只有可以被衡量的事才能得到有效管理，對于網絡安全運營工作更是如此。在日常工作中，安全運營團隊應該通過可量化的指標向企業管理層和其他業務部門展示組織當前的網絡安全建設狀況和風險態勢，同時證明現有的網絡安全投入是否有效。

　　在此背景下，網絡安全運營工作應該被設置合理的績效指標。基于這些指標，企業可以更好地了解當前面臨的風險，了解攻擊者的攻擊企圖，同時還能夠為優化未來的工作目標提供參考。本文收集整理了企業網絡安全運營工作中應該密切跟蹤的12個關鍵績效度量指標，并對其特點進行了簡要分析。

　　01、檢測到的入侵企圖

　　入侵企圖指的是未形成安全事件或后果的攻擊探測行為，所有成功的入侵事件都可能由其發展而來。因此，企業應該將攻擊者嘗試獲得非法訪問的次數作為安全工作的衡量指標之一，這需要通過防火墻和SOC系統的日志來收集相關情報。入侵企圖表明了企業面臨的威脅總數量。企業安全運營普遍存在的一個問題是，當威脅預防機制奏效、很少發生事件時，管理者往往會錯誤認為本企業不再是攻擊者的主要目標，但事實并非如此。

　　02、已經發生的安全事件數量

　　企業組織已發生的安全事件指的是攻擊者已經成功實現的攻擊行為，對組織的資產或數據造成了實際的損失。攻擊者破壞企業信息資產或網絡的次數可以作為衡量企業網絡安全建設不足的重要指標。安全運營工作的一個關鍵方面是密切關注改變工具和流程是否會帶來改進。通過匯集企業安全事件數量和發生率方面的數據，可以幫助企業確保落實到位的防御措施對保護企業的數字資產帶來了積極影響。

　　03、網絡安全事件嚴重程度

　　了解組織的網絡入侵或數據盜竊的嚴重程度將有助于合理設定安全運營工作的優先級，以確保導致企業業務中斷等嚴重網絡安全事件不會繼續發生。這個績效指標還可以用來評估新的安全措施或流程是否切實有效。

　　04、平均威脅響應時間（MTTC）

　　威脅響應是指在安全事件檢測與有效處置之間的事件應對情況。解決安全事件的總成本很大程度上取決于安全團隊對突發事件的快速響應能力，響應時間越短，解決問題的成本就會越低。如果企業需要很長時間才能啟動有效的響應機制和流程，這就反映出整體安全能力建設的不均衡。

　　05、平均威脅處置時間（MTTR）

　　迅速響應網絡安全事件只是安全事件處置的一方面，平均威脅處置時間（MTTR）則可以反映安全事件發生后安全運營團隊的處置效率有多高。如果跟蹤這個指標，就可以評估調整安全運營策略將可以獲得哪些好處。MTTR還可用于評估安全團隊快速解決不同安全事件的能力，比如DDoS攻擊、勒索軟件攻擊和數據泄漏等。

　　06、誤報和漏報程度

　　網絡安全運營需要依賴各種安全工具來識別和檢測惡意軟件或可疑行為，并在發現可疑情況時提醒安全運營團隊。然而這類工具需要微調和定期維護，以免發生誤報和漏報。跟蹤誤報和漏報的數量情況可以幫助團隊確定各項安全工具的配置是否恰當。

　　07、漏洞補丁更新時間

　　網絡犯罪分子正在大量使用威脅情報工具，以利用補丁發布和實際修補之間的時間差。因此，企業應準確了解實施應用程序安全補丁或緩解CVE列出的高風險漏洞需要多長時間。典型的事例就是勒索軟件“WannaCry”的廣泛破壞，雖然其所利用的“永恒之藍（EternalBlue）”漏洞很快就被修補，但由于很多企業的補丁更新工作不夠及時，結果還是淪為了受害者。

　　08、漏洞評估結果

　　漏洞掃描工具會針對IT系統和用戶設備運行測試，查看它們是否針對已知漏洞進行了修復，并識別其他潛在的安全問題。漏洞評估結果會列出各種新的和仍然存在的漏洞、風險評級、漏洞得逞/失敗率及其他數據。如果將該信息與漏洞修復時間這一指標結合使用，企業就可以確定是否應該分配更多的資源來保障漏洞管理工作。

　　09、內部用戶的訪問安全性指標

　　企業負責人可能會認為網絡安全威脅主要來自企業外部。然而在很多數字化企業中，針對內部用戶的網絡安全指標顯示，內部威脅是更為嚴重的問題。收集和分析員工的訪問權限以及應用程序和數據訪問方面的信息，可以表明內部安全問題以及需要對用戶訪問控制所做的更改。

　　10、網絡整體流量數據

　　雖然企業網絡中的整體流量數據量不是嚴格意義上的安全度量指標，但對于識別潛在威脅、確定安全工具和流程的可擴展性大有裨益。網絡流量的變化（無論是逐漸的變化還是突發的變化）都可能表明惡意軟件入侵或其他類型的網絡攻擊。該度量指標還有助于證明需要新的或升級的安全措施。它有助于傳達這個觀念：隨著網絡使用量增加，用于保護網絡和IT系統的資金應該隨之增加。

　　11、安全審計和滲透測試次數

　　網絡安全運營工作應該包括一系列的安全性審計、風險評估、滲透測試及其他檢查，這樣才可以確保安全流程和工具發揮正常功效。但是組織的安全運營團隊往往日常任務負擔過重，導致這些重要的工作被延遲或遺忘。在此背景下，組織應該通過跟蹤安全審計和滲透測試等任務的次數，了解網絡安全運營工作中是否有存在疏忽的環節。

　　12、與同行橫向比較的安全基準

　　安全團隊向董事會級別進行工作報告時，一種重要的主題就是，企業目前的網絡安全狀況如能力，與所在行業的同行企業相比如何。這些匯報信息和評價指標更容易被管理層所理解，且在視覺上更加具有吸引力，容易受到非專業型領導的關注。從某種意義上說，與同行橫向比較的安全基準是一個“比較指標的指標”。這樣的基準測試有助于確定IT安全團隊與同行相比是處于正常水平還是需要重新調整。

　　參考鏈接：https://www.techtarget.com/searchsecurity/tip/7-key-cybersecurity-metrics-for-the-board-and-how-to-present-them