Компаниите трябва да измерват ефективността във всички области на дейност, за да проверят дали са рентабилни и дали постигат желаните резултати. Един от най-добрите начини мениджърите по сигурността да докажат, че програмата им за операции по сигурността е съгласувана с бизнес целите, е да използват показатели, които демонстрират ефикасност и ефективност.

MTTD и MTTR са двата ключови показателя за ефективност, използвани за измерване и отчитане на това колко бързо операциите по сигурността откриват и реагират на киберзаплахи, които могат да се промъкнат под радара на съществуващите механизми за контрол.

Нека разберем какво представляват тези показатели и как се изчисляват:

Средно време до откриване (MTTD): Какво представлява и как се изчислява?

Този показател

измерва времето, необходимо на екипа за операции по сигурността да открие и идентифицира скрита заплаха в мрежата на организацията. Този показател демонстрира ефективността на операциите по сигурността и изчислява скоростта и възможностите на ловците на заплахи, SOC анализаторите и екипа за реагиране при наблюдението, класифицирането и разследването на аномално поведение в мрежата, както и при реагирането на нападателя, ако настъпи пробив в сигурността. Целта на екипа трябва да бъде тази метрика да бъде възможно най-ниска, тъй като това означава, че въздействието ще бъде по-малко, ако мрежите на организацията бъдат компрометирани.

MTTD за един инцидент се изчислява въз основа на разликата между датата/времето между първия признак на атаката и датата на създаване на случая на инцидента, т.е. времето, когато заплахата е класифицирана за пълно разследване. Средното време за откриване на всеки инцидент се изчислява, за да се изчисли MTTD за всички инциденти в определен период от време.

Средно време за отговор (MTTR): Определение и изчисление

Този показател показва времето, което е необходимо на екипа да разследва и да реагира на откритите заплахи. Той определя ефективността на операциите по сигурността и показва ефикасността на анализаторите и екипа за реагиране на SOC, които отговарят за идентифицирането и корелацията на поведенческите аномалии, които показват, че е възникнал инцидент, за тяхното задълбочено разследване и реагиране – от ограничаване до изкореняване на заплахата от мрежата. Ако този показател е висок, технологията, използвана в областите, които подпомагат разследването на заплахите и тяхното ограничаване в SOC, може да е бавна и слаба, а автоматизацията да липсва. В тези случаи заплахите в корпоративните мрежи могат да доведат до нарушаване на сигурността на данните или до изключително високи разходи за обезщетения. Времето за реакция за отделен инцидент се основава на разликата между датата/времето между датата на създаване на случая или началото на разследването и времето, когато инцидентът е разрешен. Както и в случая с MTTD, средното време, необходимо на екипа за разследване и реакция на всеки инцидент, се използва за определяне на времето за реакция за всички инциденти в рамките на определен период от време.

Бързината, с която операциите по сигурността откриват и реагират, може да направи разликата между пробив, който може да бъде овладян навреме, и сериозен пробив в данните или скъпоструващи оперативни щети и щети на репутацията. Ето защо прилагането на основни показатели като MTTD и MTTR дава възможност на екипа на SOC и на заинтересованите страни да получат по-задълбочено разбиране за оперативната ефективност, което им позволява да вземат по-добри инвестиционни решения и да демонстрират стойността си пред ръководството.

Повишаване на зрелостта на SOC за намаляване на MTTD и MTTR

Високите нива на MTTD и MTTR не означават непременно, че използваната стратегия за сигурност е неправилна, а че SOC трябва да приложи някои допълнителни мерки, за да намали времето за престой на инфраструктурната среда в случай на реална атака.

С повишаването на зрелостта на операциите по сигурността на организацията ефективността на нейните възможности за откриване и реагиране ще се подобри, а процентите на MTTD и MTTR ще намалеят. Тези показатели са предназначени да предоставят информация за ефективността, изпълнението и отчетността на операциите по сигурността. Като ги има предвид, SOC също така е в състояние да идентифицира всички тесни места в своите процеси, прилагани технологии или експерти и ще може да определи всички ресурси или процеси, които се нуждаят от преразглеждане.

Всички бизнес процеси трябва да бъдат оценявани, за да могат да бъдат подобрени, и операциите по сигурността не са по-различни в това отношение. В електронната книга Empowering the SOC: Security Operations Maturity Model (Укрепване на SOC: Модел на зрелостта на операциите по сигурността) очертаваме ключовите способности, необходими за справяне с днешните предизвикателства пред екипите по сигурността, и предоставяме информация за това как да се създаде успешен SOC.