如今，網絡安全運營已經成為企業網絡安全保障建設的一項重要內容。安全運營做的好，企業的安全風險就會降低，反之，則可能會存在重大安全隱患。不過，隨著網絡攻擊技術的日新月異，企業安全運營體系也需要不斷的優化和改進，并定期對安全運營中心（SOC）及運營計劃的有效性進行評估，但這并不容易。

據最新研究數據顯示，目前大多企業組織的安全運營成熟度有待改進和提升。在對250多名安全運營人員的調查中，僅有不到2成的受訪者對目前的安全運營能力感到滿意；其余受訪者則認為，其所在組織的安全運營工作并不成熟，或者并不了解安全運營水平究竟如何。

MTTD（平均檢測時間）和MTTR（平均響應時間）是目前最常用于衡量安全運營效率的評價指標，減少MTTD和MTTR已經成為企業增強安全運營彈性的主要目標。但隨著企業成熟度的提高，這時候需要更全面的評估安全運營團隊是否可以實現其關鍵績效指標（KPI）和服務等級協議（SLA）。因此，除了MTTD和MTTR外，企業還應該跟蹤更多的關鍵性能力指標，以衡量組織應對網絡威脅的真實安全運營能力。

以下總結了7個關鍵指標，可以幫助企業更好地設置安全運營基線，從而更全面了解安全運營計劃的執行情況，并從中發現存在的問題和不足：

1、平均事件檢測時間

（Mean Incident Time to Detect，MTTD）

MTTD是指安全風險事件從最初被檢測到最終確定其有效性所花費的時間。它是衡量安全運營效率的關鍵指標，可以反映企業在識別安全事件的真實威脅方面的能力和水平。

指標價值：

• 實現基于威脅/事件類型（例如通過MITRE ATT&CK類別）的事件調查和報告。
• 實現基于威脅檢測方法（捕獲、行為分析、場景分析、特定威脅檢測技術等）的安全事件調查和報告。
• 發現安全運營體系在支持威脅發現和威脅鑒定方面的能力水平和不足。

2、平均事件響應時間

（Mean Incident Time to Response，MTTR）

MTTR是衡量調查和減輕已確認事件所花費的時間。它是衡量安全運營效率的關鍵指標，顯示了安全運營團隊在分析和緩解安全事件的實際威脅方面的能力與不足。

指標價值：

• 實現基于威脅/事件類型的安全事件調查與報告。
• 發現安全運營體系在安全事件響應方面存在的問題和不足。

3、平均警報分類時間

（Mean Alarm Time to Triage，MTTT）

MTTT是指從警報信息出現到運營團隊開始檢查告警信息所需的時間。它可以幫助企業了解對威脅的實時響應水平。

指標價值：

• 實現對警報信息的優先級范圍劃分。
• 明確安全運營團隊需要承擔的監控負載和范圍。
• 可以明確安全運營團隊的監控重點，并以此優化團隊配置。

4、平均警報合格時間

（Mean  Alarm Time to Qualify，MTTQ）

MTTQ是指警報信息經過全面檢查到確定其有效性或添加為威脅所需的時間。MTTQ可幫助企業了解安全運營團隊識別威脅的能力以及其中所存在的能力瓶頸。

指標價值：

• 實現警報優先級范圍內的有效報告。
• 實現對警報結果的評價。
• 發現安全運營解決方案在警報查詢、分析和上下文檢索方面存在能力不足。

5、平均威脅調查時間

（Mean Threat Time to Investigate，MTTI）

MTTI是指新添加的威脅經過全面調查到確定有效性或升級為事件所需的時間。它可以幫助企業識別對新安全威脅事件的識別和調查能力。

指標價值：

• 實現基于威脅/事件類型（例如通過MITRE ATT&CK類別）的調查和報告。
• 評估安全運營解決方案在搜索、數據分析、上下文分析和協作領域的進展狀況和能力水平。

6、平均事件緩解時間

（Mean Time to Mitigate，MTTM）

MTTM是指從安全事件創建到事件風險緩解并消除所花費的時間。它可以幫助企業了解安全運營團隊能夠以多快的速度解決新出現的安全風險事件。

指標價值：

• 實現基于威脅/事件類型（例如通過MITRE ATT&CK類別）的風險處置流程。
• 發現現有安全運營體系在調查取證、標準化操作、自動化和團隊協作方面的能力水平和存在問題。

7、平均事件恢復時間

（Mean Time to Recover，MTTV）

MTTV是指從安全風險事件緩解到完全恢復所需的時間。它可以幫助企業了解安全運營團隊和其他相關群體從突發安全事件中完全恢復的能力和速度，也可以從中識別出安全運營和協作的難點及瓶頸。

指標價值：

• 實現基于威脅/事件類型（例如通過MITRE ATT&CK類別）的安全事件應對和處置。
• 發現現有安全運營體系在調查取證、標準化操作、自動化響應和團隊協作方面的能力水平和存在問題。