現在の財政状況を考えると、サイバーセキュリティの予算は、他のすべての支出とともに見直されている可能性があり、場合によってはチョッピングブロックにある可能性があります. セキュリティ リーダーがセキュリティ オペレーション プログラムを保護するための最善の方法の XNUMX つは、 ビジネスの優先事項との整合 彼らの経営陣と取締役会の。 これの重要な部分は、プログラムの有効性を示す指標を提供することです。 指標の開発 これにより、利害関係者はプログラムの現在の状態と、プログラムがビジネス目標をどのようにサポートしているかを追跡できます。
セキュリティ オペレーション センターはビジネスに不可欠な機能ですが、SOC の有効性を測定することは容易ではありません。 組織は、多種多様なアプローチから選択できます。 セキュリティ オペレーションにおける応答速度は重要な側面の XNUMX つであり、迅速に封じ込められる侵害と壊滅的なデータ侵害との間のすべての違いを生む可能性があります。
したがって、次のような基本的な指標から始めます。 平均検出時間 (MTTD) と平均応答時間 (MTTR) により、あなたとあなたの利害関係者の両方が、経営陣や取締役会に価値を示すだけでなく、運用についてより深い洞察を得て、より良い投資決定を下すことができます。
効果を向上させる
回復力のあるセキュリティ運用プログラムの主な目的は、組織を下げることです。'■ MTTD および MTTR は、サイバー インシデントによって組織にもたらされる損害を制限します。
MTTD は、潜在的なセキュリティ脅威を発見するのにかかる時間を測定します。 この指標は、組織の有効性を理解するのに役立ちます'のセキュリティ運用とチーム'脅威を認識する速度と能力。 したがって、目標は、組織への侵害の影響を軽減するために、このメトリックを可能な限り低く保つことです。
一方、MTTR は、脅威が検出されてから対応するまでの時間を測定するのに役立ちます。 レスポンス タイムが長いということは、セキュリティ侵害が損害を与えるデータ侵害につながる可能性があることを示しています。 目標は、MTTD と同様に、応答を高速化し、リスクを軽減することです。
MTTD と MTTR はどちらも、チームを測定して改善するための重要な指標です'組織としてのチームの有効性を追跡することが重要であるため、'成熟度が増します。 あらゆる基本的なビジネス オペレーションと同様に、組織を成熟させるには、オペレーションの有効性を測定して、組織が KPI と SLA に到達しているかどうかを判断する必要があります。
MTTD と MTTR に加えて、運用上の有効性を効果的に測定して伝達していることを確認するために監視する必要がある他のメトリックがあります。
セキュリティ運用の成功を保証する
セキュリティ運用プログラムのどこを改善する必要があるかを確認するために測定する必要がある XNUMX つの指標を以下に示します。
トリアージのアラーム時間 (TTT): チームを測定します'アラームを緊急に検査する機能。 脅威への対応レベルをリアルタイムで把握するのに役立ちます。 これは、チームが監視の対象を絞り込むために追加のスタッフが必要な場合や、より大きな監視負荷を引き受けるのに十分なスタッフがいる可能性があることを示している可能性があります。
予選アラーム時間 (TTQ): アラームが完全に調査されて認定されるまでにかかる時間を測定して示します。 TTQ は、障害を特定し、チームを理解するのに役立ちます'脅威を特定する際の範囲。
脅威の調査時間 (TTI): 認定された脅威を徹底的に調査するのにかかる時間を測定し、示します。 ボトルネックを特定し、チームを理解することができます'効率的な方法で脅威を調査するときの機能。
緩和時間 (TTM): インシデントを軽減し、差し迫ったビジネス リスクに対処するのにかかる時間を測定します。 TTM は、チームがどれだけ迅速に問題を緩和して、アクティブな脅威を停止または妨害できるかを理解するのに役立ちます。
回復時間 (TTV): インシデントから完全に復旧するまでにかかる時間を測定します。 TTV を測定すると、セキュリティ チームやその他の関係者が業務を完全に通常の状態に戻すまでの時間を把握するのに役立ちます。 運用とコラボレーションのボトルネックも見つかります。
インシデント検出時間 (TTD): インシデントが最初に検出され、最終的に認定されたことを確認するのにかかる時間を測定します。 TTD は、実際にインシデントを引き起こした脅威を特定するのにかかる時間を示すため、セキュリティ運用の有効性の重要な指標です。
インシデント対応時間 (TTR): 確認されたインシデントを完全に調査し、緩和するのにかかる時間を測定します。 TTR は、インシデントの原因となった脅威を分析して軽減するのにかかる時間を示すため、セキュリティ運用の有効性の重要な尺度です。
メトリクスは、データの収集、分析、およびレポートを通じて、セキュリティ プログラムの有効性、パフォーマンス、および説明責任に関する情報に関する洞察を提供するように設計されています。 また、プロセスのボトルネックを明らかにしたり、ツールやプロセスの修正が必要な場所を特定したりすることもできます。 改善するためにはすべてのビジネス プロセスを測定する必要があり、この点ではセキュリティ運用も例外ではありません。 メトリクスを通じて有効性を実証することは、より広いビジネスに価値を示すために必要な要素です。
