鉴于当前的金融环境,网络安全预算可能会与所有其他支出一起接受审查,在某些情况下,可能会被砍掉。 安全领导者保护其安全运营计划的最佳方式之一是确保 与业务优先级保持一致 他们的执行团队和董事会。 其中一个重要部分是提供证明程序有效性的指标。 制定指标 对于您的安全操作,利益相关者可以跟踪程序的当前状态以及程序如何支持业务目标。
安全运营中心是一项关键业务功能,但衡量 SOC 的有效性并不容易。 组织可以从多种不同的方法中进行选择。 安全操作中的响应速度是一个重要方面,它可以在快速遏制的妥协与灾难性数据泄露之间产生重大影响。
因此,从基本指标开始,例如 平均检测时间 (MTTD) 和平均响应时间 (MTTR) 将使您和您的利益相关者能够更深入地了解运营,做出更好的投资决策,并向执行领导层和董事会展示价值。
提高效率
弹性安全运营计划的主要目标应该是降低组织“s MTTD 和 MTTR 以限制网络事件对您的组织造成的任何损害。
MTTD 衡量发现潜在安全威胁所需的时间。 此指标可帮助您了解组织的有效性“安全运营和您的团队“识别威胁的速度和能力。 因此,目标是将此指标保持在尽可能低的水平,以减少妥协对您的组织的影响。
同时,MTTR 可帮助您衡量检测到威胁后对其做出响应所需的时间。 较长的响应时间表明妥协可能导致破坏性的数据泄露。 目标是加快您的响应并降低风险,就像 MTTD 一样。
MTTD 和 MTTR 都是衡量和改进团队的关键指标“的能力,因为跟踪团队作为组织的有效性至关重要“成熟度增长。 与任何基本业务运营一样,要使您的组织成熟,您应该衡量运营效率以确定您的组织是否达到了其 KPI 和 SLA。
除了 MTTD 和 MTTR 之外,您还应该监控其他指标,以确保您有效地衡量和传达运营效率。
确保安全运营成功
以下是您应该衡量的七个指标,以帮助了解您的安全运营计划可能需要改进的地方。
警报分类时间 (TTT): 测量团队“紧急检查警报的能力。 它可以帮助您实时了解对威胁的响应级别。 这可能表明您的团队可能需要额外的员工来缩小其监控重点,或者您有足够的员工来承担更大的监控负载。
合格警报时间 (TTQ): 测量并指示对警报进行全面调查和鉴定所需的时间。 TTQ 帮助您发现障碍并了解您的团队“在涉及合格威胁时的范围。
威胁调查时间 (TTI): 测量并指示彻底调查合格威胁所需的小时数。 它使您能够识别瓶颈并了解您的团队“以有效方式调查威胁时的能力。
缓解时间 (TTM): 衡量缓解事件和解决直接业务风险所需的时间长度。 TTM 可帮助您了解您的团队可以多快缓解问题以阻止或阻止活跃的威胁。
恢复时间 (TTV): 衡量从事件中完全恢复所需的时间。 测量 TTV 可帮助您了解您的安全团队和其他相关人员能够以多快的速度将操作完全恢复到正常状态。 还可以发现运营和协作方面的瓶颈。
事件检测时间 (TTD): 衡量确认事件最初被检测到并最终合格所需的时间。 TTD 是安全运营有效性的重要指标,因为它表明识别实际导致事件的威胁所需的时间。
事件响应时间 (TTR): 衡量全面调查和缓解已确认事件所需的持续时间。 TTR 是衡量安全运营有效性的一项重要指标,因为它提供了分析和缓解导致事件的威胁所需的时间。
指标旨在通过收集、分析和报告数据,提供有关安全计划的有效性、性能和责任的信息的见解。 它们还使您能够发现流程中的瓶颈,并确定工具或流程的哪些地方需要返工。 所有业务流程都需要衡量才能改进,安全运营在这方面也不例外。 通过指标展示有效性是向更广泛的业务展示价值的必要元素。
