بصفتك مدير لـ SOC فإن مراقبة MTTD و MTTR ضرورية جدا لقياس فعالية الفريق في اكتشاف الحوادث الامنية والاستجابة لها. تساعد ايضاً هذه المؤشرات لتحديد الفجوات في الاجراءات والبنية التحتية لأمن المعلومات. يمكن ايضاً استخدامها لقياس اتفاقية مستوى الخدمة لدى مقدمي خدمات الامن السيبراني المدارة. كلما انخفضت معدلات MTTD ، زادت سرعة الفريق للاستجابة للحوادث الامنية. السؤال هنا هو ، كيف يمكننا التقليل من MTTD و MTTR:
-الرصد والاكتشاف:
- ماهي الادوات المستخدمة للكشف عن الحوادث الامنية؟
- هل هناك Rules محدثة وفعالة؟
- هل هناك اي False positives تؤثر على الرصد والاكتشاف؟
- هل هناك مراجعه دورية لجميع تقنيات الكشف المستخدمة؟
- هل هناك اي threat hunting activities ؟
-الاستجابة:
- هل هناك IR Plan واضحه ومحددة؟
- هل هناك مايكفي من الموظفين المتاحين للاستجابة للحوادث؟
- هل هناك فريق IR مدرب ومجهز بشكل جيد؟
- هل هناك Playbooks واضح لكل تنبية امني؟
1-معدل False Positives = اجمالي عدد التنبيهات الـ False Positives / اجمالي عدد التنبيهات التي تم انشاؤها بواسطة الـ SIEM لفترة محدده ( يوم او اسبوع ). على سبيل المثال ، اذا قام الـ SIEM بانشاء 209 تنبيهات خلال اسبوع واحد ، وتم تحديد50 من هذه التنبيهات على انها تنبيهات False Positive ، فسيتم حساب معدل False Positive على النحو التالي:
معدل False Positive = ( عدد التنبيهات الـ False Positive / اجمالي عدد التنبيهات ) x 100
معدل False Positive = (50 / 209 ) x 100
معدل التنبيهات الـ False Positive =
23.92% ماذا يعني ذلك؟ إن ذلك يعني ان مايقارب 24% من التبيهات تعتبر تنبيهات False Positive. كلما زاد الرقم ، كلما زادت الحاجة الى مراجعه كل تقنيات الرصد والاكتشاف Detection ، والعمل على مراجعه الـ Use Cases. يجب ان يكون تقليل هذا المؤشر اولوية لمنح المحلليين وقتاً للتحقيق في الحوادث والتنبيهات الحقيقية.
2-معدل حل واغلاق الحوادث الامنية = إجمالي عدد الحوادث التي تم حلها بنجاح / اجمالي عدد الحوادث على سبيل المثال ، اذا قام الفريق باكتشاف 17 حادثة امنية خلال اسبوع/شهر/سنة وتم حل 13 منها بنجاح. فإن معدل حل واغلاق الحوادث الأمنية يكون النحو التالي:
معدل حل الحوادث = ( اجمالي عدد الحوادث التي تم حلها / اجمالي عدد الحوادث ) x100
معدل حل الحوادث = (13 / 17 ) x 100
معدل حل الحوادث =
76.47 % ماذا يعني ذلك؟ إن ذلك يعني ان فريق SOC يعمل بشكل فعال على حل الحوادث الامنية وتخفيف المخاطر الامنية المحتملة. من ناحية اخرى ، يشير المعدل المنخفض على ان فريق SOC يواجه صعوبات في حل الحوادث الامنية اما لكثرة الحوادث او لوجود تحديات في حل الحوادث في الوقت المناسب.
3-معدل استخدام الموظفين Staff Utilization = اجمالي الوقت الذي يعمل فيه محللي الـ SOC على الحوادث الامنية / الوقت المتاح لكل محلل: على سبيل المثال ، اذا كان لديك 5 محللين SOC وكان كل محلل متاح لمدة40 ساعة في الاسبوع ، فيسكون اجمالي الوقت المتاح هو 200 ساعه (5 x 40 ). لنفترض ان اجمالي الوقت الذي عمل فيه محللي الـ SOC خلال اسبوع هو165 ، سيتم حساب معدل استخدام الموظف على النحو التالي:
معدل استخدام الموظف = (
اجمالي الوقت الذي يعمل فيه محللي الـ SOC على الحوادث الامنية / الوقت المتاح ) x 100 معدل استخدام الموظف = ( 165 / 200 ) x 100
معدل استخدام الموظف =
82.5 % ماذا يعني ذلك؟ يشير هذا المؤشر على ان المحللين يقضون82.5% من وقتهم المتاح على المراقبة الامنية والاستجابة للحوادث. يعد هذا المؤشر في غاية الاهمية لمدراء مراكز العمليات الامنية ، لانه قد لا يكون مستداماً على المدى الطويل ويسبب ارهاق للموظفين ، ويسبب انخفاض في جودة العمل. تحسين هذا المؤشر يساعد على استخدام الموظفين بكفاءة وفعالية عالية ، مما يقلل من احتمالية الاحتراق الوظيفي ، او ارتفاع معدل Turnover وفي النهاية يساعد على تحسين الوضع الامني للجهة.
4-إدارة المعرفة:
إدارة المعرفة يمكن ان تكون عملية مستمرة اكثر من كونها مقياساً او مؤشراً. يجب ان يكون لدى مدراء مراكز العمليات الامنية منهجية واضحه لإدارة المعرفة والتي تشمل ، توثيق الحوادث الامنية وحلها ، التحديث المستمر لسياسات واجراءات الامن السيبراني ، توفير التدريب المستمر لموظفي الـ SOC وتزويدهم بالمهارات اللازمة للكشف والاستجابة ومنع اي تهديد. وكما يقال ، "
درّب الموظفين جيداً بما يكفي حتى يتمكنوا من المغادرة ، وعاملهم جيداً بما يكفي حتى لا يرغبون بذلك "
تحسين مؤشرات الاداء: -تصنيف وتحديد اولويات التنبيهات الامنية: يشمل ذلك تصنيفها حسب تأثيرها المحتمل على المنظمة. يجب ان يعمل فريق الـ SOC على التنبيهات ذات الاولوية القصوى اولاً لضمان معالجتها وتقليل المخاطر.
-تحسين ومراجعه Use Case: يشمل هذا المراجعه الدورية لكل الـ Use cases ذات الصلة ، انشاء او تعديل Use cases
-توسيع نطاق visibility: يشمل هذا المراجعه الدورية لـ visibility في المنظمة ، وتذكر دائماً بإنه لا يمكن اكتشاف ما لا يمكنك رؤيته.
-الاتمتة: وهذا يشمل استخدام الاتمتة لتقليل الوقت المستغرق في تحليل التنبيهات وحلها.
-التدريب ، التدريب ، التدريب: التدريب هو العنصر الاساسي في تحسين مؤشرات اداء مراكز العمليات الامنية ، تعتمد جميع المؤشرات الرئيسيه بشكل كبير على قدرة فريقك على اكتشاف الحوادث الامنية والاستجابة لها.
-استخدام الموظفين: يساعد التوظيف المناسب ، تحسين سير العمل ، واتمتة العمل الروتيني على تحسين مؤشرات الاداء الرئيسية وخصوصاً معدل استخدام الموظفين.
الخاتمة
في الختام ، تعد مراقبة مؤشرات الاداء الرئيسية لمراكز العمليات الامنية أمرًا ضروريًا لضمان الاستجابة الفعالة للحوادث الامنية والحفاظ على مستوى عالي من الامن. من خلال حساب هذه المؤشرات وتحليلها ، يمكن لمدراء المراكز الامنية تحديد مجالات التحسين وتحسين العمليات وسير العمل ، وتخصيص الموارد بكفاءة. من خلال المراقبة لكل هذه المؤشرات والعمل على تحسينها ، يمكن للجهات تعزيز قدراتها الامنية والعمل على حماية اصولها ضد اي تهديد سيبراني.