Wat is MTTD?

Gemiddelde detectietijd, mean time to detect, of MTTD, is de gemiddelde tijd die een DevOps-team nodig heeft om een probleem, zoals een softwarebug of een hardwarestoring, binnen een organisatie op te sporen.

MTTD is een van de belangrijkste prestatie-indicatoren van incidentenbeheer. Hoe eerder een organisatie een probleem ontdekt, hoe beter. Incidenten kunnen vaak leiden tot systeemuitval, die volgens Gartner gemiddeld 5.600 dollar per minuut kan kosten.

Hoewel MTTD niet de enige metriek is voor DevOps-teams, is het een van de gemakkelijkst te volgen en te meten, en het is een essentiële metriek voor elke organisatie die problemen zoals systeemuitval wil vermijden.

Hoe MTTD berekenen: Stap voor stap

Om MTTD te berekenen:

1. Houd alle incidenten bij met hulpmiddelen zoals logboeken, een helpdesk en/of een inbraakdetectiesysteem (hieronder meer over deze hulpmiddelen).
2. Bepaal het doel van uw MTTD-berekening en waarvoor u deze wilt berekenen. MTTD wordt gewoonlijk berekend voor een bepaalde faciliteit of een bepaald systeem over een specifieke periode, zoals 's nachts, wekelijks, maandelijks of jaarlijks. Het kan ook worden berekend voor een specifieke technicus of team.
3. Gebruik de eerder genoemde hulpmiddelen om de starttijd en detectietijd te berekenen voor elk incident binnen het door u gekozen tijdsbestek.
4. Deel de totale incidentdetectietijd door het aantal incidenten.

Stel bijvoorbeeld dat het 24x7 operations support-team voor een grote fabrikant van auto-onderdelen wekelijks MTTD bijhoudt voor de hele fabriek. In de week van 7-11 februari 2022 waren er vier incidenten. Aan de hand van de systeemlogboeken bepaalde het team de starttijd en de detectietijd van elk incident en legde die vast in een tabel:

De gemiddelde detectietijd wordt berekend als:

(118 + 53 + 148 + 85)/4

MTTD = 101 minuten

De fabrikant van auto-onderdelen kan dit getal dan gebruiken om de MTTD van deze specifieke week te vergelijken met andere weken of met dezelfde week in het voorgaande jaar. Als zij de MTTD voor een bepaald team hadden berekend, konden zij dit resultaat gebruiken om de prestaties van het team in de tijd te meten. Sommige bedrijven kiezen ervoor uitschieters uit de tabel te verwijderen, en veel bedrijven zullen incidenten ook rangschikken naar ernst om te zien of MTTD varieert naargelang de ernst van het probleem.

Welke hulpmiddelen hebt u nodig om MTTD te bewaken?

Het toezicht op MTTD behelst voornamelijk het bijhouden van alles wat als een gebeurtenis of een probleem kan worden aangemerkt, wat van organisatie tot organisatie sterk kan verschillen.

De primaire instrumenten die u nodig hebt om MTTD te controleren zijn onder meer:

Logs: Logs zijn automatisch geproduceerde en van een tijdstempel voorziene documentaties van gebeurtenissen die relevant zijn voor een bepaald computersysteem of een bepaalde softwaretoepassing. De toegangslog van een webserver bevat bijvoorbeeld alle afzonderlijke bestanden die mensen van een website opvragen, inclusief HTML-bestanden en andere bijbehorende bestanden die worden doorgestuurd. Een ander voorbeeld is een databaselog, waarin alle activiteit in de database wordt vastgelegd, inclusief alle wijzigingen in records.

Helpdesks: Helpdesks zijn gecentraliseerde hulpcentra voor productgebruikers die hulp nodig hebben bij alles wat met het product te maken heeft, vooral bij IT-problemen. Dat kunnen fysieke of online callcenters zijn of ticketsystemen die werken via SaaS-applicaties. Helpdesks hebben een kennisbank die gegevens bijhoudt over problemen van klanten, met inbegrip van wat het probleem was, wanneer het werd vastgesteld en hoe het werd opgelost.

Inbraakdetectiesystemen: Een inbraakdetectiesysteem (IDS) is een systeem dat het netwerkverkeer controleert op verdachte activiteiten en waarschuwt wanneer dergelijke activiteiten worden ontdekt. De primaire functies van een IDS zijn rapportage en anomaliedetectie, maar sommige inbraakdetectiesystemen kunnen actie ondernemen wanneer zij kwaadaardige activiteiten detecteren, zoals het blokkeren van verkeer dat van verdachte IP-adressen afkomstig is.

Wat is een goede MTTD?

Wat een "goede" MTTD is, hangt sterk af van het bedrijf, zijn product, de sector en de specifieke dreiging of inbraak die het bedrijf wil voorkomen of onderscheppen. Vanzelfsprekend is de best mogelijke MTTD nul, wat betekent dat u de dreigende actor vangt voordat hij zelfs maar de kans krijgt schade te veroorzaken.

Een MTTD van nul is natuurlijk zeer moeilijk te bereiken. Volgens het Ponemon Institute, dat de industriestandaard benchmark voor MTTD levert, bedroeg de gemiddelde tijd om een datalek te identificeren en in te dammen 280 dagen in 2020 en 279 dagen in 2019.

Om erachter te komen wat een goede MTTD is voor uw specifieke bedrijf, moet u niet alleen kijken naar het algemene gemiddelde voor alle bedrijven, maar ook proberen informatie te krijgen over hoe andere bedrijven in uw sector het doen met MTTD. Ook moet u berekenen wat de gemiddelde kosten van een datalek voor uw bedrijf zijn en hoeveel uw bedrijf zich kan veroorloven per inbreuk te verliezen zonder dat het bedrijf in ernstige financiële problemen komt.

Er zijn verschillende stappen die u kunt nemen om de MTTD te verlagen:

• Investeer in het best mogelijke cyberbeveiligingstalent en -oplossingen.
• Zorg ervoor dat alle interne teams op één lijn zitten en communiceren over potentiële cyberdreigingen.
• Nauwkeurig en consequent incidenten registreren en een betrouwbaar en grondig gebeurtenissenlogboek bijhouden.
• Voor elk incident moet altijd worden nagegaan wat de oorzaak was en hoe het kan worden voorkomen of sneller kan worden opgespoord.

Andere zaken die organisaties kunnen helpen hun MTTD te verlagen, zijn onder meer technologieën voor beveiligingsorkestratie, automatisering en respons (SOAR), en incidentbestrijdingsplannen.

Wie moet MTTD gebruiken en wanneer?

Elk bedrijf met systemen of netwerken die operationeel en veilig moeten blijven, kan baat hebben bij het regelmatig meten van MTTD.

MTTD moet altijd worden gemeten op de tijdstippen waarop het voorval schade zou veroorzaken. Bijvoorbeeld, voor een productiefaciliteit die alleen 's nachts werkt, wilt u alleen 's nachts controleren op incidenten. Het heeft geen zin om data voor overdag op te nemen.

Wat is de volgende metriek na detectie?

MTTD geeft aan hoeveel tijd uw team nodig heeft om een potentieel beveiligingsincident te ontdekken. Maar de volgende stap na detectie is reageren.

De gemiddelde reactietijd, of MTTR, is de tijd die nodig is om een bedreiging te beheersen, te herstellen en/of uit te roeien zodra deze is ontdekt.

Leer meer over MTTR.