Como medir o desempenho de um SOC| WatchGuard Blog

As empresas precisam de medir o desempenho em todas as áreas de operações para verificar se estão a ser rentáveis e a alcançar os resultados desejados. Uma das melhores formas de os gestores de segurança demonstrarem que o seu programa de operações de segurança está alinhado com os objetivos empresariais é utilizar métricas que demonstrem eficiência e eficácia.

O MTTD e o MTTR são os dois indicadores-chave de desempenho utilizados para medir e relatar a rapidez com que as operações de segurança detetam e respondem às ciberameaças, que podem escapar aos controlos de segurança existentes.

Vamos descobrir quais são estas métricas e como são calculadas:

Tempo Médio de Deteção (MTTD): O que é e como é calculado?

Mede o tempo que a equipa de operações de segurança leva para detetar e identificar uma ameaça escondida na rede de uma organização. Esta métrica demonstra a eficácia das operações de segurança e calcula a velocidade e as capacidades dos threat hunters, dos analistas SOC e da equipa de resposta na monitorização, classificação e investigação de comportamentos anómalos na rede, bem como na resposta ao atacante no caso de ocorrer uma falha de segurança.

O objetivo da equipa deve ser manter esta métrica tão baixa quanto possível, pois isto significa que o impacto será menor se as redes de uma organização forem comprometidas.

O MTTD para um único incidente é calculado com base na diferença de data/hora entre o primeiro sinal do ataque e a data em que o caso de incidente foi criado, ou seja, a hora em que a ameaça foi classificada para uma investigação completa. O tempo médio para detetar cada incidente é calculado para calcular o MTTD para todos os incidentes num período de tempo específico.

Tempo médio de Resposta (MTTR): Definição e Cálculo

Isto indica o tempo que a equipa leva a investigar e a responder às ameaças detetadas. Esta medida determina a eficácia das operações de segurança e mostra a eficiência dos analistas e da equipa de resposta do SOC que são responsáveis pela identificação e correlação de anomalias comportamentais que indicam a ocorrência de um incidente, investigando-as exaustivamente e respondendo, desde a contenção até à erradicação da ameaça da rede.

Se este indicador for elevado, a tecnologia utilizada nas áreas do SOC que apoiam a investigação e atenuação da ameaça pode ser lenta e fraca, e pode faltar automatização. Nestes casos, as ameaças em redes empresariais podem resultar numa falha de segurança dos dados ou incorrer em custos extremamente elevados de danos. O tempo de resposta para um único incidente baseia-se na diferença de data/hora entre a data de criação do caso, ou o início da investigação, e a hora em que o incidente é resolvido.

Como no caso do MTTD, o tempo médio que a equipa demora a investigar e responder a cada incidente é utilizado para determinar o tempo de resposta para todos os incidentes dentro de um período de tempo específico.

A rapidez com que as operações de segurança detetam e respondem pode fazer a diferença entre uma falha de segurança que pode ser contida no tempo e uma grave falha de segurança de dados ou danos operacionais e de reputação dispendiosos. Portanto, a aplicação de métricas básicas como MTTD e MTTR permite à equipa SOC e às partes interessadas obter uma compreensão mais profunda do desempenho operacional, permitindo-lhes tomar melhores decisões de investimento e demonstrar valor à gestão.

Aumentar a maturidade do SOC para reduzir o MTTD e o MTTR

As elevadas taxas de MTTD e MTTR não significam necessariamente que a estratégia de segurança utilizada esteja incorreta, mas que o SOC precisa de implementar algumas medidas adicionais para ajudar a reduzir o tempo de paragem do ambiente de infraestruturas caso ocorra um ataque real.

À medida que a maturidade das operações de segurança de uma organização aumenta, a eficácia das suas capacidades de deteção e resposta irá melhorar e as taxas de MTTD e MTTR irão diminuir.

Estas métricas são concebidas para fornecer informações sobre a eficácia, desempenho e responsabilidade das operações de segurança. Tendo-as em mente, o SOC é também capaz de identificar quaisquer estrangulamentos nos seus processos, tecnologias aplicadas ou peritos e será capaz de identificar quaisquer recursos ou processos que necessitem de revisão.

Todos os processos empresariais precisam de ser avaliados para que possam ser melhorados, e as operações de segurança não são diferentes. No e-book Empowering the SOC: Security Operations Maturity Model, delineamos as principais capacidades necessárias para enfrentar os desafios atuais para as equipas de segurança e fornecemos informações sobre como criar um SOC bem-sucedido.

Se quiser saber mais sobre Centros de Operações de Segurança (SOC, na sigla original), não perca a nossa série de artigos: