事件响应指标可帮助评估：企业是否能够有效、快速和负责任地处理网络安全事件。在响应不足的情况下，这些指标可以帮助网络安全团队和企业领导层确定需要改变的地方。

如果企业仅经历过几次独立的网络攻击，跟踪这些关键绩效指标将是浪费精力。然而，对于大多数企业来说，安全事件并没有停止，并且，对很多企业来说，安全事件的频率和影响每年都在增加。

面对持续的响应需求，企业需要方法来监控和评估结果。企业应跟踪有用的指标，这有助于企业确定事件响应是否越来越快、更有效和更有效率。

当指标显示响应在上述三个方面都没有改善时，企业应该考虑修改事件响应计划、提高员工技能或升级网络安全工具集。在对响应计划进行任何重大更改前，针对更新的计划，企业应先在桌面事件响应演练中进行测试，并在必要时进行调整。

对于改进后的事件响应计划，企业应采取以下步骤来评估其有效性：

• 根据需要修改相关指标，即添加或删除指标。
• 调整来年的指标目标。
• 通过未来的安全事件，继续跟踪指标及其中位数。

关键事件响应指标

企业可以监控各种响应指标，以衡量他们对安全事件的响应效率。他们可以衡量什么取决于可用的资源和数据。至少，每个企业都应该尝试追踪速度、有效性和效率方面指标。

速度指标

对于网络安全事件响应，速度至关重要。随着攻击者越来越多地利用人工智能和其他自动化，网络漏洞和漏洞利用之间的时间间隔也在缩短。即使开始只是相对较小的事件，如果长时间不处理，也会变成重大事件。

平均遏制时间（MTTC）

在所有速度指标中，遏制是最重要的。平均遏制时间是指：企业遏制安全威胁所需的时间，如果企业能及时遏制攻击，这样就不会造成进一步的伤害。从所造成的任何损坏中完全恢复可能需要额外的时间和精力；这也应该单独跟踪。事件响应的本质是阻止进一步的损害，并控制局势。

遏制时间是以下时间的总和：

• 检测时间
• 发现时间
• 响应时间

平均检测时间（MTTD）

事件检测对事件响应至关重要。如果企业不知道事件已经发生，就无法对事件做出响应。

平均检测时间是指企业意识到事件需要做出响应所需的时间。在大多数情况下，这个指标是在事后制定的。看到正在发生的事情的明确证据与知道潜在攻击何时开始是不同的。企业需要进行调查，通过日志和其他数据进行回溯，以确定问题何时开始。

企业应随着时间的推移跟踪MTTD。一般来说，这个数字应该下降，理想情况下，对于每种类型的安全事件，这个数字都应该下降。

平均发现时间（MTTI）

平均发现时间是指初始检测后诊断攻击所需的时间。这包括了解事件是什么，并确定如何应对。

MTTI是关键指标，主要衡量企业网络安全团队和流程的响应能力。企业越快确定如何处理事件，就越早进行实际响应。企业应该跟踪其MTTI来衡量其进度。

平均响应时间（MTTR）

平均响应时间是企业结束攻击所需的时间，为完全恢复扫清障碍。在此期间，企业根据其对事件的了解以及关于如何遏制该事件的决定来采取行动。

想象一下，例如，在发现攻击事件时，事件响应者发现阻止某些IP地址和网络端口可以防止威胁传播。企业需要调整防火墙、路由器和交换机配置以阻止攻击传播，以及隔离已感染的节点以进行进一步修复，MTTR就是指这个过程所需要的时间。

MTTR衡量实际响应阶段的敏捷性，这是衡量企业自我保护能力的关键指标。响应时间的减少表明团队正在成功处理事件响应工作。

平均恢复正常时间（MTTN）

平均恢复正常时间，也称为平均恢复或解决时间，这是指企业修复因攻击而损坏的任何东西所需的时间。例如，事件响应团队可能需要重新安装受影响的系统或从备份中恢复损坏的文件。

MTTN衡量整个企业恢复正常运营的能力。企业应该跟踪MTTN中位数，并努力使其随着时间的推移呈下降趋势。

有效性指标

速度并不是唯一的衡量标准。另一组事件响应指标评估解决方案的持续性或耐用性。例如，在攻击者开始发起横向攻击时，企业就能检测到遭受攻击的主机，并删除恶意软件，这是非常理想的状态。如果企业通过根本原因分析（RCA）识别导致初始攻击的安全漏洞并修复它，无论是通过修补、配置更改、防火墙修改还是其他纠正措施，那就更好。

未能解决和衡量响应的有效性可能会导致MTTC低且越来越低，并且反复遭受相同的攻击。

请考虑以下有效性指标。

正在发生事件的RCA百分比

RCA可能需要大量工作，但现代人工智能驱动的SIEM系统可以加快这些工作速度。RCA通过防止未来的安全事件和后续响应的需要来提供价值。这种分析是减少特定类型事件的最佳方法——通过消除使事件可能再次发生的条件。

对于正在发生事件的RCA百分比，数字越高越好。当企业尽可能多地了解事件的根本原因时，可以降低风险。

按计划完成修复的百分比

当网络安全团队确定可减少攻击面的预防措施时，重要的是要跟踪这些行动是否按计划完成。毕竟，知道如何修复某物和修复它不一样。跟进和解决根本问题的能力是网络安全组织的核心能力，也是衡量其响应有效性的关键指标。这使得按计划完成修复的百分比对MTTC是很好的补充。

企业在预防措施的执行越好，所面临的风险就越低。

效率指标

跟踪企业对事件的响应效率很重要。企业的资源是有限的，而且通常供不应求，特别是网络安全员工资源。下面是关键的效率指标。

事件总成本

为了确定事件的总成本，请计算相关成本因素的总和，包括以下内容：

• 安全运营人员在特定事件上花费多少时间？
• 由于事件本身或恢复过程，企业损失或未能处理多少业务？
• 在事件响应中企业还投入哪些其他资源——例如，企业是否需要新的硬件、软件或许可证，或第三方咨询服务？
• 企业需要支付哪些罚款或处罚？

企业必须响应安全事件，而且还必须能够量化其响应成本。例如，这使它能够评估外包事件响应服务是否比内部处理更具成本效益，反之亦然。在另一个场景中，事件的总成本可以帮助识别导致大量安全事件的特定业务活动，最终，安全成本如此之高，以至于利润或理由太少，无法继续。

安全人员花在事件响应的时间

这是总成本的关键组成部分，因为这是指安全人员在事件响应中花费的时间，而安全人员是网络安全中最宝贵的资源。

招聘和留住网络安全员工是持续的挑战。对于企业而言，至关重要的一点是，了解团队成员在事件响应上投入多少时间，以及如何在遏制攻击、长期解决和预防之间进行划分。

理想情况下，安全人员事件响应时间应该呈下降趋势，因为从遏制转向预防。

在没有人工干预的情况下遏制的事件的百分比

通过更好的自动化检测、识别和遏制，企业应该能够减少员工花在事件响应的时间。经历这种演变的企业应该考虑添加通过自动化完全解决的事件百分比作为补充指标。由于代理AI似乎肯定会成为企业安全和事件响应的一部分，因此跟踪此指标将很重要。这样做不仅有助于团队了解企业的安全态势，还有助于了解AI和其他自动化技术的有效性。