随着現代企業數字化轉型發展的不斷深入，在網絡安全建設中(zhōng)的投入也在不斷增加，力求全方位保障企業的業務系統和數據資(zī)産安全。然而，安全上的投資(zī)與人員(yuán)上的投入，并不直接等同于實際防護能力的提升。

網絡安全由于其服務支撐功能定位，其能力構成與投入效果很難被量化地感知(zhī)和考量，往往依靠主觀和感性的判斷，建設單位投入了大(dà)量的資(zī)源，最後并沒有得到相匹配的安全保障。實踐證明，很多企業的安全建設中(zhōng)都存在安全産品堆積、功能落差大(dà)、回報率低、實戰能力未知(zhī)等問題。

檢測考核是驗證一(yī)切工(gōng)作成果最有效的方法，缺失有效的、客觀檢測和考核量化指标，一(yī)旦出現問題，建設單位将付出慘重的代價。在企業實際安全運營工(gōng)作中(zhōng)，有許多指标需要考慮，比如平均漏洞修補時間、數據傳輸速率和網絡端口暴露面等。但是每個企業都應建立一(yī)套基本性的安全建設策略與評價方法，從核心要素入手，對網絡安全投入效果與實際能力進行科學、客觀的評價，本文讨論了企業要密切跟蹤的五個重要安全能力指标。

平均檢測時間

平均檢測時間（MTTD）是IT運營團隊需衡量的标準指标，他們用它來評估識别特定的問題平均用時多久。由于威脅分(fēn)子使用越來越隐蔽的手法來隐藏攻擊意圖，因此許多企業很難快速檢測到其面臨的網絡安全威脅，MTTD能力指标目前對企業的價值變得越來越重要。

發現環境中(zhōng)是否存在威脅所需的時間越長，攻擊可能造成的危害就越大(dà)。如果未能檢測并隔離(lí)受影響的資(zī)源，事件可能愈演愈烈，結果影響更多的應用程序和數據。企業需要定期全面評估安全團隊檢測網絡安全事件需要多長時間，并旨在不斷縮短這個指标。

平均處置時間

檢測隻是解決安全事件的第一(yī)步。這就是爲什麽平均處置時間（MTTR）是同等重要的安全分(fēn)析指标，需要認真衡量。

MTTR反映了安全事件發生(shēng)後安全運營團隊的工(gōng)作效率有多高。如果跟蹤這個指标，就可以評估改變安全運營策略後可以獲得多大(dà)的效率，比如采用一(yī)種新工(gōng)具，或者對安全響應團隊進行組織層面上的改變。MTTR還可用于評估團隊快速解決不同安全事件的能力，比如DDoS攻擊、勒索軟件攻擊和數據洩漏。

平均響應時間

響應通常出現在安全事件檢測與有效處置之間。響應是指這個過程：一(yī)旦檢測到安全事件，隔離(lí)受影響的資(zī)源，以免使其受到進一(yī)步的危害。

平均響應時間（MTTC）在一(yī)些方面甚至比MTTR還要重要，因爲解決安全事件的總成本很大(dà)程度上取決于安全團隊對突發事件的快速響應能力，響應時間越短，解決問題的成本就會越低。

因此，除了跟蹤MTTD和MTTR外(wài)，還要跟蹤MTTC。如果管理者發現組織可以迅速檢測事件，但之後卻需要很長時間才能啓動有效的響應機制和流程，這就反映出整體(tǐ)安全能力建設的不均衡，有必要在響應能力提升方面加大(dà)投入。

網絡資(zī)産的識别能力

今天的網絡變得非常彈性，各種終端設備不斷接入和下(xià)線，網絡邊界已經變得越來越模糊，因爲它們不斷連接到遠程雲基礎設施和通過VPN連接異地網絡等。這意味着企業更加難以準确認定網絡設備的合法性和安全性。

在此背景下(xià)，安全團隊更需要系統地跟蹤網絡上有多少未識别的設備。未識别的設備是指來源和用途未知(zhī)的設備。在許多情況下(xià)，未識别的設備是良性的。它們可能是工(gōng)程師創建的新虛拟機，也可能是員(yuán)工(gōng)帶到現場的移動設備。

不過，網絡上未識别設備的數量通常應遵循一(yī)緻的模式。假設檢測到的未知(zhī)設備突然激增，這可能表明面臨風險，比如未遵守公司IT治理規定的員(yuán)工(gōng)未經授權創建了新端點，或者更糟糕的是，攻擊者将惡意設備帶入到環境，導緻安全事件升級。

訪問控制能力

現代IT環境的訪問控制角色和策略很複雜(zá)。不同的網絡基礎設施（比如公共雲以及本地服務器和工(gōng)作站）通常需要匹配不同的訪問控制方法，因而需要使用不同類型的設備和策略。

沒有哪種簡單的方法可以跟蹤訪問控制配置或積極識别風險。爲此，需要全面而詳細的訪問控制管理技術，比如雲安全态勢管理（CSPM）和雲基礎設施權限管理（CIEM）。很多安全分(fēn)析策略都可以跟蹤指标，比如訪問控制配置中(zhōng)的用戶和角色數量等指标。企業還可以衡量訪問控制策略變化的頻(pín)率。這兩個指标若出現異常波動，很大(dà)程度上表明可能已經存在安全問題。

本文轉載自安全牛