七个指标衡量安全运营有效性
七个指标衡量安全运营有效性
考虑到当下的经济情况,网络安全预算与所有其他支出一样,都面临严格审查的境地,某些情况下甚至会被削减。安全主管保住自家安全运营计划的最佳方式之一,就是确保贴合公司管理层和董事会的业务重点。其中一个重要部分就是提供各项指标,证明安全计划的有效性。制定安全运营指标能使利益相关者跟踪安全计划的当前状态和对业务目标的支持情况。
安全运营中心是个业务攸关职能,但衡量其有效性并不容易。企业可以从各种不同方法中加以选择。安全运营的响应速度就是其中一个重要方面,是快速控制下来的入侵还是灾难性数据泄露,就全看响应够不够快了。
因此,从平均检测时间(MTTD)和平均响应时间(MTTR)之类基本指标入手,可以令安全主管和利益相关者都更加了解安全运营情况,做出更好的投资决策,并向公司领导层和董事会证明SOC的价值。
提高有效性
网络韧性安全运营计划的主要目标应该是缩短公司的MTTD和MTTR,从而限制网络事件对公司的破坏。
MTTD衡量的是发现潜在安全威胁所需的时间。这一指标有助于了解安全运营的有效性和安全团队识别威胁的速度与能力。因此,我们的目标就是保持MTTD尽可能短,从而降低安全事件对公司的影响。
同时,MTTR帮助衡量从检测到威胁到响应威胁所需的时间。如果响应时间长,表明威胁可导致破坏性数据泄露。所以我们在这方面的目标就是加速响应并减小风险,与MTTD类似。
MTTD和MTTR都是衡量和提高安全团队能力的关键指标,因为随着公司成熟度不断上升,跟踪安全团队的有效性至关重要。与基础业务运营一样,想要提高成熟度就应该衡量运营有效性,这样才能确定是否在朝着KPI和SLA迈进。
除了MTTD和MTTR,想要确保有效衡量和沟通运营有效性还需要监测其他指标。
保障安全运营成功
以下7个指标有助于衡量安全运营计划是否需要提升。
警报分类时间(TTT):衡量团队紧急检查警报的能力。TTT有助于实时了解威胁响应水平。该指标可以表明安全团队可能需要额外的人手来缩小监测重点,或者表明安全团队有足够的员工承担更大监测量。
警报鉴定时间(TTQ):衡量并指示充分调查和鉴定警报需要多长时间。TTQ有助于发现警报鉴定方面的障碍和安全团队在这方面的能力。
威胁调查时间(TTI):衡量并指示彻底调查经鉴定的威胁需要多少个小时。TTI可供在高效调查威胁时发现瓶颈和了解团队的能力。
缓解时间(TTM):衡量缓解事件和解决当前业务风险所需的时间。TTM有助于了解安全团队能够以多快的速度缓解问题,阻止活跃威胁肆虐。
恢复时间(TTV):衡量从事件中完全恢复所需的时间。测量TTV有助于弄清安全团队和其他相关人员能够以多快的速度将各项运营完全恢复到正常状态。此外,TTV也有助于找出运营和协作中的瓶颈。
事件检测时间(TTD):衡量从初步检出事件到最终确认事件所需的时间。TTD是安全运营有效性的关键指标,因为该指标表明识别真正导致事件的威胁需要多长时间。
事件响应时间(TTR):衡量完全调查和缓解已确认事件所需的时间。TTR是衡量安全运营有效性的重要指标,因为该指标指示分析和缓解导致事件的威胁需要多少时间。
通过数据收集、分析和报告,这些指标可以提供关于安全计划有效性、绩效和责任方面的信息,也可以令安全团队发现过程中的瓶颈,确定工具或流程需要调整的地方。所有业务流程都需要衡量才能有所改善,安全运营也不例外。通过各项指标展现有效性是向业务部门和整个公司显示价值的必备要素。