在之前的博文中，我們介紹了安全運(yùn)營(yíng)中心 (SOC) 遇到的一些挑戰(zhàn)，包括網(wǎng)絡(luò)安全技能短缺、未解決的安全風(fēng)險(xiǎn)和駐留時(shí)間長(zhǎng)等，以及如何利用人工智能 (AI) 緩解這些挑戰(zhàn)。根據(jù)《ISACA 網(wǎng)絡(luò)安全狀況報(bào)告》，78% 的受訪者預(yù)計(jì)未來(lái)他們對(duì)技術(shù)網(wǎng)絡(luò)安全角色的需求將會(huì)增加。該報(bào)告還提到，技能短缺的影響將會(huì)越來(lái)越嚴(yán)重。

這正是 AI 可以介入并幫助 SOC 大幅減輕壓力的機(jī)會(huì)所在。

證明支出的合理性

在預(yù)算和 IT 支出緊張時(shí)期，任何新支出都必須提供可靠的業(yè)務(wù)依據(jù)，這一點(diǎn)毫無(wú)疑問(wèn)。在考慮任何新的安全計(jì)劃或解決方案時(shí)，必須確保其改善之處可為業(yè)務(wù)關(guān)鍵決策提供幫助。此外，如果您的組織想要使用一款新的 AI 工具（或任何新的解決方案或方法），則必須通過(guò)一種方法來(lái)確認(rèn)新方法明顯優(yōu)于舊方法。

通常，您需要能夠明晰地展示業(yè)務(wù)環(huán)境中的績(jī)效改善，并向多個(gè)不同的利益相關(guān)者提供相關(guān)報(bào)告，以便他們基于各自的角色審查不同的指標(biāo)。以下是在通過(guò)實(shí)施 AI 解決方案來(lái)增強(qiáng)組織的安全性時(shí)確立或重新評(píng)估績(jī)效指標(biāo)時(shí)要考慮的一些準(zhǔn)則。

確立實(shí)際指標(biāo)

您可能已經(jīng)對(duì)要評(píng)估的指標(biāo)有所了解。如果沒(méi)有的話，現(xiàn)在正是考慮它們的好時(shí)候。指標(biāo)需要確保相關(guān)、及時(shí)且可跟蹤。在實(shí)施新的 AI 之前，必須要建立一個(gè)基準(zhǔn)，以便比較 SOC 在實(shí)施新工具之前和之后的績(jī)效，并隨著 AI 學(xué)習(xí)的同時(shí)定期跟蹤未來(lái)的改進(jìn)。獲取這些數(shù)字應(yīng)該比較容易，而且不要過(guò)分依賴手動(dòng)流程，因?yàn)樗鼈兛赡芊浅：臅r(shí)且容易出錯(cuò)。

向不同的利益相關(guān)者明確成功的定義

呈現(xiàn)給董事會(huì)和首席級(jí)高管的指標(biāo)通常不同于 SOC 分析團(tuán)隊(duì)日常所需的指標(biāo)。首席信息安全官 (CISO) 一般對(duì)利潤(rùn)數(shù)字比較感興趣，而 SOC 分析人員通常會(huì)在更細(xì)粒度的層次上查看指標(biāo)。

舉例來(lái)說(shuō)，安全分析人員專注于組織的安全態(tài)勢(shì)，而且會(huì)查看 AI 安全警報(bào)的數(shù)量、調(diào)查事件所需平均時(shí)間、正確上報(bào)給高級(jí)分析人員的事件所占百分比以及誤報(bào)百分比，而高級(jí)管理層（例如首席信息安全官、首席執(zhí)行官和董事會(huì)成員）則對(duì)以結(jié)果為中心的指標(biāo)（例如駐留時(shí)間、檢測(cè)所需平均時(shí)間 (MTTD)、響應(yīng)/補(bǔ)救所需平均時(shí)間 (MTTR)，以及安全泄露事件可能會(huì)給組織造成的成本等）更感興趣 。確保制定相應(yīng)的計(jì)劃，從雜亂的數(shù)字中提取出這些高級(jí)洞察力。

不要白費(fèi)力氣做重復(fù)工作

有些指標(biāo)已經(jīng)建立，而且已在網(wǎng)絡(luò)安全領(lǐng)域得到了廣泛運(yùn)用。充分利用這些現(xiàn)有指標(biāo)，可為您提供一些整個(gè)業(yè)內(nèi)都眾所周知的有用基準(zhǔn)、準(zhǔn)則和趨勢(shì)。

在這一點(diǎn)上，有許多重要的出版物和報(bào)告可供您參考，例如最新的《數(shù)據(jù)泄露成本報(bào)告》、《IBM X-Force 威脅情報(bào)指數(shù)》、《ISACA 網(wǎng)絡(luò)安全狀況報(bào)告》，以及有關(guān)當(dāng)前所面臨挑戰(zhàn)、安全泄露成本、趨勢(shì)和建議等寶貴信息的其他出版物和報(bào)告。下面我們來(lái)介紹其中一些關(guān)鍵指標(biāo)。

數(shù)據(jù)泄露成本

根據(jù)《2020 年數(shù)據(jù)泄露成本報(bào)告》，美國(guó)的數(shù)據(jù)泄露平均成本為 819 萬(wàn)美元，全球的數(shù)據(jù)泄露平均成本為 390 萬(wàn)美元。這是高級(jí)管理層在跟蹤組織績(jī)效時(shí)認(rèn)為最重要也最感興趣的指標(biāo)。他們可以針對(duì)美國(guó)或全球范圍內(nèi)的數(shù)字設(shè)置基準(zhǔn)，然后實(shí)施一些舉措，讓他們的組織免受這些成本的影響。數(shù)據(jù)泄露直接成本（例如罰款和清算）和間接成本（例如聲譽(yù)受損）是多個(gè)因素造成的。

駐留時(shí)間

高級(jí)管理層使用的另一個(gè)重要指標(biāo)是駐留時(shí)間，即網(wǎng)絡(luò)攻擊者可以訪問(wèn)目標(biāo)環(huán)境的時(shí)間。發(fā)現(xiàn)和遏制數(shù)據(jù)泄露的速度越快，潛在成本就越低，這一點(diǎn)毫無(wú)疑問(wèn)。駐留時(shí)間實(shí)際上是兩個(gè)重要指標(biāo)的總和，分別是：MTTD 和 MTTR。具體描述如下：

• 檢測(cè)所需平均時(shí)間 (MTTD)：檢測(cè)到安全事件（從網(wǎng)絡(luò)被攻擊到檢測(cè)到攻擊）平均花費(fèi)的時(shí)間。
• 響應(yīng)/修復(fù)所需平均時(shí)間 (MTTR)：從檢測(cè)到數(shù)據(jù)泄露開(kāi)始，響應(yīng)或修復(fù)泄露平均所需的時(shí)間。

其他需要定義的指標(biāo)包括：AI 實(shí)施后對(duì) SOC 分析人員生產(chǎn)效率產(chǎn)生的影響、配置和持續(xù)管理的總成本，以及 AI 安裝和維護(hù)直接產(chǎn)生的所有外包費(fèi)用等等。

結(jié)語(yǔ)

安全專業(yè)人員需要能夠證明任何新工具所帶來(lái)的價(jià)值，并證明其決策所能產(chǎn)生的收益或可避免的損失。這意味著必須清楚地說(shuō)明實(shí)施新的、以安全為重點(diǎn)的 AI 解決方案可為 SOC 和整個(gè)公司帶來(lái)的益處，同時(shí)量化可節(jié)省的成本。

[[385511]]

Lolita Chandra

高級(jí)產(chǎn)品營(yíng)銷經(jīng)理

Lolita Chandra 是 IBM Security 的高級(jí)產(chǎn)品營(yíng)銷經(jīng)理，負(fù)責(zé) QRadar Advisor with Watson 產(chǎn)品。她是一位經(jīng)驗(yàn)豐富的解決方案和產(chǎn)品營(yíng)銷專家，在消息傳遞與定位的構(gòu)建、進(jìn)入市場(chǎng)戰(zhàn)略的制定、資產(chǎn)創(chuàng)建，以及幫助銷售人員成功銷售產(chǎn)品/解決方案等方面擁有豐富的經(jīng)驗(yàn)。

*立即前往2021全新安全專區(qū)，掌握最新安全技術(shù)趨勢(shì) 

IBM安全專家在線時(shí)間：3月12日，下午16：30-17：00

歷史精彩文章推薦

*IBM安全歷史精彩文章推薦

關(guān)于IBM Security介紹

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門(mén)，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百?gòu)?qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車(chē)、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。