自動化を使用してインシデント対応を測定するための6つの新しいメトリック

インシデント対応プロセスは自動化によって引き続き変革されるため、インシデント対応パフォーマンスをどのように変革するかを証明することはほぼ不可能になりますこれらの新しいメトリックを有効にせずに

セキュリティチームは、変化する脅威の状況に対処するために組織のセキュリティインフラストラクチャを再定義するため、これらの変更がビジネスの収益にどのようにプラスの影響を与えるかを示す必要があります。

ただし、2016年に、SANS Instituteは、71％の組織がインシデントレスポンス（IR）パフォーマンスの定期的なメトリックまたは測定値を持っていないことを発見しました。この割合は近年減少しており、2017年には58％が指標を持たないと宣言していますが、多くのセキュリティチームは、大規模なサイバーインシデントの後にパフォーマンスを測定する必要があると考えています。

>関連項目：セキュリティ操作：自動化は自動化を意味する必要がありますか？

インシデント対応プロセスを自動化することで、企業はサイバーセキュリティメトリクスへのまったく新しいアプローチを開発し、コストを削減し、効率を高め、管理者に実用的な目標を提供し、セキュリティ運用を強化するだけでなく、セキュリティアプローチをビジネスと整合させることができます。 6つの新しい指標は次のとおりです。

1。インシデントあたりのコスト（CPI）

CPIメトリックは、インシデントの期間にTier1アナリストの平均時給を掛けたものとして測定できます。多くのセキュリティチームは、インシデントの検出から対応、修復までの各フェーズについて、IRプレイブックを通じてその公式を実行します。

>関連項目：セキュリティの自動化：ITの生産性とネットワークの復元力の向上

自動化を使用すると、手順やワークフロー全体が不要になるだけでなく、チームが大げさな追跡に時間を浪費するのではなく、インシデントの検証と結論に集中できるため、加速、大幅なコスト削減、効率の向上が実現します。

2。自動検出と手動検出

セキュリティチームは、セキュリティスタックが生成する検出と、受信した人間の検出の合計数の比率を決定するためのベースラインを確立できます。

人間による検出を把握するには、セキュリティチームは、マシンが誤動作していることを従業員が認識したり、システムが異常な方法で動作していることをIT管理者が認識したりするなど、スタッフの検出数を特定する必要があります。これに、セキュリティチームが政府/ IT管理者から電話を受ける回数などの外部検出の数と、セキュリティ運用スタッフがセキュリティスタックまたはSEIMからデータを手動で合成して作成した検出の数を追加します。組織は現在のシステムの効率性を感じます。

>関連項目：モビリティには、セキュリティが自動化と密接に関連していることが求められます

インシデント対応プロセスを自動化することで、企業は比率が方程式の自動化側に大幅に傾くことを期待できます。これは、セキュリティ運用の効率が向上することを意味します。

3。調査率とボリューム

セキュリティオペレーションは、何が亀裂をすり抜けているかを判断できるようになりました。調査とアラートの量を測定することで、企業は現在のセキュリティ運用におけるリスクギャップを測定できます。自動化されたインシデント対応プロセスにより、ボリュームあたりの調査の割合が劇的に増加します。

たとえば、組織が通常100アラートごとに3つの調査（3/100または3％）を実行し、自動化を実装すると、アラートから結論までの割合が10％になり、さらに2つの調査（5/10または50）が発生します。 ％）、これにより、セキュリティ運用の有効性が1,500％大幅に向上します。

4。調査と回答の比率

セキュリティ運用チームが無駄な時間をできるだけ少なくすることは、どの組織にとっても重要です。調査と応答メトリックの比率は、調査された項目の数が応答ワークフローの完了につながるかどうかを判断するのに役立ちます。

>関連項目：2018年のサイバーセキュリティ予測

インシデント対応プロセスを自動化すると、単に疑わしい攻撃ではなく、検証された結論に反する調査が増えるため、調査から対応への収束につながります。

5。決定率

このメトリックは、アラートの生成後に決定を下すのにかかる時間を測定します。 「分析の麻痺」とセキュリティ運用の不確実性が滞留時間を増やし、攻撃の拡大のリスクを冒すことは珍しいことではありません。また、同時に発生している可能性のある他の攻撃の調査と対応にも時間がかかります。

自動化の実装前と実装後の両方で決定率を測定することにより、セキュリティ運用チームは、不足している人的リソースを追加することなく、機敏性を実証し、対応能力を向上させることができます。

6。修復応答と再イメージ化

このメトリックは、ビジネスの混乱を測定します。プロセスの自動化によって可能になる外科的でリモートな応答が多いほど、エンドユーザーのエンドポイントを再イメージングするために必要な「大きなハンマー」の修正が少なくなります。つまり、ビジネスの中断や従業員の不便が少なくなります。ホットバックアップやクラスター化されたフェイルオーバーがソリューションの一部である場合でも、誰かのラップトップを1日持ち去ったり、支払い処理サーバーを停止したりすると、セキュリティ運用が大幅に中断する可能性があることは簡単にわかります。

>関連項目：小売店ITのサイバーセキュリティの課題

インシデント対応プロセスを自動化することで、外科的修復と詳細な分析を自動的に開始できる実用的なルールを作成することで、このような混乱を回避できます。

イネーブラーとしての指標

インシデント対応プロセスは自動化によって引き続き変革されているため、これらの新しい指標を有効にしないと、インシデント対応のパフォーマンスをどのように変革するかを証明することはほぼ不可能です。

簡単に言えば、これらの新しい指標はそれぞれ、インシデント対応プロセスの自動化がセキュリティインフラストラクチャを強化するだけでなく、収益にどのように影響するかを示すことができます。

出典 Andrew Bushby、 Fidelis Cyber​​securityの英国ディレクター