衡量 AI 在 SOC 中的有效性

在之前的博文中，我们介绍了安全运营中心 (SOC) 遇到的一些挑战，包括网络安全技能短缺、未解决的安全风险和驻留时间长等，以及如何利用人工智能 (AI)缓解这些挑战。根据《ISACA 网络安全状况报告》，78%的受访者预计未来他们对技术网络安全角色的需求将会增加。该报告还提到，技能短缺的影响将会越来越严重。

这正是 AI 可以介入并帮助 SOC 大幅减轻压力的机会所在。

证明支出的合理性

在预算和 IT支出紧张时期，任何新支出都必须提供可靠的业务依据，这一点毫无疑问。在考虑任何新的安全计划或解决方案时，必须确保其改善之处可为业务关键决策提供帮助。此外，如果您的组织想要使用一款新的AI 工具（或任何新的解决方案或方法），则必须通过一种方法来确认新方法明显优于旧方法。

通常，您需要能够明晰地展示业务环境中的绩效改善，并向多个不同的利益相关者提供相关报告，以便他们基于各自的角色审查不同的指标。以下是在通过实施 AI解决方案来增强组织的安全性时确立或重新评估绩效指标时要考虑的一些准则。

确立实际指标

您可能已经对要评估的指标有所了解。如果没有的话，现在正是考虑它们的好时候。指标需要确保相关、及时且可跟踪。在实施新的 AI之前，必须要建立一个基准，以便比较 SOC 在实施新工具之前和之后的绩效，并随着 AI学习的同时定期跟踪未来的改进。获取这些数字应该比较容易，而且不要过分依赖手动流程，因为它们可能非常耗时且容易出错。

向不同的利益相关者明确成功的定义

呈现给董事会和首席级高管的指标通常不同于 SOC 分析团队日常所需的指标。首席信息安全官 (CISO) 一般对利润数字比较感兴趣，而 SOC分析人员通常会在更细粒度的层次上查看指标。

举例来说，安全分析人员专注于组织的安全态势，而且会查看 AI安全警报的数量、调查事件所需平均时间、正确上报给高级分析人员的事件所占百分比以及误报百分比，而高级管理层（例如首席信息安全官、首席执行官和董事会成员）则对以结果为中心的指标（例如驻留时间、检测所需平均时间(MTTD)、响应/补救所需平均时间 (MTTR)，以及安全泄露事件可能会给组织造成的成本等）更感兴趣。确保制定相应的计划，从杂乱的数字中提取出这些高级洞察力。

不要白费力气做重复工作

有些指标已经建立，而且已在网络安全领域得到了广泛运用。充分利用这些现有指标，可为您提供一些整个业内都众所周知的有用基准、准则和趋势。

在这一点上，有许多重要的出版物和报告可供您参考，例如最新的《数据泄露成本报告》、《IBM X-Force 威胁情报指数》、《ISACA网络安全状况报告》，以及有关当前所面临挑战、安全泄露成本、趋势和建议等宝贵信息的其他出版物和报告。下面我们来介绍其中一些关键指标。

数据泄露成本

根据《2020 年数据泄露成本报告》，美国的数据泄露平均成本为 819 万美元，全球的数据泄露平均成本为 390万美元。这是高级管理层在跟踪组织绩效时认为最重要也最感兴趣的指标。他们可以针对美国或全球范围内的数字设置基准，然后实施一些举措，让他们的组织免受这些成本的影响。数据泄露直接成本（例如罚款和清算）和间接成本（例如声誉受损）是多个因素造成的。

驻留时间

高级管理层使用的另一个重要指标是驻留时间，即网络攻击者可以访问目标环境的时间。发现和遏制数据泄露的速度越快，潜在成本就越低，这一点毫无疑问。驻留时间实际上是两个重要指标的总和，分别是：MTTD和 MTTR。具体描述如下：

• 检测所需平均时间 (MTTD)：检测到安全事件（从网络被攻击到检测到攻击）平均花费的时间。
• 响应/修复所需平均时间 (MTTR)：从检测到数据泄露开始，响应或修复泄露平均所需的时间。

其他需要定义的指标包括：AI 实施后对 SOC 分析人员生产效率产生的影响、配置和持续管理的总成本，以及 AI 安装和维护直接产生的所有外包费用等等。

结语

安全专业人员需要能够证明任何新工具所带来的价值，并证明其决策所能产生的收益或可避免的损失。这意味着必须清楚地说明实施新的、以安全为重点的 AI 解决方案可为SOC 和整个公司带来的益处，同时量化可节省的成本。

Lolita Chandra

高级产品营销经理

Lolita Chandra 是 IBM Security 的高级产品营销经理，负责 QRadar Advisor with Watson产品。她是一位经验丰富的解决方案和产品营销专家，在消息传递与定位的构建、进入市场战略的制定、资产创建，以及帮助销售人员成功销售产品/解决方案等方面拥有丰富的经验。

*立即前往2021全新安全专区，掌握最新安全技术趋势

IBM安全专家在线时间：3月12日，下午16：30-17：00

历史精彩文章推荐

*IBM安全历史精彩文章推荐

关于IBM Security介绍

IBM Security 是 IBM 的信息安全解决方案及服务部门，具有多年深耕全球和本地各行各业客户的经验。IBM Security在全球守护95%的全球五百强企业和组织的信息安全，客户覆盖金融、医疗、汽车、科技、电信、航空等行业公司及集团，包括50家全球最大的金融和银行机构中的49家、15家最大的医疗机构中的14家，15家全球最大科技企业中的14家等。IBMSecurity 在 Gartner、Forrester、IDC和其他机构发布的12份不同的分析报告中，有12项技术解决方案被列为领导者，在产业中跻身首列。

鸿蒙官方战略合作共建——HarmonyOS技术社区