在首席信息安全官试图想办法向高管证明投资回报率以及提高安全操作的整体效能时,正确的指标可以帮助推动他们的工作。作为一个行业,信息安全已经非常成熟,很多企业安全领导都发现了创新的措施来追踪效能以及推动不断改善。本文中我们介绍了10个最佳指标来帮助企业证明安全有效性、寻求更大预算以及推动安全人员提高他们的日常工作。
检测和响应的平均时间
也被称为平均知道时间(MTTK),平均检测时间(ATD)衡量问题(攻击或配置问题)出现以及安全团队发现有问题之间的时间。
Lockheed Martin公司网络主管Greg Boison表示:“通过减少ATD,安全运营中心(SOC)人员有更多时间来评估情况,并决定最佳做法来使企业完成自己的使命,同时防止损害企业的资产。”
同时,平均解决或响应时间则测量安全团队适当回应问题和缓解风险的时间。
“平均响应时间(ATTR)可以让SOC管理人员知道他们是否在迅速和正确地响应违反安全政策的行为,”Boison表示,“通过降低ATR,SOC人员可以减少安全违反行为的影响。”
持续追踪这两个指标可以说明安全计划是否在改善或者恶化,理想情况下,应该逐渐改善。
误报率
追踪误报率(FPRR)可以帮助检查低级别分析师的工作,确保他们作出的判断会自动过滤误报安全事件数据,然后再将筛选后的数据发送给响应团队的其他人。
“尽管部署了自动过滤,SOC团队必须做出最后决定,即他们警告的事件是否是真正的威胁,”Boison称,“误报会让事件处理者和更高级别管理人员增加已经繁重的工作,如果过量的话,可能会降低他们的警惕度。”
高误报率可能说明需要对低级别分析师进行更好的培训,或者更好地调整分析工具。
“很多时候低级别分析师缺乏对事件原因的良好理解与可实现,而让误报发送到高级别分析师,”Cyberreason公司首席执行官Lior Div表示,“这导致了昂贵的资源浪费。”
(责任编辑:安博涛)
