Incident Response: Die wichtigsten Kennzahlen im Überblick
Unternehmen können ihre Strategien zur Reaktion auf Vorfälle nur optimieren, wenn sie deren Wirksamkeit ermitteln und verfolgen. Hier finden Sie neun wichtige Benchmarks.
Kennzahlen zur Reaktion auf Vorfälle unterstützen Security-Teams und der Unternehmensführung, die Fähigkeit ihrer Organisationen zu bewerten, mit Cybersicherheitsvorfällen effektiv, schnell und verantwortungsbewusst umzugehen. Und in Fällen, in denen die Reaktionsmaßnahmen nicht den Anforderungen entsprechen, helfen diese Kenngrößen dabei, festzustellen, was geändert werden muss.
Warum sind Kennzahlen bei der Reaktion auf Vorfälle wichtig?
Wenn ein Unternehmen nur ein paar vereinzelte Cyberangriffe zu verzeichnen hätte, wäre die Verfolgung dieser KPIs (Key Performance Indikatoren) nicht sinnvoll. Für die meisten Unternehmen sind Sicherheitsvorfälle jedoch ein ständiger Prozess, der jedes Jahr an Umfang und Auswirkungen zunimmt.
Zu diesem Zweck benötigt das typische Unternehmen eine Möglichkeit zur Überwachung und Bewertung der Ergebnisse. Werden die Maßnahmen zur Reaktion auf Vorfälle anhand der Kennzahlen schneller, effektiver und effizienter? Oder sind sie zumindest gleichbleibend? Wenn nicht, ist es wahrscheinlich an der Zeit, den Plan für die Reaktion auf Vorfälle zu überarbeiten.
Wenn Sie wesentliche Änderungen vorgenommen haben, führen Sie die folgenden Schritte durch, um deren Wirksamkeit zu bewerten:
Testen Sie die Aktualisierungen in Tabletop-Übungen zur Reaktion auf Zwischenfälle.
Weitere Nachverfolgung der Fortschritte bei künftigen Sicherheitsvorfällen und Vergleich mit den Referenzwerten der Ausgangslage.
Wichtige Kennzahlen zur Reaktion auf Vorfälle
Je nach den verfügbaren Ressourcen und Daten können Unternehmen eine Vielzahl von Kennzahlen zur Reaktion auf Vorfälle überwachen, um zu ermitteln, wie effektiv sie auf Sicherheitsvorfälle reagieren. Zumindest sollten sie jedoch die folgenden wichtigen Kennzahlen verfolgen.
Metriken zur Geschwindigkeit
Bei der Reaktion auf einen Vorfall ist Schnelligkeit eindeutig das A und O. Je schneller das Sicherheitsteam eine Bedrohung eindämmen kann, desto weniger Schaden kann die Bedrohung anrichten. Andererseits kann ein relativ kleiner Vorfall zu einem großen werden, wenn er nicht unter Kontrolle gebracht wird. Geschwindigkeitskennzahlen sind unbestreitbar entscheidend für die Messung der Effektivität der Reaktion auf Vorfälle.
Mean Time to Contain (MTTC)
MTTC (Mittlere Zeit bis zur Eindämmung) ist die durchschnittliche Zeit, die benötigt wird, um eine Sicherheitsbedrohung einzudämmen, das heißt sie daran zu hindern, weiteren Schaden anzurichten, mit Kontrolleuren zu kommunizieren oder sich weiter zu verbreiten.
Von allen Kennzahlen für die Reaktion auf Vorfälle ist die MTTC die wichtigste. Sie misst die Zeitspanne, die benötigt wird, um eine Verschlimmerung des Schadens zu verhindern. Sie umfasst alle Maßnahmen, die ein Unternehmen ergreifen muss, um einen Angriff abzuwehren - von der Feststellung, dass etwas passiert, über die Diagnose, was vor sich geht, bis hin zu dem Wissen, was als Reaktion zu tun ist, und der Ergreifung der notwendigen Maßnahmen zur Eindämmung der Bedrohung. Die vollständige Wiederherstellung des entstandenen Schadens kann zusätzliche Zeit und Mühe erfordern, aber das Wesentliche bei der Reaktion auf einen Vorfall ist, die Situation unter Kontrolle zu bringen.
Von allen Kennzahlen für die Reaktion auf Vorfälle ist die MTTC die wichtigste.
Die MTTC besteht aus drei Komponenten: der Zeit bis zur Entdeckung, der Zeit bis zur Identifizierung und der Zeit bis zur Reaktion, die alle im Folgenden näher erläutert werden. Je kleiner die MTTC, desto besser. Unternehmen sollten die mittlere MTTC über alle Vorfälle hinweg verfolgen und sicherstellen, dass sie im Laufe der Zeit sinkt.
Mean Time to Detect (MTTD)
MTTD (Mittlere Zeit bis zur Erkennung) ist die durchschnittliche Zeitspanne, die benötigt wird, um festzustellen, dass es einen Vorfall gibt, auf den reagiert werden muss. In den meisten Fällen muss sie nachträglich ermittelt werden. Sobald klar ist, dass etwas vor sich geht, sind einige Nachforschungen erforderlich, um die Sicherheitsprotokolle und Systeminformationen zurückzuverfolgen, um festzustellen, wann der Vorfall begann.
Die Erkennung von Vorfällen und MTTD sind Dreh- und Angelpunkte der Reaktion auf Vorfälle, da die Zeit, die für die Erkennung einer Bedrohung benötigt wird, eine entscheidende Komponente der gesamten MTTC ist. Eine Organisation kann nicht auf einen Vorfall reagieren, wenn sie nicht weiß, dass ein solcher eingetreten ist.
Eine niedrigere MTTD ist besser. Auch hier sollten die Unternehmen den Median über einen längeren Zeitraum verfolgen - er sollte sowohl allgemein als auch idealerweise für jede einzelne Art von Sicherheitsvorfall abnehmen.
Mean Time to Identify (MTTI)
MTTI (Mittlere Zeit bis zur Identifizierung) misst, wie lange es dauert, einen Angriff nach der ersten Entdeckung zu diagnostizieren. Dazu gehört auch die Feststellung, um was es sich bei dem Vorfall handelt und was dagegen zu tun ist, zumindest in groben Zügen.
MTTI ist ein wichtiger Maßstab für die Reaktionsfähigkeit des Cybersicherheitsteams und der Prozesse eines Unternehmens.
Eine niedrigere MTTI ist besser. Auch hier sollten die Unternehmen den Median über einen längeren Zeitraum hinweg verfolgen - er sollte generell und idealerweise auch für jede einzelne Art von Vorfällen sinken.
Mean Time to Respond (MTTR)
MTTR (Mittlere Zeit bis zur Reaktion) ist ein Maß für die Reaktionszeit auf einen Vorfall, das heißt die Zeit, die benötigt wird, um auf das Wissen über einen Vorfall und dessen Eindämmung zu reagieren. Stellen Sie sich beispielsweise vor, dass die Mitarbeiter bei der Ermittlung des Problems feststellen, dass das Blockieren bestimmter IP-Adressen und Ports die Ausbreitung einer Bedrohung verhindert. MTTR ist die Zeit, die benötigt wird, um Änderungen an der Firewall-, Router- und Switch-Konfiguration zu planen und diesen Plan auszuführen.
Die MTTR stellt den Teil dar, in dem die Organisation die aktive Bedrohung beendet und den Weg für die Beseitigung des Schadens frei macht. Als solche ist sie ein entscheidendes Maß für die Fähigkeit der Organisation, sich zu schützen.
Eine niedrigere MTTR ist besser. Auch hier sollten die Organisationen den Median über einen längeren Zeitraum verfolgen - er sollte generell und idealerweise auch für jede einzelne Art von Vorfall abnehmen.
Mean Time to Normal (MTTN)
MTTN (Mittlere Zeit bis zum Normalzustand) ist auch bekannt als Mean Time to Restore oder Resolve – und damit ein weiteres MTTR-Akronym. Sie definiert die Zeitspanne, die das Unternehmen benötigt, um alles zu reparieren, was durch die nun eingedämmte Bedrohung beschädigt wurde. So kann es beispielsweise erforderlich sein, dass das Notfallteam ein neues Image der betroffenen Systeme erstellt oder beschädigte Dateien aus Backups wiederherstellt.
Damit wird die Fähigkeit des Unternehmens bewertet, Störungen zu beheben und im Sinne der Endnutzer wieder zur Tagesordnung überzugehen, was auch als Behebungszeit bezeichnet wird.
Wie bei den vorherigen Indikatoren ist eine niedrigere MTTN besser, und die Organisation sollte versuchen, den Median im Laufe der Zeit abwärts zu entwickeln.
Metriken zur Wirksamkeit
Geschwindigkeit ist nicht das einzige entscheidende Kriterium. Eine weitere Messgröße für die Reaktion auf einen Vorfall ist die Dauerhaftigkeit oder Beständigkeit der Lösung. Es ist zum Beispiel gut, wenn das Unternehmen Malware auf einem kompromittierten Host erkennen und entfernen kann, sobald sie begonnen hat, seitliche Angriffe auf nicht kompromittierte Hosts zu starten. Noch besser ist es, wenn das Unternehmen durch eine Ursachenanalyse (Root Cause Analysis, RCA) die Sicherheitsschwachstelle identifiziert, die zu der ursprünglichen Kompromittierung geführt hat, und diese behebt, sei es durch Patches, Konfigurationsänderungen, Firewall-Modifikationen oder andere Korrekturmaßnahmen.
Wenn die Wirksamkeit der Maßnahmen nicht berücksichtigt und gemessen wird, kann dies zu Situationen führen, in denen die MTTC (Mittlere Zeit bis zur Eindämmung) niedrig ist und weiter sinkt, aber die gleichen Probleme immer wieder auftreten.
Berücksichtigen Sie die folgenden Wirksamkeitskriterien.
Prozentsatz der Vorfälle, die einer systematischen Untersuchung unterzogen werden
Die Ursachenanalyse kann ein erheblicher Arbeitsaufwand sein, der sich jedoch in der Regel auszahlt, da er künftige Sicherheitsvorfälle und die Notwendigkeit nachfolgender Reaktionsmaßnahmen verhindert.
Dies ist der beste Ansatz, um die Zahl der Vorfälle einer bestimmten Art zu verringern - indem die Bedingungen, die einen bestimmten Vorfall ermöglichen, beseitigt werden und es unmöglich gemacht wird, dass er sich wiederholt.
Ein höherer Wert ist hier besser. Die Organisation möchte die Ursachen für möglichst viele Vorfälle verstehen und sie abstellen, bevor sie sich wiederholen, um die Gesamtrisikofläche zu verkleinern.
Prozentsatz der vorgesehenen Maßnahmen, die pünktlich abgeschlossen werden
Damit wird gemessen, wie viel von den Aktivitäten, die erforderlich sind, um ein erneutes Auftreten eines bestimmten Sicherheitsvorfalls zu verhindern, planmäßig durchgeführt werden.
Zu wissen, wie man etwas repariert, ist etwas ganz anderes als es zu tun. Die Fähigkeit, ein Problem an der Wurzel zu packen und zu beheben, ist eine Kernkomponente einer wirksamen langfristigen Reaktion, die über den unmittelbaren Vorfall hinausgeht.
Ein höherer Wert ist besser. Je konsequenter die Organisation Präventivmaßnahmen durchführt, desto geringer ist das Risiko, dem sie ausgesetzt ist.
Kennzahlen zur Effizienz
Schlussendlich ist es wichtig zu verfolgen, wie effizient eine Organisation auf Vorfälle reagiert. Die Ressourcen, insbesondere die des Personals im Bereich der Cybersicherheit, sind begrenzt und in der Regel überbeansprucht. Betrachten wir einige wichtige Benchmarks und wie sie sich in den gesamten Prozess der Reaktion auf Vorfälle einfügen.
Gesamtkosten des Vorfalls
Dies ist die Gesamtsumme einer Reihe von Faktoren, darunter die folgenden:
Wie viel Zeit haben die Mitarbeiter des Security-Teams für einen bestimmten Vorfall aufgewendet?
Wie viel an Geschäftstätigkeit hat das Unternehmen durch den Vorfall selbst oder durch den Wiederherstellungsprozess verloren oder konnte nicht abgewickelt werden?
Welche anderen Ressourcen wurden für die Reaktion eingesetzt - beispielsweise neue Software, neue Hardware, neue Sicherheitsdienste oder Beratungsdienste Dritter?
Welche Geldstrafen oder Bußgelder musste die Organisation zahlen?
Ein Unternehmen hat keine andere Wahl, als auf Sicherheitsvorfälle zu reagieren, aber es muss in der Lage sein, seine Reaktionskosten zu quantifizieren. Auf diese Weise kann das Unternehmen beispielsweise beurteilen, ob die Auslagerung von Sicherheitsdiensten kosteneffizienter sein könnte. In einem anderen Szenario könnten die Gesamtkosten eines Vorfalls dabei helfen, eine bestimmte Geschäftsaktivität zu identifizieren, die zu Sicherheitsvorfällen einlädt und letztlich mehr Geld kostet als sie einbringt.
Ein niedrigerer Wert für die Gesamtkosten des Vorfalls ist besser.
Zeitaufwand des Security-Teams für einen Vorfall
Dies ist eine kritische Komponente der Gesamtkosten, da sie das Ausmaß des menschlichen Eingreifens - die wertvollste Ressource im Bereich der Cybersicherheit - erfasst, das für die Behebung eines Vorfalls erforderlich ist.
Die Rekrutierung und Bindung von Mitarbeitern im Bereich der Cybersicherheit ist eine ständige Herausforderung. Es ist wichtig zu wissen, wie viel Zeit die Teammitglieder für die Reaktion auf Vorfälle aufwenden und wie sie zwischen Eindämmung und längerfristiger Lösung und Prävention aufgeteilt sind.
Versuchen Sie, die Gesamtzeit, die das Sicherheitspersonal für die Reaktion auf Zwischenfälle aufwendet, tendenziell zu verringern, indem sich die Aktivitäten von der Eindämmung auf die Vorbeugung verlagern und die Zahl der Zwischenfälle sinkt.
