說明

當 SOC 履行其使命並保護選區的網路資產時，它們就會成功。隨著技術的變化和新威脅的出現，SOC 需要了解哪些方面運作良好，哪些方面的改進最有益。

SOCs succeed when they fulfil their mission and protect the constituency’s cyber assets. As technology changes and new threats emerge, SOCs need to understand what is working well and where improvements would be most beneficial.

作法

訂定衡量標準時，避免因指標設計不當導致的負面結果。
從數值變化可以讓高層了解我們正在進步
從數值變化可以讓高層評估是否要下某些決策(某些領域做得不錯，花更多的錢只進步一點點)

SOC 指標計劃的要素

Business Objectives 商業目標

闡明的業務目標，包括收集、綜合和報告以及根據一組給定指標採取行動的基本原則和結果。

• 內部衡量標準 (SOC)
  • 提高分析工作的有效性和品質
  • 確保工具和系統的品質、穩定性和服務交付
  • 流程和產出逐年逐月改進和最佳化
  • 評估並縮小對手TTP檢測和預防方面的差距(ATT&CK)
  • 展示正在準備的某些目標、服務和任務(EX.導入惡意程式分析)
• 外部的衡量標準 (資安主管、IT)
  • 明列人員、流程和技術整體的現況是否達到期待的水平
  • 確保達到SLA及SLO及產出的內容一致
  • 確保掃描、監控、修補等日常達到實現客戶需求
  • 展現支出與所執行服務的成本
• 與資安無直接關係 (高階主管、客戶)
  • 實行安全管控的進度
  • 實施控制的有效性
  • 說明如何降低成本、減少風險，從事件處理中如何減少組織遭受危害
  • 整體風險/安全指標的貢獻，執行的報告、指標和合規性檢測

Data Sources and Collection 資料來源與收集

透過以下方式評估收集的資料是否充足有效

• 內部演練或模擬
• 外部滲透或紅隊
• SOC-CMM成熟度評估 (https://www.ithome.com.tw/news/157820)

Data Synthesis and Measures 數據整理和測量

資料自動化、儀表板、統整查詢，評估哪些數據只是保留在存儲中或僅用於製作漂亮的圖表，未使用數據考慮減少或消除

Reporting 報告

• 確定報告的受眾範圍和時間
• 計劃要共享的指標
• 以容易理解的格式進行溝通
• 圖形化

Decision Making and Action　決策與行動

確保制定適當的指標，以幫助他們確定變更是否達到了預期的結果

結論

可以參考SOC-CMM的指標去定義，不過不要落入為訂指標而訂立一堆不符合需求(超過資源預算)，他只是一個數字，並不能完全代表安全
https://www.soc-cmm.com/introduction/