网络安全中平均时间指标的不足

中等规模组织的安全团队经常面临“成功是什么样子的？”的问题。在ActZero，他们持续的数据驱动网络安全方法让他们每天都在努力衡量、评估和验证他们代表客户所做的工作

与大多数人一样，他们最初转向网络安全中使用的标准指标，该指标围绕“平均时间X”（MTTX）公式构建，其中X表示攻击生命周期中的特定里程碑。在这个公式中，这些里程碑包括检测、警报、响应、恢复，甚至在必要时进行补救等因素

然而，当他们开始实施他们独特的人工智能和机器学习方法时，他们意识到“速度”指标并不能让他们对这个故事有一个整体的看法。更重要的是，在机器驱动的警报和响应在几秒钟内发生的行业中，仅仅测量速度并不适用

因此，他们没有只关注旧的MTTX公式，而是从另一个对时间敏感的行业借用了一个长期存在的想法：视频流。Netflix、YouTube和亚马逊等领先的流媒体平台关注两个核心原则：速度和信号质量。简单地说：当流式传输视频时，它应该在一定的时间（速度）内可靠地到达，当它到达时，你的视频应该看起来很棒（质量）。让我们面对现实吧：如果你看不到他们进球，谁会在乎携带你球队比赛的视频流是否会快速出现在你的屏幕上

这种速度和质量概念也适用于网络安全警报：警报在一定时间（速度）内可靠到达，并且这些警报没有错误（质量），这一点至关重要。在网络安全的情况下，你对错误的检测发出警报的速度有多快并不重要（或者更糟的是，你会被“错误”的检测掩埋）

因此，当他们退一步评估如何改进他们对成功的衡量时，他们从他们的视频流同事那里借用了一个简单但非常强大的衡量标准：信噪比（SNR）。SNR是接收到的期望信息量（“信号”）与接收到的非期望信息量（“噪声”）的比率。然后，在保持特定的TTX目标的同时，用噪声最小的高信号来衡量成功与否重要的是要注意到这里没有“中庸”，但稍后会有更多

为了更好地理解考虑信噪比如何更好地服务于SOC，让我们来看看平均时间指标的三个关键缺点。通过了解网络安全的SNR，你将更好地在人工智能驱动的解决方案数量快速增长的市场中评估安全提供商，并且你将更好地了解##############质量######检测（而不是快速但不准确的检测）的原因

1— 异常值影响平均时间

均值是平均值，因此可以平滑不稳定的数据值并隐藏重要的趋势。当我们计算平均TTX时，我们实际上是在说50%的时候我们比平均水平好，50%的时候我们比平均水平差。因此，当他们在ActZero讨论平均值时，他们总是使用“总百分比n”来更准确地了解平均值适用的时间百分比。当他们说TP99的TTX为5秒时，他们实际上说100次中有99次，他们的TTX为5秒。这个总百分比有助于您了解您的事件成为实际“异常值”的可能性，并花费您数天的补救和潜在停机时间

2 —平均时间=传统度量

作为一种衡量标准，平均时间是从呼叫中心多年前遗留下来的范例。多年来，网络安全领导者采用了类似的标准，因为IT部门对这些标准很熟悉#在今天的现实中，平均时间并不能直接映射到我们在网络安全方面所做的工作类型，我们也不能完全将它们概括为整个攻击生命周期中有意义的指标。虽然这些平均值可能会传达出相对于攻击生命周期特定部分的速度，但它们不会提供任何可操作的信息，只会潜在地告诉您加快速度。在最好的情况下，MTTX会成为一个虚荣的指标，在高管仪表板上看起来很棒，但实际提供的商业智能很少

3—信噪比测量质量检测

如果最快的MTTX测量的是不准确警报的创建，那么它就一文不值。我们希望平均时间指标告诉我们关于警报或真正的正面信息，而#所以，你可能会想，“一个不协调的MTTX如何告诉你你的安全提供商的工作质量，或者它如何使你的系统安全？”你质疑这一点是正确的，但事实并非如此

如果你真的想了解安全提供商的效率，你必须了解（1）覆盖范围的广度和（2）检测的质量。速度与质量的挑战是为什么我们认为（和衡量成功）是在信噪比方面，而不是在平均时间

对于安全提供商或内部运行SOC的提供商来说，质量检测信号与大量良性或其他噪声相关，这将使您能够了解SNR，并使用它来提高运营效率。而且，到了每季度高管更新的时候，你将能够讲述一个比仪表板上的MTTX更强大、更有价值的关于你的网络安全工作的故事

行动项目：看看你的网络安全提供商相对于不准确警报的数量提出了多少

ActZero如何帮助像您这样的客户

有比MTTX更好的方法来评估网络安全效能。他们建议从信噪比的角度考虑，以便更好地衡量安全提供商检测的质量和广度。随着网络安全解决方案通过人工智能和机器学习获得以机器速度做出反应的能力，像信噪比这样的新指标将至关重要。