如今，网络安全运营已经成为企业网络安全保障建设的一项重要内容。安全运营做的好，企业的安全风险就会降低，反之，则可能会存在重大安全隐患。不过，随着网络攻击技术的日新月异，企业安全运营体系也需要不断的优化和改进，并定期对安全运营中心（SOC）及运营计划的有效性进行评估，但这并不容易。

据最新研究数据显示，目前大多企业组织的安全运营成熟度有待改进和提升。在对250多名安全运营人员的调查中，仅有不到2成的受访者对目前的安全运营能力感到满意；其余受访者则认为，其所在组织的安全运营工作并不成熟，或者并不了解安全运营水平究竟如何。

MTTD（平均检测时间）和MTTR（平均响应时间）是目前最常用于衡量安全运营效率的评价指标，减少MTTD和MTTR已经成为企业增强安全运营弹性的主要目标。但随着企业成熟度的提高，这时候需要更全面的评估安全运营团队是否可以实现其关键绩效指标（KPI）和服务等级协议（SLA）。因此，除了MTTD和MTTR外，企业还应该跟踪更多的关键性能力指标，以衡量组织应对网络威胁的真实安全运营能力。

以下总结了7个关键指标，可以帮助企业更好地设置安全运营基线，从而更全面了解安全运营计划的执行情况，并从中发现存在的问题和不足：

01

平均事件检测时间

（Mean Incident Time to Detect，MTTD）

MTTD是指安全风险事件从最初被检测到最终确定其有效性所花费的时间。它是衡量安全运营效率的关键指标，可以反映企业在识别安全事件的真实威胁方面的能力和水平。

指标价值：

• 实现基于威胁/事件类型（例如通过MITRE ATT&CK类别）的事件调查和报告；
• 实现基于威胁检测方法（捕获、行为分析、场景分析、特定威胁检测技术等）的安全事件调查和报告；
• 发现安全运营体系在支持威胁发现和威胁鉴定方面的能力水平和不足。

02

平均事件响应时间

（Mean Incident Time to Response，MTTR）

MTTR是衡量调查和减轻已确认事件所花费的时间。它是衡量安全运营效率的关键指标，显示了安全运营团队在分析和缓解安全事件的实际威胁方面的能力与不足。

指标价值：

• 实现基于威胁/事件类型的安全事件调查与报告；
• 发现安全运营体系在安全事件响应方面存在的问题和不足。

03

平均警报分类时间

（Mean Alarm Time to Triage，MTTT）

MTTT是指从警报信息出现到运营团队开始检查告警信息所需的时间。它可以帮助企业了解对威胁的实时响应水平。

指标价值：

• 实现对警报信息的优先级范围划分；
• 明确安全运营团队需要承担的监控负载和范围；
• 可以明确安全运营团队的监控重点，并以此优化团队配置。

04

平均警报合格时间

（Mean  Alarm Time to Qualify，MTTQ）

MTTQ是指警报信息经过全面检查到确定其有效性或添加为威胁所需的时间。MTTQ可帮助企业了解安全运营团队识别威胁的能力以及其中所存在的能力瓶颈。

指标价值：

• 实现警报优先级范围内的有效报告；
• 实现对警报结果的评价；
• 发现安全运营解决方案在警报查询、分析和上下文检索方面存在能力不足。

05

平均威胁调查时间

（Mean Threat Time to Investigate，MTTI）

MTTI是指新添加的威胁经过全面调查到确定有效性或升级为事件所需的时间。它可以帮助企业识别对新安全威胁事件的识别和调查能力。

指标价值：

• 实现基于威胁/事件类型（例如通过MITRE ATT&CK类别）的调查和报告；
• 评估安全运营解决方案在搜索、数据分析、上下文分析和协作领域的进展状况和能力水平。

06

平均事件缓解时间

（Mean Time to Mitigate，MTTM）

MTTM是指从安全事件创建到事件风险缓解并消除所花费的时间。它可以帮助企业了解安全运营团队能够以多快的速度解决新出现的安全风险事件。

指标价值：

• 实现基于威胁/事件类型（例如通过MITRE ATT&CK类别）的风险处置流程；
• 发现现有安全运营体系在调查取证、标准化操作、自动化和团队协作方面的能力水平和存在问题。

07

平均事件恢复时间

（Mean Time to Recover，MTTV）

MTTV是指从安全风险事件缓解到完全恢复所需的时间。它可以帮助企业了解安全运营团队和其他相关群体从突发安全事件中完全恢复的能力和速度，也可以从中识别出安全运营和协作的难点及瓶颈。

指标价值：

• 实现基于威胁/事件类型（例如通过MITRE ATT&CK类别）的安全事件应对和处置；
• 发现现有安全运营体系在调查取证、标准化操作、自动化响应和团队协作方面的能力水平和存在问题。

来源：安全牛