Компаниите трябва да измерват ефективността във всички области на дейност, за да проверят дали са рентабилни и дали постигат желаните резултати. Един от най-добрите начини мениджърите по сигурността да докажат, че програмата им за операции по сигурността е съгласувана с бизнес целите, е да използват показатели, които демонстрират ефикасност и ефективност.
MTTD и MTTR са двата ключови показателя за ефективност, използвани за измерване и отчитане на това колко бързо операциите по сигурността откриват и реагират на киберзаплахи, които могат да се промъкнат под радара на съществуващите механизми за контрол.
Нека разберем какво представляват тези показатели и как се изчисляват:
Този показател
измерва времето, необходимо на екипа за операции по сигурността да открие и идентифицира скрита заплаха в мрежата на организацията. Този показател демонстрира ефективността на операциите по сигурността и изчислява скоростта и възможностите на ловците на заплахи, SOC анализаторите и екипа за реагиране при наблюдението, класифицирането и разследването на аномално поведение в мрежата, както и при реагирането на нападателя, ако настъпи пробив в сигурността. Целта на екипа трябва да бъде тази метрика да бъде възможно най-ниска, тъй като това означава, че въздействието ще бъде по-малко, ако мрежите на организацията бъдат компрометирани.
MTTD за един инцидент се изчислява въз основа на разликата между датата/времето между първия признак на атаката и датата на създаване на случая на инцидента, т.е. времето, когато заплахата е класифицирана за пълно разследване. Средното време за откриване на всеки инцидент се изчислява, за да се изчисли MTTD за всички инциденти в определен период от време.
Този показател показва времето, което е необходимо на екипа да разследва и да реагира на откритите заплахи. Той определя ефективността на операциите по сигурността и показва ефикасността на анализаторите и екипа за реагиране на SOC, които отговарят за идентифицирането и корелацията на поведенческите аномалии, които показват, че е възникнал инцидент, за тяхното задълбочено разследване и реагиране – от ограничаване до изкореняване на заплахата от мрежата. Ако този показател е висок, технологията, използвана в областите, които подпомагат разследването на заплахите и тяхното ограничаване в SOC, може да е бавна и слаба, а автоматизацията да липсва. В тези случаи заплахите в корпоративните мрежи могат да доведат до нарушаване на сигурността на данните или до изключително високи разходи за обезщетения. Времето за реакция за отделен инцидент се основава на разликата между датата/времето между датата на създаване на случая или началото на разследването и времето, когато инцидентът е разрешен. Както и в случая с MTTD, средното време, необходимо на екипа за разследване и реакция на всеки инцидент, се използва за определяне на времето за реакция за всички инциденти в рамките на определен период от време.
Бързината, с която операциите по сигурността откриват и реагират, може да направи разликата между пробив, който може да бъде овладян навреме, и сериозен пробив в данните или скъпоструващи оперативни щети и щети на репутацията. Ето защо прилагането на основни показатели като MTTD и MTTR дава възможност на екипа на SOC и на заинтересованите страни да получат по-задълбочено разбиране за оперативната ефективност, което им позволява да вземат по-добри инвестиционни решения и да демонстрират стойността си пред ръководството.
Високите нива на MTTD и MTTR не означават непременно, че използваната стратегия за сигурност е неправилна, а че SOC трябва да приложи някои допълнителни мерки, за да намали времето за престой на инфраструктурната среда в случай на реална атака.
С повишаването на зрелостта на операциите по сигурността на организацията ефективността на нейните възможности за откриване и реагиране ще се подобри, а процентите на MTTD и MTTR ще намалеят. Тези показатели са предназначени да предоставят информация за ефективността, изпълнението и отчетността на операциите по сигурността. Като ги има предвид, SOC също така е в състояние да идентифицира всички тесни места в своите процеси, прилагани технологии или експерти и ще може да определи всички ресурси или процеси, които се нуждаят от преразглеждане.
Всички бизнес процеси трябва да бъдат оценявани, за да могат да бъдат подобрени, и операциите по сигурността не са по-различни в това отношение. В електронната книга Empowering the SOC: Security Operations Maturity Model (Укрепване на SOC: Модел на зрелостта на операциите по сигурността) очертаваме ключовите способности, необходими за справяне с днешните предизвикателства пред екипите по сигурността, и предоставяме информация за това как да се създаде успешен SOC.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
