Im Bereich der Cybersicherheit ist die Branche seit langem von der Erkennung besessen. Unternehmen haben Millionen in Firewalls der nächsten Generation, Endpoint Detection and Response (EDR) und SIEM investiert, um sicherzustellen, dass kein Einbruch unbemerkt bleibt. Dennoch lähmt Ransomware weiterhin multinationale Unternehmen. Wofür ? Denn es reicht nicht aus, das Feuer ausbrechen zu sehen, um es zu löschen.
Der ultimative Indikator für die Cyber-Reife eines Unternehmens ist nicht, wie viele Angriffe es blockiert, sondern wie schnell es diejenigen neutralisiert, die die anfänglichen Abwehrmaßnahmen überwinden. Diese Geschwindigkeit wird durch einen Königsindikator gemessen: denMTTR (mittlere Reaktionszeit). Lassen Sie uns herausfinden, warum diese Kennzahl wichtig ist und wie Sie sie effektiv verwalten können.
Was ist MTTR in der Cybersicherheit?
MTTR (Mean Time to Respond or Resolve) stellt die durchschnittliche Zeit dar, die zwischen dem Moment, in dem eine Sicherheitswarnung durch das System generiert wird, und dem Moment, in dem die Bedrohung durch das Security Operations Center (SOC)-Team endgültig neutralisiert wird, vergeht.
Diese Frist umfasst mehrere kritische Phasen:
- Zeit zur Anerkennung:Die Zeit, die ein Analyst benötigt, um sich um das Ticket zu kümmern.
- Zeit für Nachforschungen:Zeit, die Protokolle zu analysieren, die Kill Chain zu verstehen und zu prüfen, ob es sich nicht um ein Fehlalarm handelt.
- Ausrottung (Zeit zur Sanierung):Zeit, die richtige Aktion auszulösen (z. B. die Maschine isolieren, die Sitzung widerrufen).
Ransomware: Der Wettlauf gegen die Zeit
Warum ist MTTR heute so wichtig? Aufgrund der Automatisierung von Angriffen. Moderne Ransomware (wie LockBit oder BlackCat) wird nicht mehr manuell von Hackern eingesetzt, die sich Zeit lassen. Sobald ein Benutzer auf einen Phishing-Link klickt und ein PowerShell-Skript ausgeführt wird, beginnt innerhalb von Minuten die Festplattenverschlüsselung oder die Datenexfiltration an einen externen Server.
Wenn Ihre MTTR in Stunden gemessen wird (weil Ihr SOC-Analyst mit Microsoft Defender, Intune und Entra ID jonglieren und dann um Erlaubnis bitten muss, den Beitrag zu isolieren), ist der Kampf verloren. Die Kosten einer hohen MTTR liegen im Millionenbereich (Betriebsverlust, Lösegeld, DSGVO-Bußgelder).
Messen Sie MTTR genau mit Akuity SOC
Um eine Kennzahl zu verbessern, müssen Sie sie zunächst zuverlässig messen können. Leider ist die Extraktion der MTTR aus einem herkömmlichen SIEM oder einem Standard-IT-Ticketing-Tool (wie ServiceNow oder Jira) oft voreingenommen. Diese Tools unterscheiden nicht zwischen einem in 2 Sekunden archivierten Falschpositiv und einer echten Untersuchung, die 45 Minuten dauert.
DERAkuity SOC-Analyse-Dashboardwurde für Cyber-Direktoren (CISO) und MSSPs entwickelt.
1. Die dynamische Scorecard
Oben auf der KPI-Seite der Plattform zeigt eine „Scorecard“ die Gesamt-MTTR des Arbeitsbereichs an, präzise gemessen in Minuten. Diese Berechnung basiert auf strengen Zeitstempeln aus den Datenbank-Überwachungsprotokollen. Es wird das genaue Delta zwischen der Aufnahme der Warnung über die Microsoft-API und der Statusänderung in „Gelöst“ durch den Analysten ermittelt.
2. Der Multi-Tenant-Filter
Für einen MSSP, der mehrere Unternehmen verwaltet, ist die Gesamt-MTTR nicht immer sinnvoll. Mit dem „Dynamic Tenant Filter“ können Sie einen bestimmten Kunden gezielt ansprechen. Das System berechnet die MTTR im laufenden Betrieb neu. Ein MSSP kann somit seinem Kunden vertraglich nachweisen (SLA), dass kritische Vorfälle, die seinen Mieter betreffen, in weniger als 15 Minuten behoben werden.
Wie können Sie Ihre MTTR drastisch reduzieren?
Eine 3-Stunden-MTTR zu messen ist eine Sache; Es ist eine andere Möglichkeit, es auf 5 Minuten zu reduzieren. Um diese Kennzahl zu senken, müssen Sie menschliche Reibungen beseitigen (operative Asymmetrie). Das ist das Versprechen von SOAR:
- Untersuchungszeit verkürzen:Gemini AI liest die JSON-Rohdatei und generiert sofort eine Zusammenfassung. Die Visual Kill Chain leitet den Angriff. Der Analyst spart wertvolle Minuten.
- Behebungszeit verkürzen:Anstatt die Schnittstellen zu ändern, klickt der Analyst auf die Aktion
isolateDevicedirekt in der Akuity-Beweisregisterkarte. Die Bestellung wird im Bruchteil einer Sekunde über die Microsoft Intune-API gesendet und von der MFA validiert.
Fazit: Übernehmen Sie die Kontrolle über die Zeit
Zeit ist das einzige Gut, das Angreifer Ihnen nicht stehlen können, vorausgesetzt, Sie wissen, wie Sie es kontrollieren können. Indem Sie Ihre MTTR rigoros messen und mit der SOAR-Orchestrierung senken, gewinnen Sie den taktischen Vorteil zurück.
Möchten Sie Ihre Reaktionszeit durch zehn teilen?> Verwalten Sie Ihre Cyber-Performance mit unseremDashboards und SOC-KPIsund schließlich Ihre MTTR reduzieren.