營工作的優(yōu)先級，以確保導(dǎo)致企業(yè)業(yè)務(wù)中斷等嚴(yán)重網(wǎng)絡(luò)安全事件不會繼續(xù)發(fā)生。這個(gè)績效指標(biāo)還可以用來評估新的安全措施或流程是否切實(shí)有效。

04、平均威脅響應(yīng)時(shí)間（MTTC）

威脅響應(yīng)是指在安全事件檢測與有效處置之間的事件應(yīng)對情況。解決安全事件的總成本很大程度上取決于安全團(tuán)隊(duì)對突發(fā)事件的快速響應(yīng)能力，響應(yīng)時(shí)間越短，解決問題的成本就會越低。如果企業(yè)需要很長時(shí)間才能啟動(dòng)有效的響應(yīng)機(jī)制和流程，這就反映出整體安全能力建設(shè)的不均衡。

05、平均威脅處置時(shí)間（MTTR）

迅速響應(yīng)網(wǎng)絡(luò)安全事件只是安全事件處置的一方面，平均威脅處置時(shí)間（MTTR）則可以反映安全事件發(fā)生后安全運(yùn)營團(tuán)隊(duì)的處置效率有多高。如果跟蹤這個(gè)指標(biāo)，就可以評估調(diào)整安全運(yùn)營策略將可以獲得哪些好處。MTTR還可用于評估安全團(tuán)隊(duì)快速解決不同安全事件的能力，比如DDoS攻擊、勒索軟件攻擊和數(shù)據(jù)泄漏等。

06、誤報(bào)和漏報(bào)程度

網(wǎng)絡(luò)安全運(yùn)營需要依賴各種安全工具來識別和檢測惡意軟件或可疑行為，并在發(fā)現(xiàn)可疑情況時(shí)提醒安全運(yùn)營團(tuán)隊(duì)。然而這類工具需要微調(diào)和定期維護(hù)，以免發(fā)生誤報(bào)和漏報(bào)。跟蹤誤報(bào)和漏報(bào)的數(shù)量情況可以幫助團(tuán)隊(duì)確定各項(xiàng)安全工具的配置是否恰當(dāng)。

07、漏洞補(bǔ)丁更新時(shí)間

網(wǎng)絡(luò)犯罪分子正在大量使用威脅情報(bào)工具，以利用補(bǔ)丁發(fā)布和實(shí)際修補(bǔ)之間的時(shí)間差。因此，企業(yè)應(yīng)準(zhǔn)確了解實(shí)施應(yīng)用程序安全補(bǔ)丁或緩解CVE列出的高風(fēng)險(xiǎn)漏洞需要多長時(shí)間。典型的事例就是勒索軟件“WannaCry”的廣泛破壞，雖然其所利用的“永恒之藍(lán)（EternalBlue）”漏洞很快就被修補(bǔ)，但由于很多企業(yè)的補(bǔ)丁更新工作不夠及時(shí)，結(jié)果還是淪為了受害者。

08、漏洞評估結(jié)果

漏洞掃描工具會針對IT系統(tǒng)和用戶設(shè)備運(yùn)行測試，查看它們是否針對已知漏洞進(jìn)行了修復(fù)，并識別其他潛在的安全問題。漏洞評估結(jié)果會列出各種新的和仍然存在的漏洞、風(fēng)險(xiǎn)評級、漏洞得逞/失敗率及其他數(shù)據(jù)。如果將該信息與漏洞修復(fù)時(shí)間這一指標(biāo)結(jié)合使用，企業(yè)就可以確定是否應(yīng)該分配更多的資源來保障漏洞管理工作。

09、內(nèi)部用戶的訪問安全性指標(biāo)

企業(yè)負(fù)責(zé)人可能會認(rèn)為網(wǎng)絡(luò)安全威脅主要來自企業(yè)外部。然而在很多數(shù)字化企業(yè)中，針對內(nèi)部用戶的網(wǎng)絡(luò)安全指標(biāo)顯示，內(nèi)部威脅是更為嚴(yán)重的問題。收集和分析員工的訪問權(quán)限以及應(yīng)用程序和數(shù)據(jù)訪問方面的信息，可以表明內(nèi)部安全問題以及需要對用戶訪問控制所做的更改。

10、網(wǎng)絡(luò)整體流量數(shù)據(jù)

雖然企業(yè)網(wǎng)絡(luò)中的整體流量數(shù)據(jù)量不是嚴(yán)格意義上的安全度量指標(biāo)，但對于識別潛在威脅、確定安全工具和流程的可擴(kuò)展性大有裨益。網(wǎng)絡(luò)流量的變化（無論是逐漸的變化還是突發(fā)的變化）都可能表明惡意軟件入侵或其他類型的網(wǎng)絡(luò)攻擊。該度量指標(biāo)還有助于證明需要新的或升級的安全措施。它有助于傳達(dá)這個(gè)觀念：隨著網(wǎng)絡(luò)使用量增加，用于保護(hù)網(wǎng)絡(luò)和IT系統(tǒng)的資金應(yīng)該隨之增加。

11、安全審計(jì)和滲透測試次數(shù)

網(wǎng)絡(luò)安全運(yùn)營工作應(yīng)該包括一系列的安全性審計(jì)、風(fēng)險(xiǎn)評估、滲透測試及其他檢查，這樣才可以確保安全流程和工具發(fā)揮正常功效。但是組織的安全運(yùn)營團(tuán)隊(duì)往往日常任務(wù)負(fù)擔(dān)過重，導(dǎo)致這些重要的工作被延遲或遺忘。在此背景下，組織應(yīng)該通過跟蹤安全審計(jì)和滲透測試等任務(wù)的次數(shù)，了解網(wǎng)絡(luò)安全運(yùn)營工作中是否有存在疏忽的環(huán)節(jié)。

12、與同行橫向比較的安全基準(zhǔn)

安全團(tuán)隊(duì)向董事會級別進(jìn)行工作報(bào)告時(shí)，一種重要的主題就是，企業(yè)目前的網(wǎng)絡(luò)安全狀況如能力，與所在行業(yè)的同行企業(yè)相比如何。這些匯報(bào)信息和評價(jià)指標(biāo)更容易被管理層所理解，且在視覺上更加具有吸引力，容易受到非專業(yè)型領(lǐng)導(dǎo)的關(guān)注。從某種意義上說，與同行橫向比較的安全基準(zhǔn)是一個(gè)“比較指標(biāo)的指標(biāo)”。這樣的基準(zhǔn)測試有助于確定IT安全團(tuán)隊(duì)與同行相比是處于正常水平還是需要重新調(diào)整。

參考鏈接：https://www.techtarget.com/searchsecurity/tip/7-key-cybersecurity-metrics-for-the-board-and-how-to-present-them