6 nouvelles métriques pour mesurer la réponse aux incidents à l'aide de l'automatisation
Alors que les processus de réponse aux incidents continuent d'être transformés par l'automatisation, prouver comment cela transforme les performances de réponse aux incidents sera presque impossible sans l'activation de ces nouvelles métriques
Alors que les équipes de sécurité redéfinissent les infrastructures de sécurité de leur organisation pour faire face à l'évolution du paysage des menaces, elles doivent souvent démontrer comment ces changements auront un impact positif sur les résultats de l'entreprise.
Cependant, en 2016, le SANS Institute a constaté que 71 % des organisations ne disposaient pas de métriques ou de mesures régulières pour les performances de réponse aux incidents (IR). Alors que ce pourcentage a diminué ces dernières années - 58 % ont déclaré ne pas avoir de métriques en 2017 - de nombreuses équipes de sécurité ne verront le besoin de mesurer leurs performances qu'à la suite d'un cyberincident majeur.
>Voir aussi : Opérations de sécurité :l'automatisation doit-elle signifier automatique ?
En automatisant les processus de réponse aux incidents, peut aider les entreprises à développer une toute nouvelle approche des mesures de cybersécurité, à réduire les coûts, à augmenter l'efficacité et à fournir des objectifs réalisables aux responsables, non seulement en renforçant leurs opérations de sécurité, mais en s'assurant que leur approche en matière de sécurité est alignée sur l'entreprise. Les six nouvelles statistiques incluent :
1. Coût par incident (CPI)
La métrique CPI peut être mesurée comme la durée d'un incident multipliée par le taux horaire moyen d'un analyste de niveau 1. De nombreuses équipes de sécurité appliqueront cette formule dans le manuel IR pour chaque phase d'un incident, de la détection à la réponse et à la résolution.
>Voir aussi : Automatisation de la sécurité :stimuler la productivité informatique et la résilience du réseau
L'automatisation permet non seulement d'éliminer des étapes ou des flux de travail entiers, mais également d'accélérer, d'énormes économies de coûts et d'améliorer l'efficacité, car les équipes peuvent se concentrer sur la validation et la conclusion d'incidents, plutôt que de perdre du temps à courir après l'oie sauvage.
2. Détection automatique versus détection manuelle
Les équipes de sécurité peuvent établir une base de référence pour déterminer le rapport entre les détections produites par la pile de sécurité et le nombre combiné de détections humaines reçues.
Pour comprendre les détections humaines, les équipes de sécurité doivent déterminer le nombre de détections du personnel, comme un employé reconnaissant que sa machine fonctionne mal ou un administrateur informatique reconnaissant qu'un système fonctionne de manière inhabituelle. Ajoutez à cela le nombre de détections externes - telles que le nombre de fois où l'équipe de sécurité reçoit un appel des administrateurs gouvernementaux / informatiques - et le nombre de détections que le personnel des opérations de sécurité a créées manuellement en synthétisant les données de leur pile de sécurité ou SEIM, et cela donnera organisations une idée de l'efficacité du système actuel.
>Voir aussi : La mobilité exige que la sécurité aille de pair avec l'automatisation
En automatisant les processus de réponse aux incidents, les entreprises peuvent s'attendre à ce que le ratio penche considérablement vers le côté automatisation de l'équation, ce qui signifie une meilleure efficacité des opérations de sécurité.
3. Pourcentage d'enquête par rapport au volume
Les opérations de sécurité peuvent désormais déterminer ce qui passe entre les mailles du filet. En mesurant les enquêtes par rapport au volume d'alertes, les entreprises peuvent mesurer l'écart de risque dans les opérations de sécurité actuelles. Grâce aux processus automatisés de réponse aux incidents, le pourcentage d'enquêtes par volume augmentera considérablement.
Par exemple, si une organisation effectue généralement trois enquêtes pour 100 alertes (3/100 ou 3 %), puis met en œuvre l'automatisation, ce qui entraîne un taux d'alerte à la conclusion de 10 % et deux enquêtes supplémentaires (5/10 ou 50 %), ce qui permet d'augmenter massivement de 1 500 % l'efficacité des opérations de sécurité.
4. Ratio enquête/réponse
Il est dans l'intérêt de toute organisation de s'assurer que l'équipe des opérations de sécurité perde le moins de temps possible - et le rapport entre l'enquête et la mesure de réponse peut aider à déterminer le nombre d'éléments qui ont fait l'objet d'une enquête menant à un flux de travail de réponse en cours d'achèvement.
>Voir aussi : Prédictions de cybersécurité pour 2018
L'automatisation des processus de réponse aux incidents entraînera une convergence des enquêtes vers la réponse, car davantage d'enquêtes portent sur des conclusions validées, plutôt que sur de simples attaques suspectées.
5. Taux de décision
Cette métrique mesure le temps nécessaire pour prendre une décision suite à la génération d'une alerte. Il n'est pas rare que la « paralysie de l'analyse » et l'incertitude des opérations de sécurité augmentent les temps d'attente et risquent de propager une attaque. Cela prend également du temps pour enquêter et répondre à d'autres attaques qui peuvent se produire en même temps.
En mesurant le taux de décision à la fois avant et après la mise en œuvre de l'automatisation, l'équipe des opérations de sécurité peut démontrer son agilité et augmenter sa capacité de réponse sans ajouter de ressources humaines rares.
6. Réponse de correction vs réimage
Cette métrique mesure la perturbation des activités. Plus les réponses chirurgicales et à distance sont rendues possibles par l'automatisation des processus, moins il y a de correctifs "gros marteaux" pour réimager le point de terminaison d'un utilisateur final, ce qui signifie moins de perturbations commerciales et de désagréments pour les employés. Il est facile de voir comment le fait de retirer l'ordinateur portable de quelqu'un pendant une journée ou de mettre hors service un serveur de traitement des paiements peut gravement perturber les opérations de sécurité, même lorsque les sauvegardes à chaud et les basculements en cluster font partie de la solution.
>Voir aussi : Le défi de la cybersécurité pour l'informatique des succursales
L'automatisation des processus de réponse aux incidents évite de telles perturbations grâce à la création de règles exploitables qui peuvent automatiquement déclencher une correction chirurgicale et une analyse approfondie.
Métriques en tant que catalyseurs
Alors que les processus de réponse aux incidents continuent d'être transformés par l'automatisation, prouver comment cela transforme les performances de réponse aux incidents sera presque impossible sans l'activation de ces nouvelles mesures.
En termes simples, chacune de ces nouvelles mesures peut démontrer comment l'automatisation des processus de réponse aux incidents peut non seulement renforcer votre infrastructure de sécurité, mais également avoir un impact sur les résultats.
Sourcé par Andrew Bushby, directeur britannique chez Fidelis Cybersecurity
Système de contrôle d'automatisation
- Automatisation :nouvelles sources et capacités pour les robots collaboratifs
- Automatisation :nouvelles pinces pour les cobots
- Automatisation :de nouveaux accessoires pour les cobots
- Moulage par injection :nouvelle approche d'automatisation pour les pointes de pipettes médicales
- Automatisation :nouveaux matériels et logiciels pour les robots à faible coût
- Automatisation :nouveau cobot anti-poussière et étanche pour les applications sanitaires
- Le fournisseur d'automatisation de l'assemblage médical adopte un nouveau nom pour les opérations aux États-Unis
- Omron présente un nouvel équipement de panneau de commande pour l'automatisation des usines
- ATI Industrial Automation lance une nouvelle ponceuse orbitale pour robots