安全投入效果几何？五大安全能力指标需关注.docx

平安投入效果几何？五大平安能力指标需关注 每个企业都应建立一套基本性的平安建设策略与评价方法，从核心要素入手，对网络平安投入效果与实际能力进行科学、客观的评价。 随着现代企业数字化转型开展的不断深入，在网络平安建设中的投入也在不断增加， 力求全方位保障企业的业务系统和数据资产平安。然而，平安上的投资与人员上的投入， 并不直接等同于实际防护能力的提升。 网络平安由于其B艮务支撑功能定位，其能力构成与投入效果很难被量化地感知和考 量，往往依靠主观和感性的判断,建设单位投入了大量的资源，最后并没有得到相匹配的 平安保障。实践证明，很多企业的平安建设中都存在平安产品堆积、功能落差大、回报率 低、实战能力未知等问题。 检测考核是验证一切工作成果最有效的方法，缺失有效的、客观检测和考核量化指 标，一旦出现问题，建设单位将付出沉重的代价。在企业实际平安运营工作中，有许多指 标需要考虑，比方平均漏洞修补时间、数据传输速率和网络端口暴露面等。但是每个企业 都应建立一套基本性的平安建设策略与评价方法，从核心 '要素入手，对网络平安投入效果 与实际能力进行科学、客观的评价，本文讨论了企业要密切跟踪的五个重要平安能力指 标。 一、平均检测时间 平均检测时间（MTTD ）是IT运营团队需衡量的标准指标，他们用它来评估识别特定 的问题平均用时多久。由于威胁分子使用越来越隐蔽的手法来隐藏攻击意图，因此许多企 业很难快速检测到其面临的网络平安威胁，MTTD能力指标目前对企业的价值变得越来越 重要。 发现环境中是否存在威胁所需的时间越长，攻击可能造成的危害就越大。如果未能检 测并隔离受影响的资源，事件可能愈演愈烈，结果影响更多的应用程序和数据。企业需要 定期全面评估平安团队检测网络平安事件需要多长时间，并旨在不断缩短这个指标。 二、平均处置时间 检测只是解决平安事件的第一步。这就是为什么平均处置时间（MTTR ）是同等重要 的平安分析指标，需要认真衡量。 MTTR反映了平安事件发生后平安运营团队的工作效率有多高。如果跟踪这个指标， 就可以评估改变平安运营策略后可以获得多大的效率，比方采用一种新工具，或者对平安 响应团队进行组织层面上的改变。MTTR还可用于评估团队快速解决不同平安事件的能 力，比方DDoS攻击、勒索软件攻击和数据泄漏。 三、平均响应时间 响应通常出现在平安事件检测与有效处置之间。响应是指这个过程：一旦检测到平安 事件，隔离受影响的资源，以免使其受到进一步的危害。 平均响应时间（MTTC ）在一些方面甚至比MTTR还要重要，因为解决平安事件的总 本钱很大程度上取决于平安团队对突发事件的快速响应能力，响应时间越短,解决问题的 本钱就会越低。 因此，除了跟踪MTTD和MTTR外，还要跟踪MTTC。如果管理者发现组织可以迅 速检测事件，但之后却需要很长时间才能启动有效的响应机制和流程，这就反映出整体安 全能力建设的不均衡，有必要在响应能力提升方面加大投入。 四、网络资产的识别能力 今天的网络变潮E常弹性，各种终端设备不断接入和下线,网络边界已经变得越来越 模糊，因为它们不断连接到远程云基础设施和通过VPN连接异地网络等。这意味着企业 更加难以准确认定网络设备的合法性和平安性。 在此背景下，平安团队更需要系统地跟踪网络上有多少未识别的设备。未识别的设备 是指来源和用途未知的设备。在许多情况下，未识别的设备是良性的。它们可能是工程师 创立的新虚拟机，也可能是员工带到现场的移动设备。 不过，网络上未识别设备的数量通常应遵循一致的模式。假设检测到的未知设备突然 激增，这可能说明面临风险，比方未遵守公司IT治理规定的员工未经授权创立了新端点， 或者更糟糕的是，攻击者将恶意设备带入到环境，导致平安事件升级。 五、访问控制能力 现代IT环境的访问控制角色和策略很复杂。不同的网络基础设施（比方公共云以及本 地服务器和工作站）通常需要匹配不同的访问控制方法，因而需要使用不同类型的设备和 策略。 没有哪种简单的方法可以跟踪访问控制配置或积极识别风险。为此，需要全面而详细 的访问控制管理技术，比方云平安态势管理（CSPM ）和云基础设施权限管理（QEM ）。 很多平安分析策略都可以跟踪指标，比方访问控制配置中的用户和角色数量等指标。企业 还可以衡量访问控制策略变化的频率。这两个指标假设出现异常波动，很大程度上说明可能 已经存在平安问题。