今天這一篇文章主要就是介紹應急響應中的KPI。不過在讨論之前，還是得簡單地介紹一下什麼是應急響應。

“應急響應”對應的英文是“Incident Response”（IR），是一種處理安全事件、漏洞和網絡威脅的結構化方法。通常是指一個組織為了應對各種意外事件的發生所做的準備以及在事件發生後所采取的措施。

應急響應流程可以參考NIST其中明确了應急響應4個階段并細分出了6個步驟。

準備階段：人員、預案手冊（Playbook）、工具；

檢測與分析階段：确認安全事件類型，明确事件等級；

遏制、根除和恢複階段：立即止損，根據安全事件類型選擇對應的遏制方法并制定恢複計劃；

事後總結：從本次的安全事件中改進流程，并将新數據反饋到應急響應流程的準備階段。你應該詢問、調查并記錄以下問題的答案：

• 發生了什麼，在什麼時候？
• 事件響應小組對事件的處理情況如何？是否遵循了流程，是否足夠？
• 更早地發現還需要哪些信息？
• 是否采取了任何導緻損壞或阻礙恢複的錯誤操作？
• 如果下次發生同樣的事件，我們可以采取哪些不同的做法？
• 我們能否與其他組織或其他部門更好地分享信息？
• 我們是否學會了防止類似事件再次發生的方法？
• 我們是否發現了類似事件的新預兆或迹象，以供将來觀察？
• 需要哪些額外的工具或資源來幫助預防或減輕類似事件？

【學習文檔】私信回複“資料”獲取

1、MTTD

什麼是MTTD？MTTD：平均檢測時間（Mean time to detect ）。MTTD是指從系統故障到檢測或告警所需的平均時間。

如何計算MTTD？MTTD = 故障與檢測之間的總時間/事件數量例如：某系統在12:00發生故障，但直到12:10才有人注意到或被提醒，那麼此時MTTD是10分鐘。

2、MTTA

什麼是MTTA？MTTA：平均确認時間（Mean time to acknowledge）。MTTA是指從系統産生告警到人員開始注意并處理的平均時間。

如何計算MTTA？MTTA = 檢測與确認之間的總時間/事件數量例如：安全組件在12:10檢測并發送告警後，應急響應人員在12:15開始處理該事件。那麼此時MTTA是5分鐘。

3、MTTI

什麼是MTTI？MTTI：平均調查時間（Mean time to investigate）。MTTI是指從确認一個安全事件到開始調查其原因和解決方案的平均時間。

如何計算MTTI？MTTI = 确認告警與分析調查之間的總時間/事件數量例如：某安全運營人員在12:15開始處理告警并在12:30完成初步分析及拟定止損方案。那麼此時MTTI是15分鐘。

4、MTTC

什麼是MTTC？MTTC：平均遏制時間（Mean Time to contain）。MTTC是指安全團隊找到威脅者并阻止他們進一步進入你的系統和網絡所需的時間。

如何計算MTTC？MTTC = 分析調查與快速止損之間的總時間/事件數量例如：自安全事件在12:10被檢測到後，應急響應人員在12:45成功遏制了攻擊者的利用方式并阻斷了通訊隧道，有效地防止攻擊者進行下一步入侵。注意：遏制可能是隔離一個電子郵件賬戶，重設一個用戶密碼，或關閉一個服務器。遏制是走向恢複的第一步。應急響應團隊越快遏制住威脅行為者，越能降低企業受到更大風險的可能性。

5、MTTR

MTTR有4種不同的測量方法，這是由于R可以代表修複（repair）、恢複（recovery/restore）、響應（respond）和解決（resolve）。雖然這4個指标有重疊，但它們都有各自的含義和細微差别。安全人員通常關注的是什麼 平均響應時間是這個指标。

1.平均修複時間（Mean time to repair）

什麼是MTTR（平均修複時間）？MTTR是修複一個系統的平均時間。它包括維修時間和測試時間，直到系統再次完全運作。

如何計算MTTR（平均修複時間）？MTTR = 将修複時間與恢複時間相加/修複次數例如：一周内有10次停電，修複系統花費了4個小時。四個小時是240分鐘。240除以10是24。這意味着在這種情況下，修複的平均時間是24分鐘。注意：平均修複時間并不總是與系統中斷本身的時間相同。在某些情況下，修複這個動作是在産品故障或系統中斷後的幾分鐘内開始的。

2.平均恢複時間（Mean time to recovery/restore）

什麼是MTTR（平均恢複時間）？MTTR（平均恢複時間）是指從産品或系統故障中恢複的平均時間。這包括從系統或産品發生故障到其重新完全運作的整個中斷時間。

如何計算MTTR（平均恢複時間）？MTTR = 将故障時間與恢複時間相加/故障數量例如：我們的系統在24小時内在兩個獨立事件中停機了30分鐘。30除以2是15，所以我們的MTTR是15分鐘。注意：這個指标它包括故障現象出現到告警發出的這段延遲時間與respond有着明顯的區别。

3.平均解決時間（Mean time to resolve）

什麼是MTTR（平均解決時間）？MTTR（平均解決時間）是指完全解決一個故障所需的平均時間。這不僅包括檢測故障、診斷問題和修複問題的時間，還包括确保故障不會再次發生的時間。這個指标代表從“救火”到“防火”的轉變。

如何計算MTTR（平均解決時間）？MTTR = 将故障時間與完全解決之間的時間相加/故障數量例如：你的系統在24小時内的一次事件中總共癱瘓了兩個小時，而團隊又花了兩個小時進行修複，以确保系統中斷不會再次發生，這就是解決該問題的總時間。這意味着你的MTTR是四個小時。注意：MTTR 最常使用工作時間（8小時）計算（假設你在下班時将故障恢複，并在第二天上班時解決潛在問題，那麼你的 MTTR 将不包括下班的16小時）。如果你的團隊在能夠7X24小時，或者有值班員工在下班後工作，那麼這個指标将可以進行适當的微調。

4.平均響應時間（Mean time to respond）

什麼是MTTR（平均響應時間）？MTTR（平均響應時間）是指從第一次收到警報時起，直到産品或系統從故障中恢複所需的平均時間。

如何計算MTTR（平均響應時間）？MTTR = 檢測告警與服務恢複之間的總時間/事件數量示例：如果你在一個40小時的工作周裡發生了四起事件，并且在這些事件上總共花了一個小時（從警報到恢複），那麼你那一周的MTTR将是15分鐘。注意：平均響應時間不考慮問題已經存在但未被識别的時間。

應急響應KPI時間線

1.MTTD：告警群在12:05上報一起安全告警，（假設告警每5分鐘同步一次到群裡，理想情況下告警應近乎實時）。MTTD：5分鐘（12:05 - 12:00 = 5）

2.MTTA：安全運營團隊在12:10開始處理此告警并确認這是一起真實的網絡入侵事件，同一時間應急響應團隊介入。MTTA：5分鐘（12:10 - 12:05 = 5）

3.MTTI：應急響應團隊在12:25完成初步分析并根據已有應急預案拟定遏制方案。MTTI：15分鐘（12:25 - 12:10 = 15）

4.MTTC：根據預案安全運營團隊在12:35完成了安全組件的規則調整，并删除已識别的後門木馬遏制了攻擊者的利用“路徑”。為後續的根除威脅争取到了充足的時間。MTTC：30分鐘（12:35 - 12:05 = 30）

5.MTTR：12:50正式通知重新上線業務恢複對外服務。MTTR（Respond）：45分鐘（12:50 - 12:05 = 45）、MTTR（Recovery）：50分鐘（12:50 - 12:00 = 50）；

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!