보안 사고 관리를 위한 5가지 중요 지표(MTTD, MTTR, 오탐율, 결정 탐지, 결정 속도) - 위드네트웍스

 

 기업 및 조직에서 보안 사고를 예방하는 것은 매우 중요합니다. 하지만 이와 못지 않게 이미 발생한 보안 사고에 대해 적절하게 대응하는 것 또한 기업 및 조직의 보안 운영 측면에서 매우 중요합니다. 또한 보안 운영 센터(SOC)에서 사고 대응을 효과적으로 관리하기 위해 최적화된 보안 사고 대응 프로세스를 구축하고 모니터링하는 것이 중요합니다. 따라서 오늘은 보안 사고 대응 프로세스의 효율성과 효과를 측정하는 주요 5개의 지표를 알아보는 시간을 갖도록 하겠습니다.

 

MTTD(Mean Time To Detect, 평균 탐지 시간)

 

 

MTTD는 보안 침해 또는 사고를 지하는 데 걸리는 평균 시간입니다. 이는 기업 및 조직의 보안 모니터링 및 사고 대응 프로세스의 효율성을 평가하기 위한 지표로 자주 사용되는데요. MTTD가 짧을수록 일반적으로 보안 사고를 더 빨리 감지하고 더 효과적으로 대응할 수 있음을 나타냅니다.

 

MTTR(Mean time to Response, 평균 응답 시간)

 

img source: CyberHoot

 

MTTR는 보안 사고 및 보안 문제를 완전히 해결하고 시스템을 복원하는 데 걸리는 시간입니다. MTTR은 보안 대응 작업의 성과를 측정하는 중요한 지표이며 보안 사고 관리 프로세스에서 개선이 필요한 영역을 확인하는 데 사용됩니다. MTTR을 지속적으로 모니터링하면 어디에 추가 보호, 조치 및 자동화 기능을 투자해야 하는지에 대한 유용한 통찰력을 제공할 수 있습니다.

 

오탐율(False Positive Rates)

 

img source: Dow Jones

 

오탐율은 보안 사고 조사 중 실제 유효 위협이 아닌 것으로 밝혀진 알람의 비율입니다. 오탐은 보안 툴에 대한 보안 팀의 신뢰도를 떨어뜨리고 실제 보안 문제에서 멀어지게 합니다. 오탐율에 대한 피드백은 사고 관리 프로세스에 포함되어야 하며 기업 및 조직은 오탐에 대해 너무 관대해지지 않도록 경계해야 합니다. 오탐율보다 더 치명적인 것은 미탐율(False Negative, False가 존재하지 않는다고 잘못 판정)입니다. 이 경우 보안 도구가 아예 탐지하지 않기 때문에치 때문에 결점이 간과될 수 밖에 없기 때문입니다.

 

결정 탐지(Detection to Decision)

 

img source: Data Center Knowledge

 

악성 활동이 분석가 및 자동 사고 대응 시스템에 도달하기 전에 탐지 도구, SIEM과 같은 시스템을 통해 악성 활동이 탐지되고 처리되는 데 소요되는 시간을 말합니다.

 

결정 속도(Decision Speed)

 

img source: CPO Magazine

 

결정을 내리는 데 걸리는 시간으로 보안 알림이 오탐인지, 에스컬레이션 또는 작업 할당이 아닌지 확인합니다. 또한 알람 처리 시 알람을 해결하기 위해 총력을 다하는 속도를 나타냅니다. 결정은 모든 경보에 대해 이루어지며 대기 중인 알람의 수와 분석가가 수행해야 하는 추가 분석의 양에 크게 영향을 받습니다.

 

이러한 사고 대응 지표들은 최신 보안 도구를 활용하여 크게 개선할 수 있습니다. 예를 들어 보안 자동화 플랫폼은 대량 작업을 자동으로 해결하여 ROI를 개선하고 보안 분석가의 업무 만족도를 향상시킵니다.

 

보안 사고 대응 지표를 명확하게 이해하는 것은 효과적인 보안 사고 대응 관리에 필수적입니다. MTTR, MTTD 등과 같은 지표을 모니터링하고 분석함으로써 기업 및 조직은 어디에 개선이 필요한지를 식별하고 보안 사고 관리 프로세스의 효율성과 효과를 개선하기 위한 조치를 취할 수 있습니다.

 

Total ICT・지능형 보안 서비스 전문 플랫폼 혁신기업, 위드네트웍스 

위드네트웍스는 지난 10여년 간 매지니드 보안 시장의 선도 주자로서 축적된 노하우와 인프라를 기반으로 Global New Technology 기반의보안 솔루션을 개발할 뿐 아니라 클라우드, 5G, 와이파이 등 디지털 트랜스포메이션의 기반이 되는 인프라를 구축하여 4차 산업 혁명을 선도하고 있습니다.

 

또한 다양한 보안 전문 기술/컨설팅 노하우 및 지능형 보안 플랫폼을 통하여 고객사 환경에 최적화된 정보 보안 및 IT 인프라를 구축하고 있습니다. 여러분의 비즈니스를 안정적으로 운영하기 위한 도움과 다가올 보안 이슈에 대응하기 위해 도움이 필요하시다면 언제든지 자유롭게 연락해주세요!

 

위드네트웍스는 여러분의 비즈니스를 응원합니다!

 

Copyright(c) 2023. (주)위드네트웍스 All Rights Reserved.

 

<참고내용: "Five Incident Response Metrics you Should be Recoding,  Ashlyn Eperjesi, 2023.01>