(BLog) Meten is weten. Dat geldt zeker voor een belangrijk onderdeel van de bedrijfsvoering als je datasecurity. Want hoe effectiever je beveiliging, hoe beter voor de bedrijfscontinuïteit en het bedrijfssucces. Veel organisaties hebben moeite met het objectief vaststellen van hun actuele securitysituatie. Toch zijn er naast de bekende Mean Time To Detect (MTTD) en Mean Time To Respond (MTTR) nog enkele andere kengetallen, waarmee je in korte tijd een goede beoordeling hebt van de effectiviteit van al je securityinspanningen. We zetten ze in deze blogpost op een rij.
TTT
Ten eerste is de Alarm Time to Triage (TTT) van belang. Deze meet de snelheid waarmee een team in staat is om een melding direct te inspecteren. Hiermee kun je de responsiviteit van je team meten. TTT werkt met prioriteitstelling van hoog, medium en laag en kan bijvoorbeeld aangeven dat een team te veel – of soms te weinig – meldingen te verwerken heeft. Dat kan betekenen dat ze op andere plekken inzetbaar zijn of dat er juist meer mensen nodig zijn.
- Alarm Time to Triage (TTT) = Datum/tijd van inspecteren melding – Datum/tijd van creëren van melding
TTQ
Volgend kengetal is de Alarm Time to Qualify (TTQ). Deze meet de tijd die nodig is om een melding volledig te inspecteren en kwalificeren. Zo kun je bottlenecks identificeren en bepalen hoe het staat met de capaciteit van het team als het gaat om het kwalificeren van dreigingen. Ook hier is prioriteitstelling van hoog, medium en laag van toepassing en gaat het om de rapportering van uitkomsten: false positive, incident, geen kwaadaardig issue etc.).
- Alarm Time to Qualify (TTQ) = Datum/tijdstip van sluiten melding of toevoegen aan case – Datum/tijdstip van creëren melding
TTI
Met de Threat Time to Investigate (TTI) bepaal je de tijd die nodig is een gekwalificeerde dreiging grondig te onderzoeken. Met die informatie kun je goed beoordelen hoe het staat met het vermogen van het team om dreigingen te onderzoeken. De TTI meet en rapporteer je op basis van threat/incidenttypes, bijvoorbeeld via de MITRE ATT&CK®-categorieën. MITRE ATT&CK is een wereldwijd toegankelijke database van tactieken en technieken op basis van de praktijk.
- Threat Time to Investigate (TTI) = Datum/tijdstip van ‘case closed’ of ‘elevated to incident’ – Datum/tijdstip van ‘case creation’
TTM
De Time to Mitigate (TTM) meet de tijd die nodig is om een incident te mitigeren en het directe risico voor de business weg te nemen. Het geeft aan hoe snel een team is in het stoppen of vertragen van een actieve dreiging. Ook hier is te meten en rapporteren op basis van threat/incidenttypes, zoals de MITRE ATT&CK-categorieën. Een lage TTM kan wijzen op een trage securityoplossing.
- Time to Mitigate (TTM) = Datum/tijdstip van ‘incident mitigated’ - Datum/tijdstip van ‘incident determination’.
TTV
De Time to Recover (TTV) meet de tijd die nodig is om volledig te herstellen na een incident. Dit geeft inzicht in operationele bottlenecks en onderlinge samenwerking binnen securityteams. Gebruik ook hier de MITRE ATT&CK threat/incidenttypes voor meten en rapporteren.
- Time to Recover (TTV) = Datum/tijdstip van ‘recovery from incident’ - Datum/tijdstip van ‘incident mitigation’.
TTD
Hetzelfde geldt voor de Incident Time to Detect (TTD) die meet hoe lang het duurt voordat een incident dat in eerste instantie gedetecteerd en gekwalificeerd wordt, daadwerkelijk wordt bevestigd. Dit kengetal kan een indicatie geven van de kracht of zwakte van een technologieoplossing voor functies als threat hunting, behavioural anomaly detection en workflows voor dreigingskwalificatie.
- Incident Time to Detect (TTD) = Datum/tijdstip van ‘threat qualified for investigation/Case Creation’ – Datum/tijdstip van ‘initial indicator of threat’.
TTR
Tot slot meet de Incident Time to Response (TTR) de tijd die nodig is om een bevestigd incident te onderzoeken en mitigeren. TTR is cruciaal voor het bepalen van de effectiviteit van de security-operations binnen een organisatie. Meten en rapporteren gebeurt net als bij veel ander kengetallen aan de hand van threat/incident als die van MITRE ATT&CK-categorieën.
- Incident Time to Response (TTR) = Datum/tijdstip van ‘incident mitigation’ – Datum/tijdstip ‘initiated of investigation’.
De kracht van meten
Om de sterktes en zwaktes van je securityprogramma te kunnen bepalen, is het raadzaam om een baseline te bepalen en van daaruit te werken aan het verbeteren van je efficiëntie in de loop van de tijd. Dat vereist consequent meten. Hoe beter je meet, hoe meer je weet. Daarbij zijn cijfers niet alleen nuttig om de algehele security evalueren en de risico’s te beperken, maar helpen ze ook bij het intern verantwoorden van noodzakelijke investeringen in security.