攻击者驻留时间

攻击者驻留时间是指未经授权的用户访问系统或环境的平均时间。这与平均遏制时间类似，不同之处在于其时间范围始于攻击者首次获得系统或环境访问权限的时间，该时间可能早于首次发出警报或发现潜在安全事件的时间。

您可以使用此指标来跟踪多个系统与机制的协同工作情况，以缩短攻击者或威胁影响环境的时间、访问权限及机会。缩短攻击者驻留时间应是团队和业务的首要任务。

攻击者驻留时间越长，就越需要确定事件响应流程中哪些部分需要改进，以确保团队能够最大限度地减少威胁或攻击对环境的影响范围。攻击者驻留时间越短，表明团队在最大限度减少威胁或攻击者在环境中的时间和机会方面做得越好，最终降低了运营风险和对业务的影响。