最关键的安全绩效指标：MTTC

众所周知，事件响应指标是非常重要的网络安全绩效指标，但当人们谈论事件响应指标时，首先想到的是平均检测时间（MTTD）和平均响应时间（MTTR），往往忽视了“平均遏制时间”(MTTC)的重要性。

事实上，在当今快速变化的网络安全态势中，MTTC是最重要的安全绩效指标之一。MTTC是企业事件响应能力的试金石，可用于深入评估企业被攻击者绕过安全防御体系后迅速识别和有效缓解网络安全事件（或漏洞）的能力。

简而言之，MTTC是企业用来评估其快速有效响应安全事件的能力的关键指标，但MTTC的概念本身还强调了早期检测在网络安全中的重大意义。在快速发展的数字环境中，网络威胁不断发展且变得日益复杂，及时检测和遏制这些威胁的能力至关重要。

为了不断降低MTTC，企业必须建立并维护强大的监控系统和先进的威胁检测机制。这些系统类似于高度警惕的哨兵，是企业网络安全的第一道防线，不断扫描数字环境以查找任何入侵或可疑活动的迹象，在网络或基础设施发现潜在问题时发出早期警告。

MTTC：更全面的事件调查

MTTC不仅要求快速发现入侵者，还拓展了对漏洞理解的深度和广度。一旦检测到异常，企业必须深入开展全面调查，以揭示攻击的性质和范围。MTTC涉及以下内容：

• 快速分类：当检测到异常或安全事件时，第一步是立即分类。这涉及评估情况以了解事件的严重性和潜在影响。快速分类有助于有效地确定资源的优先级。
• 快速遏制：虽然遏制是事件响应的一部分，但它在调查中起着至关重要的作用。安全团队应迅速采取遏制行动，以防止进一步的破坏并保存调查证据。隔离受影响的系统或网络通常是必要的。
• 取证分析：为了揭示攻击的性质和范围，企业必须执行取证分析。这包括仔细检查受影响的系统和数据，以识别攻击者使用的方法、未经授权的访问范围以及任何数据泄露或篡改。
• 时间线重建：调查人员必须重建事件的时间线，详细说明攻击行为如何发生、何时发现以及每个阶段采取了哪些行动。该时间表有助于理解事件的顺序，对于法律和合规目的至关重要。

如何测量MTTC？

测算安全事件的MTTC数值对于评估事件响应工作的有效性和确定需要改进的领域至关重要，具体计算方法如下：

1. 定义事件开始时间(T1)：确定安全控制最初检测到或报告安全事件的时间。这是事件响应流程正式开始的时刻。
2. 定义遏制时间(T2)：遏制是安全事件受到控制且直接威胁得到缓解的时间点。它通常涉及隔离受影响的系统、终止未经授权的访问或停止恶意进程。
3. 计算MTTC：MTTC是通过从T2中减去T1来计算的。

MTTC通常以小时、分钟或秒为单位进行测量。以下是测量和计算MTTC时需要额外注意的事项：

• 时间戳的准确性：确保获取事件开始和遏制时间的准确时间戳。一旦发现事件并确认遏制措施，就应立即记录时间戳。确保所有时间戳都保留时区信息。
• 多个事件单独计算：如果您的组织同时处理多个事件，请单独计算每个事件的MTTC。这可以深入了解不同事件类型或严重程度的响应时间变化。
• 包括所有相关方：MTTC应涵盖整个事件响应流程，涉及从检测到遏制的所有相关团队和部门。

如何降低MTTC？

降低MTTC不仅是网络安全目标，也是现代企业的战略要务。对安全漏洞的快速有效响应可以将异常灾难性数据泄露事件扼杀在摇篮中。为了有效降低MTTC，从而最大程度地减少安全事件的潜在影响，企业必须采用多种方法，包括主动安全措施、精细调整的事件响应程序以及先进技术的集成，具体如下：

一、主动安全措施

• 安全意识培训：对员工进行安全最佳实践教育，强调保持警惕和负责任的在线行为的重要性。知情的用户可以帮助及早检测和报告潜在威胁。
• 定期安全审计：对您的网络、系统和应用程序进行例行安全审核和评估，以在漏洞被利用之前识别出漏洞。
• 设计安全：通过遵循安全编码实践并在软件开发过程中进行安全审查，将安全性集成到开发过程中。
• 访问控制：实施严格的访问控制、最小权限原则和强大的身份验证方法，以限制对关键系统和数据的未经授权的访问。

二、高效事件响应程序

• 事件分类：根据严重性和潜在影响对事件进行分类，以便有效地确定响应的优先顺序。
• 事件响应团队：建立一支训练有素的事件响应团队，其中包括IT、安全、法律和通信专家。明确定义他们的角色和职责。
• 沟通计划：制定沟通计划，确保利益相关者在事件发生期间和事件发生后及时准确地得到通知。这有助于管理声誉损害。
• 记录：维护完整的事件记录，包括时间表、采取的行动和吸取的教训。该文档有助于事件后分析和报告。
• 法律和合规注意事项：确保在响应事件（特别是涉及数据泄露的事件）时遵守法律要求和法规。

三、先进技术集成

• 端点检测和响应(EDR)：实施EDR解决方案以实时监控和响应端点上的可疑活动。
• 用户和实体行为分析(UEBA)：利用UEBA工具检测用户和实体行为的异常情况，帮助识别内部威胁和高级持续威胁。
• AI/ML：利用AI和ML算法分析大量数据，找出表明安全威胁的模式。这些技术可以提高威胁检测的准确性。
• 自动化和编排：自动执行重复的事件响应任务并编排工作流程以加速遏制和补救工作。
• 威胁情报源：订阅威胁情报源，随时了解新出现的威胁，并将这些情报纳入安全措施中。

四、持续改进

• 事件事后分析：进行事件后审查，分析响应的有效性并确定需要改进的领域。利用这些见解来增强事件响应程序。
• 模拟演练：定期模拟网络攻击场景，以测试事件响应准备情况并微调流程。
• 监管合规性：及时了解不断变化的法规和合规性要求，相应地调整安全措施和事件响应计划。

五、协作与信息共享

积极参与特定行业的信息共享和分析中心（ISAC），与同行共享威胁情报，以加强集体网络安全防御。

对MTTC进行基准测试

将企业的MTTC与行业基准或标准进行比较是评估企业在行业内事件响应能力水平的关键措施，具体方法如下：

• 了解行业基准：行业基准是指标或绩效标准，为评估特定部门或行业内的组织绩效提供参考点。它们通常基于来自广泛组织的汇总数据。
• 选择相关基准：确定并选择与您的组织规模、部门和运营类型相关的行业特定基准。不同的行业可能有不同的威胁形势和风险状况，因此选择与您的环境密切相关的基准非常重要。
• 基准数据源：从信誉良好的来源获取基准数据，例如行业协会、网络安全研究公司或政府机构。这些来源通常会编译来自某个部门内各个组织的事件响应数据。