Търсене
Close this search box.

Компаниите трябва да измерват ефективността във всички области на дейност, за да проверят дали са рентабилни и дали постигат желаните резултати. Един от най-добрите начини мениджърите по сигурността да докажат, че програмата им за операции по сигурността е съгласувана с бизнес целите, е да използват показатели, които демонстрират ефикасност и ефективност.

MTTD и MTTR са двата ключови показателя за ефективност, използвани за измерване и отчитане на това колко бързо операциите по сигурността откриват и реагират на киберзаплахи, които могат да се промъкнат под радара на съществуващите механизми за контрол.

Нека разберем какво представляват тези показатели и как се изчисляват:

Средно време до откриване (MTTD): Какво представлява и как се изчислява?

Този показател

измерва времето, необходимо на екипа за операции по сигурността да открие и идентифицира скрита заплаха в мрежата на организацията. Този показател демонстрира ефективността на операциите по сигурността и изчислява скоростта и възможностите на ловците на заплахи, SOC анализаторите и екипа за реагиране при наблюдението, класифицирането и разследването на аномално поведение в мрежата, както и при реагирането на нападателя, ако настъпи пробив в сигурността. Целта на екипа трябва да бъде тази метрика да бъде възможно най-ниска, тъй като това означава, че въздействието ще бъде по-малко, ако мрежите на организацията бъдат компрометирани.

MTTD за един инцидент се изчислява въз основа на разликата между датата/времето между първия признак на атаката и датата на създаване на случая на инцидента, т.е. времето, когато заплахата е класифицирана за пълно разследване. Средното време за откриване на всеки инцидент се изчислява, за да се изчисли MTTD за всички инциденти в определен период от време.

Средно време за отговор (MTTR): Определение и изчисление

Този показател показва времето, което е необходимо на екипа да разследва и да реагира на откритите заплахи. Той определя ефективността на операциите по сигурността и показва ефикасността на анализаторите и екипа за реагиране на SOC, които отговарят за идентифицирането и корелацията на поведенческите аномалии, които показват, че е възникнал инцидент, за тяхното задълбочено разследване и реагиране – от ограничаване до изкореняване на заплахата от мрежата. Ако този показател е висок, технологията, използвана в областите, които подпомагат разследването на заплахите и тяхното ограничаване в SOC, може да е бавна и слаба, а автоматизацията да липсва. В тези случаи заплахите в корпоративните мрежи могат да доведат до нарушаване на сигурността на данните или до изключително високи разходи за обезщетения. Времето за реакция за отделен инцидент се основава на разликата между датата/времето между датата на създаване на случая или началото на разследването и времето, когато инцидентът е разрешен. Както и в случая с MTTD, средното време, необходимо на екипа за разследване и реакция на всеки инцидент, се използва за определяне на времето за реакция за всички инциденти в рамките на определен период от време.

Бързината, с която операциите по сигурността откриват и реагират, може да направи разликата между пробив, който може да бъде овладян навреме, и сериозен пробив в данните или скъпоструващи оперативни щети и щети на репутацията. Ето защо прилагането на основни показатели като MTTD и MTTR дава възможност на екипа на SOC и на заинтересованите страни да получат по-задълбочено разбиране за оперативната ефективност, което им позволява да вземат по-добри инвестиционни решения и да демонстрират стойността си пред ръководството.

Повишаване на зрелостта на SOC за намаляване на MTTD и MTTR

Високите нива на MTTD и MTTR не означават непременно, че използваната стратегия за сигурност е неправилна, а че SOC трябва да приложи някои допълнителни мерки, за да намали времето за престой на инфраструктурната среда в случай на реална атака.

С повишаването на зрелостта на операциите по сигурността на организацията ефективността на нейните възможности за откриване и реагиране ще се подобри, а процентите на MTTD и MTTR ще намалеят. Тези показатели са предназначени да предоставят информация за ефективността, изпълнението и отчетността на операциите по сигурността. Като ги има предвид, SOC също така е в състояние да идентифицира всички тесни места в своите процеси, прилагани технологии или експерти и ще може да определи всички ресурси или процеси, които се нуждаят от преразглеждане.

Всички бизнес процеси трябва да бъдат оценявани, за да могат да бъдат подобрени, и операциите по сигурността не са по-различни в това отношение. В електронната книга Empowering the SOC: Security Operations Maturity Model (Укрепване на SOC: Модел на зрелостта на операциите по сигурността) очертаваме ключовите способности, необходими за справяне с днешните предизвикателства пред екипите по сигурността, и предоставяме информация за това как да се създаде успешен SOC.

Източник: watchguard.com

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
Бъдете социални
Още по темата
28/09/2024

Zero Trust + AI: по-малко с...

Прекомерните сигнали за киберсигурност не са...
27/09/2024

Предпазване от кибератаки п...

През последните години киберпрестъпниците все по-често...
20/09/2024

Xардуерна сигурност

Какво представлява хардуерната сигурност? Хардуерната сигурност...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!