准确评估企业信息安全能力的三大量化指标

今天，企业的首席信息安全官们面临最大的安全挑战不是如何防范和预测攻击，而是如何有效应对攻击，因为已经有无数次案例证明，今天的信息安全是一场不对等的战争，信息安全攻击手段和技术的发展远超企业信息安全防御能力，大多数企业的安全管理都无法跟上网络犯罪的脚步。

因此，企业在遭受攻击后的事件响应能力和恢复能力才是当下企业最核心的信息安全能力，而量化精准评估一家企业信息安全能力的关键指标也正发生变化。

近日网络安全公司Raytheon Cyber Products的产品总监Ashok Sankar撰文指出，过去评估企业信息安全的量化指标例如攻击数量的减少等并不能反映一个企业的真实信息安全能力，Sankar认为“平均响应时间”、“修复时间”和“攻击者驻留时间”才是检验企业信息安全能力的三大核心量化评估指标。

 一、平均反应时间。所谓平均反应时间就是企业的信息安全团队对攻击事件作出有效反应的平均时间，反应时间越短越好。

二、平均修复时间。平均修复时间是对企业信息安全团队消除信息安全风险的速度、准确性的重要评估指标。 

三、攻击者驻留时间。也就是攻击者在企业网络中潜伏的事件，这也是最为关键的评估企业信息安全能力指标之一，这是因为攻击者在企业网络中潜伏的时间越长，获得的信息越多，攻击造成的危害也越大。

根据Mandiant 发布的2015年威胁报告，攻击者在暴露前，在一家目标企业中潜伏的平均时间长达205天（上图），也就是说黑客在发动正式攻击前，会花费大半年的时间用来潜心搜索你的各种安全漏洞，收集关键身份信息，描绘网络结构图，这也是为什么近年来的企业信息安全事故的损失规模越来越触目惊心的原因。

攻击者驻留时间不是一个简单的数据，而是一个综合性指标，企业可以依据这个指标体系来筹备和规划信息安全体系，包括对威胁和攻击的损害控制，围绕减少攻击者驻留时间的指标，企业还应当在规划中考虑到向IT部门提供必要的预算和工具来提高侦测入侵，攻击行为分析的速度，并部署必要的“驱逐”技术。