6 neue Metriken zur Messung der Reaktion auf Vorfälle mithilfe von Automatisierung

Da Incident-Response-Prozesse weiterhin durch Automatisierung transformiert werden, wird es nahezu unmöglich sein zu beweisen, wie sie die Incident-Response-Performance transformieren ohne die Aktivierung dieser neuen Metriken

Da Sicherheitsteams die Sicherheitsinfrastrukturen ihrer Organisation neu definieren, um mit der sich ändernden Bedrohungslandschaft fertig zu werden, müssen sie oft nachweisen, wie sich diese Änderungen positiv auf das Geschäftsergebnis auswirken.

Im Jahr 2016 stellte das SANS Institute jedoch fest, dass 71 % der Organisationen keine regelmäßigen Metriken oder Messungen für die Incident Response (IR)-Leistung haben. Während dieser Prozentsatz in den letzten Jahren zurückgegangen ist – 58 % gaben an, im Jahr 2017 keine Metriken zu haben –, sehen viele Sicherheitsteams nur die Notwendigkeit, ihre Leistung nach einem größeren Cyber-Vorfall zu messen.

>Siehe auch: Sicherheitsvorgänge:Muss Automatisierung automatisch bedeuten?

Durch die Automatisierung von Incident-Response-Prozessen können Unternehmen einen völlig neuen Ansatz für Cybersicherheitsmetriken entwickeln, Kosten senken, die Effizienz steigern und umsetzbare Ziele für Manager vorgeben, um nicht nur ihre Sicherheitsabläufe zu stärken, sondern sicherzustellen, dass ihr Sicherheitsansatz auf das Unternehmen abgestimmt ist. Zu den sechs neuen Metriken gehören:

1. Kosten pro Vorfall (CPI)

Die CPI-Metrik kann als die Dauer eines Vorfalls multipliziert mit dem durchschnittlichen Stundensatz für einen Tier-1-Analysten gemessen werden. Viele Sicherheitsteams werden diese Formel für jede Phase eines Vorfalls von der Erkennung bis zur Reaktion und Behebung durch das IR-Playbook ziehen.

>Siehe auch: Sicherheitsautomatisierung:Steigerung der IT-Produktivität und Netzwerkresilienz

Durch die Automatisierung werden nicht nur ganze Schritte oder Arbeitsabläufe eliminiert, sondern auch Beschleunigung, enorme Kosteneinsparungen und eine verbesserte Effizienz erzielt, da sich die Teams auf die Validierung und den Abschluss von Vorfällen konzentrieren können, anstatt Zeit mit einer wilden Gänsejagd zu verschwenden.

2. Automatische Erkennung versus manuelle Erkennung

Sicherheitsteams können eine Basislinie festlegen, um das Verhältnis der Erkennungen, die der Sicherheitsstapel erzeugt, zur kombinierten Anzahl der empfangenen Erkennungen durch Menschen zu bestimmen.

Um die menschlichen Erkennungen herauszufinden, müssen Sicherheitsteams die Anzahl der Mitarbeitererkennungen bestimmen, z. B. wenn ein Mitarbeiter erkennt, dass sein Computer nicht funktioniert, oder ein IT-Administrator erkennt, dass ein System auf ungewöhnliche Weise funktioniert. Fügen Sie dazu die Anzahl der externen Erkennungen hinzu – wie z. B. die Anzahl der Anrufe, die das Sicherheitsteam von Regierungs-/IT-Administratoren erhält – und die Anzahl der Erkennungen, die Sicherheitsmitarbeiter manuell durch Synthetisieren von Daten aus ihrem Sicherheitsstapel oder SEIM erstellt haben, und dies ergibt Organisationen ein Gefühl für die Effizienz des aktuellen Systems.

>Siehe auch: Mobilität erfordert, dass Sicherheit Hand in Hand mit Automatisierung geht

Durch die Automatisierung von Incident-Response-Prozessen können Unternehmen davon ausgehen, dass sich das Verhältnis deutlich in Richtung der Automatisierungsseite der Gleichung neigt, was eine höhere Effizienz der Sicherheitsabläufe bedeutet.

3. Prozent Recherche versus Volumen

Sicherheitsoperationen können jetzt feststellen, was durch die Ritzen schlüpft. Durch die Messung von Ermittlungen im Vergleich zum Alarmvolumen können Unternehmen die Risikolücke in aktuellen Sicherheitsoperationen messen. Mit automatisierten Incident-Response-Prozessen wird der Prozentsatz der Untersuchungen pro Volumen dramatisch ansteigen.

Wenn eine Organisation beispielsweise normalerweise drei Untersuchungen pro 100 Warnungen durchführt (3/100 oder 3 %) und dann eine Automatisierung implementiert, die eine 10 %ige Warnungs-bis-Abschluss-Rate und zusätzlich zwei Untersuchungen (5/10 oder 50 %), was zu einer massiven Steigerung der Effektivität von Sicherheitsoperationen um 1.500 % führt.

4. Verhältnis von Untersuchung zu Antwort

Es liegt im Interesse jeder Organisation, sicherzustellen, dass das Sicherheitsbetriebsteam so wenig Zeit wie möglich verschwendet – und das Verhältnis von Untersuchung zu Reaktionsmetrik kann dabei helfen, festzustellen, wie viele untersuchte Elemente dazu führen, dass ein Reaktionsworkflow abgeschlossen wird.

>Siehe auch: Vorhersagen zur Cybersicherheit für 2018

Die Automatisierung von Incident-Response-Prozessen wird zu einer Konvergenz von Untersuchungen zu Reaktionen führen, da mehr Untersuchungen gegen validierte Schlussfolgerungen durchgeführt werden und nicht nur gegen mutmaßliche Angriffe.

5. Entscheidungsrate

Diese Metrik misst die Zeit, die benötigt wird, um nach der Generierung einer Warnung eine Entscheidung zu treffen. Es ist nicht ungewöhnlich, dass die „Analyseparalyse“ und die Unsicherheit von Sicherheitsoperationen die Verweildauer verlängern und die Ausbreitung eines Angriffs riskieren. Es kostet auch Zeit, andere Angriffe zu untersuchen und darauf zu reagieren, die möglicherweise zur gleichen Zeit stattfinden.

Durch die Messung der Entscheidungsrate sowohl vor als auch nach der Implementierung der Automatisierung kann das Sicherheitsbetriebsteam seine Agilität unter Beweis stellen und die Reaktionskapazität erhöhen, ohne knappe Personalressourcen hinzuzufügen.

6. Korrekturreaktion vs. Reimage

Diese Metrik misst Geschäftsunterbrechungen. Je mehr chirurgische Fernreaktionen durch die Automatisierung von Prozessen ermöglicht werden, desto weniger „große“ Korrekturen für die Neuabbildung des Endpunkts eines Endbenutzers müssen vorgenommen werden – was weniger Geschäftsunterbrechungen und Unannehmlichkeiten für die Mitarbeiter bedeutet. Es ist leicht einzusehen, wie das Wegnehmen des Laptops von jemandem für einen Tag oder das Herunterfahren eines Zahlungsverarbeitungsservers den Sicherheitsbetrieb ernsthaft stören kann – selbst wenn Hot-Backups und geclusterte Failover Teil der Lösung sind.

>Siehe auch: Die Herausforderung der Cybersicherheit für die IT in Einzelhandelsfilialen

Die Automatisierung von Incident-Response-Prozessen vermeidet solche Unterbrechungen durch die Erstellung umsetzbarer Regeln, die automatisch eine chirurgische Behebung und tiefgreifende Analyse einleiten können.

Metriken als Enabler

Da Incident-Response-Prozesse weiterhin durch Automatisierung transformiert werden, wird es ohne die Aktivierung dieser neuen Metriken nahezu unmöglich sein, nachzuweisen, wie sie die Incident-Response-Performance transformieren.

Einfach ausgedrückt, jede dieser neuen Metriken kann zeigen, wie die Automatisierung von Incident Response-Prozessen nicht nur Ihre Sicherheitsinfrastruktur stärken, sondern sich auch auf das Endergebnis auswirken kann.

Quelle:  Andrew Bushby, Direktor für Großbritannien bei Fidelis Cybersecurity