Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на дейност, за да проверят дали са рентабилни и дали постигат желаните резултати. Един от най-добрите начини мениджърите по сигурността да докажат, че програмата им за операции по сигурността е съгласувана с бизнес целите, е да използват показатели, които демонстрират ефикасност и ефективност.

MTTD и MTTR са двата ключови показателя за ефективност, използвани за измерване и отчитане на това колко бързо операциите по сигурността откриват и реагират на киберзаплахи, които могат да се промъкнат под радара на съществуващите механизми за контрол.

Нека разберем какво представляват тези показатели и как се изчисляват:

Средно време до откриване (MTTD): Какво представлява и как се изчислява?

Този показател

измерва времето, необходимо на екипа за операции по сигурността да открие и идентифицира скрита заплаха в мрежата на организацията. Този показател демонстрира ефективността на операциите по сигурността и изчислява скоростта и възможностите на ловците на заплахи, SOC анализаторите и екипа за реагиране при наблюдението, класифицирането и разследването на аномално поведение в мрежата, както и при реагирането на нападателя, ако настъпи пробив в сигурността. Целта на екипа трябва да бъде тази метрика да бъде възможно най-ниска, тъй като това означава, че въздействието ще бъде по-малко, ако мрежите на организацията бъдат компрометирани.

MTTD за един инцидент се изчислява въз основа на разликата между датата/времето между първия признак на атаката и датата на създаване на случая на инцидента, т.е. времето, когато заплахата е класифицирана за пълно разследване. Средното време за откриване на всеки инцидент се изчислява, за да се изчисли MTTD за всички инциденти в определен период от време.

Средно време за отговор (MTTR): Определение и изчисление

Този показател показва времето, което е необходимо на екипа да разследва и да реагира на откритите заплахи. Той определя ефективността на операциите по сигурността и показва ефикасността на анализаторите и екипа за реагиране на SOC, които отговарят за идентифицирането и корелацията на поведенческите аномалии, които показват, че е възникнал инцидент, за тяхното задълбочено разследване и реагиране – от ограничаване до изкореняване на заплахата от мрежата. Ако този показател е висок, технологията, използвана в областите, които подпомагат разследването на заплахите и тяхното ограничаване в SOC, може да е бавна и слаба, а автоматизацията да липсва. В тези случаи заплахите в корпоративните мрежи могат да доведат до нарушаване на сигурността на данните или до изключително високи разходи за обезщетения. Времето за реакция за отделен инцидент се основава на разликата между датата/времето между датата на създаване на случая или началото на разследването и времето, когато инцидентът е разрешен. Както и в случая с MTTD, средното време, необходимо на екипа за разследване и реакция на всеки инцидент, се използва за определяне на времето за реакция за всички инциденти в рамките на определен период от време.

Бързината, с която операциите по сигурността откриват и реагират, може да направи разликата между пробив, който може да бъде овладян навреме, и сериозен пробив в данните или скъпоструващи оперативни щети и щети на репутацията. Ето защо прилагането на основни показатели като MTTD и MTTR дава възможност на екипа на SOC и на заинтересованите страни да получат по-задълбочено разбиране за оперативната ефективност, което им позволява да вземат по-добри инвестиционни решения и да демонстрират стойността си пред ръководството.

Повишаване на зрелостта на SOC за намаляване на MTTD и MTTR

Високите нива на MTTD и MTTR не означават непременно, че използваната стратегия за сигурност е неправилна, а че SOC трябва да приложи някои допълнителни мерки, за да намали времето за престой на инфраструктурната среда в случай на реална атака.

С повишаването на зрелостта на операциите по сигурността на организацията ефективността на нейните възможности за откриване и реагиране ще се подобри, а процентите на MTTD и MTTR ще намалеят. Тези показатели са предназначени да предоставят информация за ефективността, изпълнението и отчетността на операциите по сигурността. Като ги има предвид, SOC също така е в състояние да идентифицира всички тесни места в своите процеси, прилагани технологии или експерти и ще може да определи всички ресурси или процеси, които се нуждаят от преразглеждане.

Всички бизнес процеси трябва да бъдат оценявани, за да могат да бъдат подобрени, и операциите по сигурността не са по-различни в това отношение. В електронната книга Empowering the SOC: Security Operations Maturity Model (Укрепване на SOC: Модел на зрелостта на операциите по сигурността) очертаваме ключовите способности, необходими за справяне с днешните предизвикателства пред екипите по сигурността, и предоставяме информация за това как да се създаде успешен SOC.

Източник: watchguard.com

Подобни публикации

20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
16 март 2023

Фалшиво ChatGPT разширение за Chrome отвлича ак...

Установено е, че фалшиво разширение за браузър Chrome с марката Cha...
16 март 2023

Различни методи и етапи на тестовете за проникване

Залогът за киберзащитниците не може да бъде по-голям. При огромните...
15 март 2023

Федералната агенция на САЩ е хакната с помощта ...

Миналата година уеб сървърът на Microsoft Internet Information Serv...
15 март 2023

Белият дом пристъпва към общонационална забрана...

Белият дом направи историческа крачка към забрана на TikTok, собств...
Бъдете социални
Още по темата
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
17/03/2023

(ISC)² с програма за 1 000 ...

Искате да видите  себе си в...
16/03/2023

Различни методи и етапи на ...

Залогът за киберзащитниците не може да...
Последно добавени
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!