6 个使用自动化衡量事件响应的新指标

随着事件响应流程继续被自动化改造，证明它如何改变事件响应性能几乎是不可能的如果不启用这些新指标

随着安全团队重新定义其组织的安全基础架构以应对不断变化的威胁形势，他们通常需要展示这些变化将如何对业务底线产生积极影响。

然而，在 2016 年，SANS 研究所发现 71% 的组织没有针对事件响应 (IR) 性能的常规指标或衡量标准。虽然这一比例近年来有所下降——58% 的人声称在 2017 年没有指标——但许多安全团队只会在发生重大网络事件后才看到需要衡量他们的绩效。

>另请参阅：安全操作：自动化是否一定意味着自动化？

通过自动化事件响应流程，可以帮助公司开发一种全新的网络安全指标方法，降低成本，提高效率并为管理人员提供可操作的目标，不仅加强他们的安全运营，而且确保他们的安全方法与业务保持一致。六个新指标包括：

1。每次事件成本 (CPI)

CPI 指标可以衡量为事件的持续时间乘以一级分析师的平均小时费率。许多安全团队将在事件的每个阶段（从检测到响应和补救）通过 IR 剧本运行该公式。

>另请参阅：安全自动化：提高 IT 生产力和网络弹性

使用自动化，不仅消除了整个步骤或工作流程，而且还可以加速、节省大量成本并提高效率，因为团队可以专注于验证和结束事件，而不是浪费时间去追逐野鹅。

2。自动检测与手动检测

安全团队可以建立一个基线来确定安全堆栈产生的检测与接收到的人工检测的总数量之比。

为了弄清楚人为检测，安全团队必须确定员工检测的数量，例如员工识别出他们的机器出现故障或 IT 管理员识别出系统以异常方式运行。再加上外部检测的数量——例如安全团队接到政府/IT 管理员电话的次数——以及安全运营人员从他们的安全堆栈或 SEIM 中手动合成数据而创建的检测数量，这将给出组织了解当前系统的效率。

>另请参阅：移动性要求安全与自动化齐头并进

通过自动化事件响应流程，公司可以预期该比率将大幅向自动化方面倾斜，这意味着更高的安全运营效率。

3。调查百分比与数量

安全操作现在可以确定什么是从裂缝中溜走的。通过衡量调查与警报数量，公司可以衡量当前安全运营中的风险差距。借助自动化事件响应流程，每卷的调查百分比将显着增加。

例如，如果一个组织通常对每 100 个警报执行三个调查（3/100 或 3%），然后实施自动化，这会看到 10% 的警报到结论率和另外两个调查（5/10 或 50 %)，从而使安全运营效率大幅提高 1,500%。

4。调查与回应的比率

确保安全运营团队尽可能少地浪费时间符合任何组织的利益 - 调查与响应指标的比率可以帮助确定有多少项目被调查导致响应工作流完成。

>另请参阅：2018 年网络安全预测

自动化事件响应流程将导致调查与响应的融合，因为更多的调查是针对经过验证的结论，而不仅仅是可疑的攻击。<​​/P>

5。决策率

该指标衡量在生成警报后做出决策所需的时间。 “分析瘫痪”和安全操作不确定性增加停留时间并冒着攻击传播的风险并不少见。调查和响应可能同时发生的其他攻击也需要时间。

通过在实施自动化之前和之后测量决策率，安全运营团队可以展示他们的敏捷性并提高响应能力，而无需增加稀缺的人力资源。

6。补救响应与重新映像

该指标衡量业务中断。通过自动化流程实现的外科手术、远程响应越多，重新映像最终用户端点的“大锤”修复就越少——这意味着对员工的业务中断和不便更少。很容易看出将某人的笔记本电脑带走一天或关闭支付处理服务器会如何严重破坏安全操作 - 即使热备份和集群故障转移是解决方案的一部分。

>另请参阅：T零售分支机构 IT 面临的网络安全挑战

自动化事件响应流程通过创建可操作的规则来避免此类中断，这些规则可以自动启动手术补救和深入分析。

指标作为推动因素

随着事件响应流程继续通过自动化转变，如果不启用这些新指标，证明它如何转变事件响应性能几乎是不可能的。

简而言之，这些新指标中的每一个都可以展示事件响应流程的自动化如何不仅可以加强您的安全基础设施，而且还可以影响底线。

来源 Fidelis Cyber​​security 英国总监 Andrew Bushby