如今，網(wǎng)絡(luò)安全運(yùn)營已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全保障建設(shè)的一項重要內(nèi)容。安全運(yùn)營做的好，企業(yè)的安全風(fēng)險就會降低，反之，則可能會存在重大安全隱患。不過，隨著網(wǎng)絡(luò)攻擊技術(shù)的日新月異，企業(yè)安全運(yùn)營體系也需要不斷的優(yōu)化和改進(jìn)，并定期對安全運(yùn)營中心（SOC）及運(yùn)營計劃的有效性進(jìn)行評估，但這并不容易。

據(jù)最新研究數(shù)據(jù)顯示，目前大多企業(yè)組織的安全運(yùn)營成熟度有待改進(jìn)和提升。在對250多名安全運(yùn)營人員的調(diào)查中，僅有不到2成的受訪者對目前的安全運(yùn)營能力感到滿意；其余受訪者則認(rèn)為，其所在組織的安全運(yùn)營工作并不成熟，或者并不了解安全運(yùn)營水平究竟如何。

MTTD（平均檢測時間）和MTTR（平均響應(yīng)時間）是目前最常用于衡量安全運(yùn)營效率的評價指標(biāo)，減少M(fèi)TTD和MTTR已經(jīng)成為企業(yè)增強(qiáng)安全運(yùn)營彈性的主要目標(biāo)。但隨著企業(yè)成熟度的提高，這時候需要更全面的評估安全運(yùn)營團(tuán)隊是否可以實(shí)現(xiàn)其關(guān)鍵績效指標(biāo)（KPI）和服務(wù)等級協(xié)議（SLA）。因此，除了MTTD和MTTR外，企業(yè)還應(yīng)該跟蹤更多的關(guān)鍵性能力指標(biāo)，以衡量組織應(yīng)對網(wǎng)絡(luò)威脅的真實(shí)安全運(yùn)營能力。

以下總結(jié)了7個關(guān)鍵指標(biāo)，可以幫助企業(yè)更好地設(shè)置安全運(yùn)營基線，從而更全面了解安全運(yùn)營計劃的執(zhí)行情況，并從中發(fā)現(xiàn)存在的問題和不足：

1、平均事件檢測時間

（Mean Incident Time to Detect，MTTD）

MTTD是指安全風(fēng)險事件從最初被檢測到最終確定其有效性所花費(fèi)的時間。它是衡量安全運(yùn)營效率的關(guān)鍵指標(biāo)，可以反映企業(yè)在識別安全事件的真實(shí)威脅方面的能力和水平。

指標(biāo)價值：

• 實(shí)現(xiàn)基于威脅/事件類型（例如通過MITRE ATT&CK類別）的事件調(diào)查和報告。
• 實(shí)現(xiàn)基于威脅檢測方法（捕獲、行為分析、場景分析、特定威脅檢測技術(shù)等）的安全事件調(diào)查和報告。
• 發(fā)現(xiàn)安全運(yùn)營體系在支持威脅發(fā)現(xiàn)和威脅鑒定方面的能力水平和不足。

2、平均事件響應(yīng)時間

（Mean Incident Time to Response，MTTR）

MTTR是衡量調(diào)查和減輕已確認(rèn)事件所花費(fèi)的時間。它是衡量安全運(yùn)營效率的關(guān)鍵指標(biāo)，顯示了安全運(yùn)營團(tuán)隊在分析和緩解安全事件的實(shí)際威脅方面的能力與不足。

指標(biāo)價值：

• 實(shí)現(xiàn)基于威脅/事件類型的安全事件調(diào)查與報告。
• 發(fā)現(xiàn)安全運(yùn)營體系在安全事件響應(yīng)方面存在的問題和不足。

3、平均警報分類時間

（Mean Alarm Time to Triage，MTTT）

MTTT是指從警報信息出現(xiàn)到運(yùn)營團(tuán)隊開始檢查告警信息所需的時間。它可以幫助企業(yè)了解對威脅的實(shí)時響應(yīng)水平。

指標(biāo)價值：

• 實(shí)現(xiàn)對警報信息的優(yōu)先級范圍劃分。
• 明確安全運(yùn)營團(tuán)隊需要承擔(dān)的監(jiān)控負(fù)載和范圍。
• 可以明確安全運(yùn)營團(tuán)隊的監(jiān)控重點(diǎn)，并以此優(yōu)化團(tuán)隊配置。

4、平均警報合格時間

（Mean  Alarm Time to Qualify，MTTQ）

MTTQ是指警報信息經(jīng)過全面檢查到確定其有效性或添加為威脅所需的時間。MTTQ可幫助企業(yè)了解安全運(yùn)營團(tuán)隊識別威脅的能力以及其中所存在的能力瓶頸。

指標(biāo)價值：

• 實(shí)現(xiàn)警報優(yōu)先級范圍內(nèi)的有效報告。
• 實(shí)現(xiàn)對警報結(jié)果的評價。
• 發(fā)現(xiàn)安全運(yùn)營解決方案在警報查詢、分析和上下文檢索方面存在能力不足。

5、平均威脅調(diào)查時間

（Mean Threat Time to Investigate，MTTI）

MTTI是指新添加的威脅經(jīng)過全面調(diào)查到確定有效性或升級為事件所需的時間。它可以幫助企業(yè)識別對新安全威脅事件的識別和調(diào)查能力。

指標(biāo)價值：

• 實(shí)現(xiàn)基于威脅/事件類型（例如通過MITRE ATT&CK類別）的調(diào)查和報告。
• 評估安全運(yùn)營解決方案在搜索、數(shù)據(jù)分析、上下文分析和協(xié)作領(lǐng)域的進(jìn)展?fàn)顩r和能力水平。

6、平均事件緩解時間

（Mean Time to Mitigate，MTTM）

MTTM是指從安全事件創(chuàng)建到事件風(fēng)險緩解并消除所花費(fèi)的時間。它可以幫助企業(yè)了解安全運(yùn)營團(tuán)隊能夠以多快的速度解決新出現(xiàn)的安全風(fēng)險事件。

指標(biāo)價值：

• 實(shí)現(xiàn)基于威脅/事件類型（例如通過MITRE ATT&CK類別）的風(fēng)險處置流程。
• 發(fā)現(xiàn)現(xiàn)有安全運(yùn)營體系在調(diào)查取證、標(biāo)準(zhǔn)化操作、自動化和團(tuán)隊協(xié)作方面的能力水平和存在問題。

7、平均事件恢復(fù)時間

（Mean Time to Recover，MTTV）

MTTV是指從安全風(fēng)險事件緩解到完全恢復(fù)所需的時間。它可以幫助企業(yè)了解安全運(yùn)營團(tuán)隊和其他相關(guān)群體從突發(fā)安全事件中完全恢復(fù)的能力和速度，也可以從中識別出安全運(yùn)營和協(xié)作的難點(diǎn)及瓶頸。

指標(biāo)價值：

• 實(shí)現(xiàn)基于威脅/事件類型（例如通過MITRE ATT&CK類別）的安全事件應(yīng)對和處置。
• 發(fā)現(xiàn)現(xiàn)有安全運(yùn)營體系在調(diào)查取證、標(biāo)準(zhǔn)化操作、自動化響應(yīng)和團(tuán)隊協(xié)作方面的能力水平和存在問題。