Търсене
Close this search box.

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на дейност, за да проверят дали са рентабилни и дали постигат желаните резултати. Един от най-добрите начини мениджърите по сигурността да докажат, че програмата им за операции по сигурността е съгласувана с бизнес целите, е да използват показатели, които демонстрират ефикасност и ефективност.

MTTD и MTTR са двата ключови показателя за ефективност, използвани за измерване и отчитане на това колко бързо операциите по сигурността откриват и реагират на киберзаплахи, които могат да се промъкнат под радара на съществуващите механизми за контрол.

Нека разберем какво представляват тези показатели и как се изчисляват:

Средно време до откриване (MTTD): Какво представлява и как се изчислява?

Този показател

измерва времето, необходимо на екипа за операции по сигурността да открие и идентифицира скрита заплаха в мрежата на организацията. Този показател демонстрира ефективността на операциите по сигурността и изчислява скоростта и възможностите на ловците на заплахи, SOC анализаторите и екипа за реагиране при наблюдението, класифицирането и разследването на аномално поведение в мрежата, както и при реагирането на нападателя, ако настъпи пробив в сигурността. Целта на екипа трябва да бъде тази метрика да бъде възможно най-ниска, тъй като това означава, че въздействието ще бъде по-малко, ако мрежите на организацията бъдат компрометирани.

MTTD за един инцидент се изчислява въз основа на разликата между датата/времето между първия признак на атаката и датата на създаване на случая на инцидента, т.е. времето, когато заплахата е класифицирана за пълно разследване. Средното време за откриване на всеки инцидент се изчислява, за да се изчисли MTTD за всички инциденти в определен период от време.

Средно време за отговор (MTTR): Определение и изчисление

Този показател показва времето, което е необходимо на екипа да разследва и да реагира на откритите заплахи. Той определя ефективността на операциите по сигурността и показва ефикасността на анализаторите и екипа за реагиране на SOC, които отговарят за идентифицирането и корелацията на поведенческите аномалии, които показват, че е възникнал инцидент, за тяхното задълбочено разследване и реагиране – от ограничаване до изкореняване на заплахата от мрежата. Ако този показател е висок, технологията, използвана в областите, които подпомагат разследването на заплахите и тяхното ограничаване в SOC, може да е бавна и слаба, а автоматизацията да липсва. В тези случаи заплахите в корпоративните мрежи могат да доведат до нарушаване на сигурността на данните или до изключително високи разходи за обезщетения. Времето за реакция за отделен инцидент се основава на разликата между датата/времето между датата на създаване на случая или началото на разследването и времето, когато инцидентът е разрешен. Както и в случая с MTTD, средното време, необходимо на екипа за разследване и реакция на всеки инцидент, се използва за определяне на времето за реакция за всички инциденти в рамките на определен период от време.

Бързината, с която операциите по сигурността откриват и реагират, може да направи разликата между пробив, който може да бъде овладян навреме, и сериозен пробив в данните или скъпоструващи оперативни щети и щети на репутацията. Ето защо прилагането на основни показатели като MTTD и MTTR дава възможност на екипа на SOC и на заинтересованите страни да получат по-задълбочено разбиране за оперативната ефективност, което им позволява да вземат по-добри инвестиционни решения и да демонстрират стойността си пред ръководството.

Повишаване на зрелостта на SOC за намаляване на MTTD и MTTR

Високите нива на MTTD и MTTR не означават непременно, че използваната стратегия за сигурност е неправилна, а че SOC трябва да приложи някои допълнителни мерки, за да намали времето за престой на инфраструктурната среда в случай на реална атака.

С повишаването на зрелостта на операциите по сигурността на организацията ефективността на нейните възможности за откриване и реагиране ще се подобри, а процентите на MTTD и MTTR ще намалеят. Тези показатели са предназначени да предоставят информация за ефективността, изпълнението и отчетността на операциите по сигурността. Като ги има предвид, SOC също така е в състояние да идентифицира всички тесни места в своите процеси, прилагани технологии или експерти и ще може да определи всички ресурси или процеси, които се нуждаят от преразглеждане.

Всички бизнес процеси трябва да бъдат оценявани, за да могат да бъдат подобрени, и операциите по сигурността не са по-различни в това отношение. В електронната книга Empowering the SOC: Security Operations Maturity Model (Укрепване на SOC: Модел на зрелостта на операциите по сигурността) очертаваме ключовите способности, необходими за справяне с днешните предизвикателства пред екипите по сигурността, и предоставяме информация за това как да се създаде успешен SOC.

Източник: watchguard.com

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
24/05/2024

Как остарелият рутер подкоп...

В днешната цифрова ера, в която...
24/05/2024

Обяснение на 5G домашен инт...

Доставчиците на интернет услуги (ДУУ) са...
26/04/2024

Мрежови заплахи: Демонстрац...

Проследете тази симулация на реална мрежова...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!