正如现代管理学之父Peter Drucker所言，只有可以被衡量的事才能得到有效管理（what gets measured, gets managed），对于网络安全建设工作也不例外。企业如果无法用可量化的指标来衡量网络安全建设工作，实现有效地安全管理将无从谈起。

网络安全并非一朝一夕的事情。网络威胁正在不断发展，预防网络威胁所需的流程和技术也在不断变化。现代企业组织需要有适当的措施来评估所投资的安全保障措施是否有效。这很重要，因为：

• 对关键风险指标（KRIs）和企业安全状态值的分析可以为安全团队提供改善安全运营状况的意见，帮助组织更好地了解哪些措施是有效的，哪些状况在恶化，以此作为安全决策的依据；
• 通过量化的安全建设衡量指标，安全团队可以向公司管理层和董事会表明，对企业敏感信息和IT资产的保护工作是有价值的。

本文收集整理了12个可被量化的网络安全能力建设指标，可以帮助企业提升安全风险识别和补救的能力。IT安全团队可以通过这些指标，向公司汇报目前网络安全工作的开展情况：

01

企业当前的安全状态

评估企业当前的安全现状是衡量网络安全能力的重要指标。例如：在企业的网络系统中，已有多少占比的计算设备和应用软件能够得到及时的补丁更新？在CIS列举的 20大企业安全控制措施中，将漏洞扫描和漏洞管理设置为必须要具备的基础性防护要求，其他还包括了资产管理、权限管理和日志管理等。‍

02

网络系统中未识别的设备

未识别的设备是指来源和用途未知的计算设备。在许多情况下，未识别的设备并非恶意的。它们可能是工程师创建的新虚拟机，也可能是员工因为工作原因接入的移动设备。但随着网络边界变得越来越模糊，组织将难以确认网络设备的合法性和安全性。在此背景下，安全团队更需要系统地跟踪网络上有多少未识别的设备。如果企业检测到的未知设备突然激增，这表明企业或将面临较严重的风险隐患。

03

入侵尝试的数量

组织受到的入侵尝试指的是未形成安全事件或后果的攻击探测行为，所有成功的入侵事件都可能由其发展而来。因此，企业应该将攻击者尝试获得非法访问的次数作为安全工作的衡量指标之一，这需要通过防火墙和SOC系统的日志来收集相关情报。

04

已发生的安全事件数量

企业组织已发生的安全事件指的是攻击者已经成功实现的攻击行为，对组织的资产或数据造成了实际的损失。攻击者破坏企业信息资产或网络的次数可以作为衡量企业网络安全建设不足的重要指标。

05

平均威胁检测时间（MTTD）

平均威胁检测时间（MTTD）是IT运营团队需衡量的标准指标，他们用它来评估识别特定的问题平均用时多久。由于威胁分子使用越来越隐蔽的手法来隐藏攻击意图，因此许多企业很难快速检测到其面临的网络安全威胁，MTTD指标对评估企业网络安全能力变得越来越重要。

06

平均威胁处置时间（MTTR）

检测只是解决网络安全事件的第一步。平均威胁处置时间（MTTR）反映了安全事件发生后安全运营团队的处置效率有多高。如果跟踪这个指标，就可以评估调整安全运营策略将可以获得哪些好处。MTTR还可用于评估安全团队快速解决不同安全事件的能力，比如DDoS攻击、勒索软件攻击和数据泄漏等。

07

平均威胁响应时间（MTTC）

威胁响应是指在安全事件检测与有效处置之间的事件应对情况。MTTC在一些方面甚至比MTTR还要重要，因为解决安全事件的总成本很大程度上取决于安全团队对突发事件的快速响应能力，响应时间越短，解决问题的成本就会越低。如果企业需要很长时间才能启动有效的响应机制和流程，这就反映出整体安全能力建设的不均衡。

08

第一方（First Party）安全评级

安全评级是指通过易于理解的评分向非技术人员传达安全事件程度的方法。它可以为组织提供清晰完整的网络安全风险评估，并帮助告知需要注意哪些信息安全指标。在安全评级时，可以包括网络钓鱼风险、电子邮件欺骗、社会工程风险、DMARC、中间人攻击风险、数据泄露风险和漏洞状况等具体指标项。

09

补丁修复的时间

网络犯罪分子正在大量使用威胁情报工具，以利用补丁发布和实际修补之间的时间差。因此，企业应准确了解实施应用程序安全补丁或缓解CVE列出的高风险漏洞需要多长时间？典型的事例就是勒索软件“WannaCry”的广泛破坏，虽然其所利用的“永恒之蓝（EternalBlue）”漏洞很快就被修补，但由于很多企业的补丁更新工作不够及时，结果还是沦为了受害者。

10

访问管理和控制

现代IT环境的访问控制策略十分复杂。不同的网络基础设施（比如公有云和本地服务器）通常需要配置不同的访问控制方法，因而需要使用不同的设备和策略。为此，企业需要全面而详细的访问控制管理技术，比如云安全态势管理（CSPM）和云基础设施权限管理（CIEM）。有很多安全分析策略可以跟踪访问控制配置中的用户和角色数量等指标。企业还可以衡量访问控制策略变化的频率。这些指标若出现异常波动，很大程度上表明可能已经存在安全问题。

11

同行业安全能力比较

安全团队向董事会级别进行工作报告时，一种重要的主题就是，企业目前的网络安全状况如能力，与所在行业的同行企业相比如何。这些汇报信息和评价指标更容易被管理层所理解，且在视觉上更加具有吸引力，容易受到非专业性领导的关注。

12

供应商安全评级与能力评价

组织面临的网络安全威胁形势早已超出了组织自身范畴，因此评价安全能力的指标也需要同步发展。这就是为什么开展供应商风险管理和应用第三方风险管理框架将是加强企业安全能力建设的重要方面。通过持续监控供应商安全风险，组织可以大大降低供应链安全事件发生的概率。供应商在遭受安全事件后，响应事件所需的时间越长，企业遭受第三方数据泄露的可能性就越大。

结语

企业组织在制定网络安全建设工作的KPI方面并没有硬性规定。上述这些指标的选用将取决于企业的应用需求、法规监管、指导方针、最佳实践等多个因素，并参考企业组织对安全风险的容忍度和接受度。对安全团队而言，最重要的考核指标之一是成本因素，向企业管理层和董事会展示的工作目标中，要能够清晰说明网络安全如何为组织节省资金或创造额外收入。考虑到目前的数字化转型发展趋势和网络安全威胁状况，做到这一点并不困难。

参考链接：

https://www.upguard.com/blog/cybersecurity-metrics