0
0
Em um mundo onde os cibercriminosos evoluem continuamente suas metodologias de ameaças, a maioria dos profissionais de segurança acredita que não é mais uma questão de “se” uma organização experimentará um evento de segurança de dados, mas sim “quando” isso acontecerá. À medida que você trabalha para proteger melhor sua pilha de TI, você precisa garantir que você estabeleça um plano robusto de resposta a incidentes que forneça dados quantitativos. À medida que você procura amadurecer sua resiliência à segurança cibernética,entender essas sete métricas de resposta a incidentes e como usá-las pode fornecer uma maneira de reduzir o risco e responder a incidentes de forma mais eficiente.
1. Tempo médio para detectar (MTTD)
O MTTD é definido como a quantidade média de tempo que sua equipe precisa para detectar um incidente de segurança. Para medir o MTTD, você soma o tempo total que sua equipe leva para detectar incidentes durante um determinado período e dividir isso pelo número de incidentes. Você pode usá-lo para comparar a eficácia entre as equipes ou usá-la como uma maneira de medir o monitoramento de seus controles atuais.
Por exemplo, se a Equipe A relata 10 incidentes em um mês, e leva 1000 minutos para detectar, então é assim que você calcula seu MTTD:
1000/10 = 100 minutos para detectar
Enquanto isso, a Equipe B pode reportar 8 incidentes em um mês, mas eles levam 1500 minutos para detectar, seu MTTD se parece com este:
1500/8= 187,5 minutos para detectar
Com base no MTTD, a Equipe B leva 87,5 minutos a mais para detectar um incidente de segurança do que a Equipe A. Usando essa métrica, você pode procurar maneiras de reduzir o MTTD para que os atores mal-intencionados passem menos tempo em seus sistemas.
2. Tempo médio para reconhecer (MTTA)
O MTTA mede a quantidade de tempo entre um sistema que gera um alerta e um membro da sua equipe de TI respondendo ao alerta. Enquanto o MTTD se concentra em quanto tempo leva para detectar ou ser alertado para um incidente, o MTTA se concentra em quanto tempo leva para perceber e começar a trabalhar no problema.
Quanto maior o MTTA, mais tempo sua equipe de TI leva para reconhecer um relatório de incidente. Você pode usar essa métrica para rastrear o quão bem sua equipe de segurança está priorizando alertas. Se sua equipe não conseguir priorizar alertas de alto risco, então pode demorar mais para começar a trabalhar na correção do risco. Um MTTA mais baixo significa que sua equipe está respondendo rapidamente aos alertas de segurança, mostrando que eles estão priorizando-os bem.
3. Mean time to recovery (MTTR)
MTTR is the amount of time it takes your staff to get an affected system back up and running again. MTTR gives you insight into how rapidly your incident response team can get you and any impacted customers back to normal.
Para calcular MTTR, pegue a soma do tempo de inatividade por um determinado período e divida-o pelo número de incidentes. Por exemplo, se você teve um total de 20 minutos de tempo de inatividade causado por 2 eventos diferentes durante um período de dois dias, seu MTTR se parece com isso:
20/2= 10 minutos
Agora, se o tempo de inatividade foi de 40 minutos no total para os 2 incidentes, seu MTTR se parece com este:
40/2 = 20 minutos
Como o segundo MTTR é maior, você pode dizer que tem um problema com seus processos de resposta a incidentes. Você não pode dizer qual éo problema, mas pelo menos sabe onde focar mais investigações.
4. Tempo médio para conter (MTTC)
O MTTC reúne mttd, MTTA e MTTR para um olhar mais holístico sobre o quão bem sua organização responde a incidentes. O MTTC se concentra no tempo que sua equipe de resposta a incidentes leva para detectar um incidente, reconhecer o incidente e efetivamente impedir que um cibercriminoso faça mais danos.
Para calcular o MTTC, pegue a soma das horas gastas detectando, reconhecendo e resolvendo um alerta, e divida-o pelo número de incidentes.
Por exemplo, se sua organização experimentou 2 incidentes que levaram 3 horas cada para detectar, 2 horas cada para reconhecer e 5 horas cada para resolver, seu MTTC seria assim:
(2+2+3+3+2+2)/2 = 14/2 = 7 horas
Muitos consideram o MTTC uma das métricas de resposta a incidentes mais importantes porque um MTTC baixo dá uma olhada holística em como sua equipe trabalha em conjunto. Se o MTTC é alto, então você deseja começar a perfurar em qual área – detecção, reconhecimento ou recuperação – é o elo mais fraco.
5. Disponibilidade do sistema
Seu ecossistema de TI interconectado também inclui fornecedores cujos programas de resposta a incidentes precisam ser monitorados. Uma vez que você não está “no chão” com seus fornecedores, você precisa encontrar maneiras de medir processos de terceiros.
A disponibilidade do sistema fornece uma visão do quão bem seus serviços de nuvem estão gerenciando seus produtos. Essa métrica se concentra menos em quão bem sua organização gerencia incidentes e mais em como seus fornecedores gerenciam incidentes.
Muitas vezes, um incidente de segurança, como um ataque DDoS (Distributed Denial of Service, negação distribuída de serviços) tira os serviços de nuvem. A métrica de disponibilidade do sistema oferece uma maneira de medir a confiabilidade do seu provedor de serviços, bem como a visibilidade da rapidez com que eles contêm um incidente. Quanto maior a métrica de disponibilidade do sistema, mais confiável é o serviço. Por exemplo, um serviço com disponibilidade de sistema de 90% é mais confiável do que um serviço com 80% de disponibilidade.
6. Conformidade do contrato de nível de serviço (SLA)
Outra métrica para medir a maturidade de resposta a incidentes de terceiros é comparar as cláusulas em seus SLAs com a realidade do serviço prestado. Seu SLA pode incluir níveis de serviço e respostas esperadas. Como parte do SLA, você pode estar medindo disponibilidade e tempo de recuperação. Em seguida, você pode comparar a disponibilidade real do serviço e o MTTR real com os listados no SLA. Se o fornecedor não está cumprindo os requisitos, tendo problemas de disponibilidade que excedam o subsídio máximo ou demorando muito para resolver um incidente, você pode querer começar a procurar outro fornecedor.
7. Tempo médio entre falhas (MTBF)
O MTBF mede o tempo entre falhas no sistema durante operações normais. Você pode medir o MTBF tomando o número total de horas que os sistemas funcionam durante um período especificado e, em seguida, dividindo esse número por quantas falhas ocorreram durante o mesmo período.
Por exemplo, se o seu banco de dados é executado por 5.000 horas ao longo de um mês e experimenta 3 falhas, seu MTBF é:
5000/3= 1.667 horas entre falhas
Um aplicativo diferente em execução pelas mesmas 5000 horas tem 8 falhas durante o mesmo período. Para essa aplicação, seu MTBF é:
5000/8 = 625 horas
Como o MTBF é mais baixo para o segundo sistema, você pode ver que ele causa mais paralisações durante o mesmo período do primeiro sistema. Quanto menor o MTBF, mais manutenção o sistema precisa.
Embora o MTBF seja frequentemente usado quando se procura comparar as expectativas de vida da tecnologia antes da compra, você pode usar o MTBF depois de comprar o produto como um indicador de fim de vida útil. Quanto mais antigo é um sistema, mais frequentemente ele pode falhar.
Ao aplicar isso à segurança cibernética e à resposta a incidentes, você pode olhar para o MBTF como um indicador de um sistema de fim de vida que pode estar em maior risco de ser o elo mais fraco em uma pilha de TI. Isso pode ajudá-lo a encontrar um ponto de partida ao se envolver em pesquisas forenses.
O SecurityScorecard permite que as organizações meçam a eficácia da resposta a incidentes
A plataforma de classificações de segurança do SecurityScorecard monitora continuamente seu ecossistema de TI, fornecendo classificações de segurança A-F fáceis de ler. Nossa plataforma leva em conta dez categorias de fatores de risco, incluindo reputação de IP, saúde DNS, segurança de endpoint, segurança de rede, cadência de patches, segurança de aplicativos web, engenharia social, conversas com hackers e vazamento de informações.
Nossa ferramenta de monitoramento contínuo fornece alertas em tempo real para novos riscos que afetam seu ecossistema, priorizando os alertas com base no nível de risco e sugerindo atividades de remediação. Com nossa plataforma, você pode responder de forma mais eficaz a incidentes de segurança ou incidentes potenciais e apoiar suas estratégias com métricas tradicionais de resposta a incidentes.
FONTE: SECURITY SCORECARD