Die mittlere Erkennungszeit (mean time to detect, MTTD) ist die durchschnittliche Zeit, die ein DevOps-Team benötigt, um ein Problem, z. B. einen Softwarefehler oder einen Hardwareausfall, in einer Organisation zu erkennen.
Die MTTD ist einer der wichtigsten Performance-Indikatoren für das Vorfallsmanagement. Je früher eine Organisation ein Problem erkennt, desto besser. Vorfälle führen oft zu Systemausfällen, die laut Gartner durchschnittlich 5.600 Dollar pro Minute kosten können.
Die MTTD ist zwar nicht die einzige Kennzahl, die DevOps-Teams zur Verfügung steht, aber sie ist eine der am einfachsten zu verfolgenden und zu messenden Kennzahlen und eine wesentliche Kennzahl für jede Organisation, das Probleme wie Systemausfälle vermeiden möchte.
Zum Berechnen der MTTD:
Nehmen wir beispielsweise an, das Rund-um-die-Uhr-Betriebssupportteam eines großen Autoteileherstellers verfolgt die wöchentliche MTTD für die gesamte Anlage. In der Woche vom 7. bis 11. Februar 2022 gab es vier Vorfälle. Anhand der Systemprotokolle ermittelte das Team die Start- und Erkennungszeit jedes Vorfalls und trug sie wie folgt in eine Tabelle ein:
Die mittlere Erkennungszeit wird wie folgt berechnet:
(118 + 53 + 148 + 85) / 4
MTTD = 101 Minuten
Der Autoteilehersteller könnte diese Zahl dann verwenden, um die MTTD dieser bestimmten Woche mit anderen Wochen oder mit der gleichen Woche im Vorjahr zu vergleichen. Wenn sie die MTTD für ein bestimmtes Team berechnet hätten, könnten sie dieses Ergebnis nutzen, um die Performance des Teams im Laufe der Zeit zu bewerten. Manche Unternehmen entfernen Ausreißer aus der Tabelle, und viele stufen Vorfälle auch nach Schweregrad ein, um zu sehen, ob die MTTD je nach Schwere des Problems variiert.
Bei der Überwachung der MTTD geht es vor allem darum, alles im Auge zu behalten, was als Vorfall oder Problem eingestuft werden kann. Das kann von Organisation zu Organisation sehr unterschiedlich ausfallen.
Zu den wichtigsten Instrumenten, die Sie zur Überwachung der MTTD benötigen, gehören:
Protokolle: Protokolle sind automatisch erstellte und mit einem Zeitstempel versehene Aufzeichnungen von Ereignissen, die für ein bestimmtes Computersystem oder eine Softwareanwendung relevant sind. Im Zugriffsprotokoll eines Webservers beispielsweise werden alle einzelnen Dateien aufgelistet, die von einer Website angefordert werden, einschließlich der HTML-Dateien und aller anderen damit verbundenen Dateien, die übertragen werden. Ein weiteres Beispiel ist ein Datenbankprotokoll, das alle Aktivitäten in der Datenbank aufzeichnet, einschließlich aller Änderungen an Datensätzen.
Helpdesks: Helpdesks sind zentralisierte Help Center für Produktbenutzer, die Hilfe im Zusammenhang mit einem Produkt benötigen, insbesondere bei IT-Problemen. Dabei kann es sich um physische oder Online-Callcenter oder Ticketsysteme handeln, die über SaaS-Anwendungen betrieben werden. Helpdesks verfügen über eine Wissensdatenbank, in der Kundenprobleme aufgezeichnet werden, einschließlich der Art des Problems, des Zeitpunkts seiner Feststellung und der Behebungsmethode.
Angriffserkennungssysteme: Ein Angriffserkennungssystem (Intrusion Detection System, IDS) ist ein System, das den Netzwerkverkehr auf verdächtige Aktivitäten überwacht und Warnmeldungen ausgibt, wenn eine solche Aktivität festgestellt wird. Die Hauptfunktionen eines IDS sind die Berichterstattung und die Erkennung von Anomalien, aber einige Angriffserkennungssysteme können Maßnahmen ergreifen, wenn sie böswillige Aktivitäten erkennen, einschließlich der Blockierung des von verdächtigen IP-Adressen gesendeten Datenverkehrs.
Was eine „gute“ MTTD darstellt, hängt stark vom Unternehmen, seinem Produkt, der Branche und der speziellen Bedrohung oder dem Angriff ab, die oder den das Unternehmen verhindern oder abfangen möchte. Der bestmögliche MTTD-Wert ist natürlich null, d. h. Sie erwischen den Angreifer, bevor er überhaupt die Chance hat, Schaden anzurichten.
Eine MTTD von null ist natürlich sehr schwer zu erreichen. Nach Angaben des Ponemon Institute, das den Industriestandard-Benchmark für die MTTD angibt, betrug die durchschnittliche Zeit zur Identifizierung und Eindämmung einer Datenschutzverletzung im Jahr 2020 280 Tage und im Jahr 2019 279 Tage.
Um herauszufinden, was eine gute MTTD für Ihr spezielles Unternehmen ist, sollten Sie nicht nur den Gesamtdurchschnitt aller Unternehmen betrachten, sondern auch versuchen, Informationen darüber zu erhalten, wie andere Unternehmen in Ihrem Sektor die MTTD handhaben. Außerdem müssen Sie berechnen, wie hoch die Kosten einer durchschnittlichen Datenschutzverletzung für Ihr Unternehmen sind und wie viel Ihr Unternehmen pro Datenschutzverletzung verlieren kann, ohne in ernsthafte finanzielle Schwierigkeiten zu geraten.
Sie können verschiedene Maßnahmen ergreifen, um die MTTD zu senken:
Weitere Mittel, die Organisationen zur Senkung ihrer MTTD einsetzen können, sind SOAR-Technologien (Security Orchestration, Automation and Response) sowie Incident-Response-Pläne.
Jedes Unternehmen mit Systemen oder Netzen, die stets betriebsbereit und sicher sein müssen, kann von einer regelmäßigen Messung der MTTD profitieren.
Die MTTD sollte immer zu den Zeitpunkten gemessen werden, zu denen das Eintreten eines Vorfalls Schaden verursachen würde. In einer Produktionsanlage, die nur nachts in Betrieb ist, sollten Sie zum Beispiel nur nachts auf Vorfälle achten. Daten zur Tageszeit einzubeziehen, wäre nicht sinnvoll.
Die MTTD spiegelt die Zeit wider, die Ihr Team benötigt, um einen potenziellen Sicherheitsvorfall zu erkennen. Aber der nächste Schritt nach der Erkennung ist die Reaktion.
Die mittlere Reaktionszeit (MTTR, Mean Time to Respond) ist die Zeit, die benötigt wird, um eine Bedrohung unter Kontrolle zu bringen, zu beheben und/oder zu beseitigen, nachdem sie erkannt wurde.
Haben Sie eine Frage oder einen Kommentar zu Produkten oder Zertifizierungen von Pure? Wir helfen Ihnen gerne!
Vereinbaren Sie einen Termin für eine Live-Demo und sehen Sie selbst, wie Pure Ihnen helfen kann, Ihre Daten in überzeugende Ergebnisse zu verwandeln.
Rufen Sie uns an: +49 89 26200662
Presse: pr@purestorage.com
Pure Storage Germany GmbH
Mies-van-der-Rohe-Straße 6
80807 München
Deutschland