什麼是 MTTD?
平均偵測時間,或稱 MTTD,是 DevOps 團隊在組織內偵測軟體錯誤或硬體故障等問題所需的平均時間。
MTTD 是事件管理的關鍵績效指標之一。顯然,組織越早發現問題越好。根據 Gartner 的調查,事件通常會導致系統停機,平均每分鐘花費 5,600 美元。
雖然 MTTD 並非 DevOps 團隊唯一可用的指標,但它是最容易追蹤和測量的指標之一,也是任何組織想要避免系統中斷等問題的重要指標。
如何計算 MTTD:循序漸進
若要計算 MTTD:
- 使用日誌、服務台和/或入侵偵測系統等工具追蹤所有事件(更多關於以下工具的資訊)。
- 確定 MTTD 計算的目標,以及您想計算的目標。MTTD 通常針對特定設施或系統計算,例如隔夜、每週、每月或每年。也可針對特定的技術人員或團隊進行計算。
- 使用上述工具,計算您所選時間範圍內每個事件的開始時間和偵測時間。
- 將總事件偵測時間除以事件數。
例如,假設大型汽車零件製造商的 24 小時全年無休營運支援團隊,會追蹤整個設施的每週 MTTD。在 2022 年 2 月 7 日至 11 日這一週,共發生了四起事件。團隊使用系統日誌,確定了每個事件的開始時間和偵測時間,並將其記錄於下表中:
平均偵測時間的計算方式為:
(118 + 53 + 148 + 85)/4
MTTD = 101 分鐘
然後汽車零件製造商可以使用這個數字來比較 MTTD 從這個特定週到其他週或上一年的同一週。如果他們已為某個團隊計算 MTTD,他們就可以利用這個結果來衡量團隊長期的績效。有些公司選擇將離群值從桌上移除,許多公司也會將事件依嚴重性進行分級,以判斷 MTTD 是否因問題的嚴重性而有所差異。
您需要什麼工具來監控 MTTD?
監控 MTTD 主要涉及追蹤任何符合事件或問題的條件,這些情況可能因組織而異。
您需要監控 MTTD 的主要工具包括:
日誌:記錄會自動產生,並針對與特定電腦系統或軟體應用程式相關的事件建立時間戳記文件。例如,網路伺服器的存取日誌列出人們從網站請求的所有個別檔案,包括 HTML 檔案和任何其他傳輸的相關檔案。另一個例子是資料庫日誌,記錄資料庫中的所有活動,包括對記錄的所有變更。
服務台:保留桌面是集中式的協助中心,適合需要任何產品相關協助的產品使用者,尤其是 IT 問題。它們可以是實體或線上呼叫中心,也可以是透過 SaaS 應用程式運作的票證系統。服務台擁有知識庫,可保存客戶問題記錄,包括問題所在、發現時間,以及解決方式。
入侵偵測系統:入侵偵測系統(IDS)是一種監控網路流量是否有可疑活動的系統,並在發現此類活動時發出警示。IDS 的主要功能是報告和異常偵測,但有些入侵偵測系統在偵測到惡意活動時可以採取行動,包括封鎖來自可疑 IP 位址的流量。
什麼是良好的 MTTD?
什麼構成“好的”MTTD,會因公司、產品、產業,以及公司想要預防或攔截的特定威脅或入侵而有很大的差異。顯然,MTTD 的最佳可能為零,也就是說,在威脅發動者有機會造成損害之前,您會先抓住威脅發動者。
當然,零 MTTD 很難達成。根據 Ponemon Institute 提供 MTTD 業界標準基準的統計,2020 年平均辨識及遏制資料外洩的時間為 280 天,2019 年則為 279 天。
要想了解您特定公司的 MTTD 為何有效,您不僅應該查看所有公司的整體平均值,還要試著取得您產業中其他公司如何運用 MTTD 的資訊。此外,您必須計算平均資料外洩的成本,以及每次資料外洩能承受多少損失,同時又不會對公司造成嚴重的財務負擔。
您可以採取各種步驟來降低 MTTD:
- 投資最佳的網路資安人才與解決方案。
- 確保所有內部團隊都配合並溝通潛在的網路威脅。
- 準確且一致地記錄事件,並維護可靠且完整的事件記錄。
- 對於每個事件,請務必檢查其成因,以及如何預防或更快地偵測。
其他可協助組織降低 MTTD 的項目包括安全調度、自動化與回應(SOAR)技術,以及事件回應計畫。
誰應該使用 MTTD?何時使用?
任何系統或網路需要保持運作和安全的公司,都能從定期測量 MTTD 中獲益。
MTTD 應始終在事故發生時測量,以免造成損害。例如,對於僅在夜間營運的製造工廠,您只想在夜間檢查事故。包含日間資料是沒有意義的。
偵測後下一個指標為何?
MTTD 反映了您的團隊發現潛在安全事件所需的時間。但偵測後的下一步是回應。
平均回應時間,又稱 MTTR,是指一旦發現威脅,控制、補救和/或消除威脅所需的時間。
