O que é MTTD?

O tempo médio para detectar, ou MTTD, é o tempo médio que uma equipe de DevOps leva para detectar um problema, como um bug de software ou falha de hardware, dentro de uma organização.

A MTTD é um dos principais indicadores de desempenho do gerenciamento de incidentes. Obviamente, quanto mais cedo uma organização descobrir um problema, melhor. De acordo com o Gartner, incidentes frequentemente podem levar a tempo de inatividade do sistema, o que, em média, pode custar US$ 5.600 por minuto.

Embora o MTTD não seja a única métrica disponível para as equipes de DevOps, é uma das mais fáceis de rastrear e medir e é uma métrica essencial para qualquer organização que queira evitar problemas como interrupções do sistema.

Como calcular a MTTD: Passo a passo

Para calcular a MTTD:

1. Acompanhe todos os incidentes usando ferramentas como logs, um help desk e/ou um sistema de detecção de invasão (mais informações sobre essas ferramentas abaixo).
2. Determine a meta do seu cálculo de MTTD e para que você quer calculá-lo. A MTTD normalmente é calculada para uma determinada instalação ou sistema durante um período específico, como durante a noite, semanalmente, mensalmente ou anualmente. Ele também pode ser calculado para um técnico ou equipe específica.
3. Use as ferramentas mencionadas anteriormente para calcular a hora de início e a hora de detecção para cada incidente dentro do prazo que você escolheu.
4. Divida o tempo total de detecção de incidentes pelo número de incidentes.

Por exemplo, digamos que a equipe de suporte a operações 24 horas por dia, 7 dias por semana, de um grande fabricante de peças automotivas acompanhe a MTTD semanal de toda a instalação. Durante a semana de 7 a 11 de fevereiro de 2022, houve quatro incidentes. Usando logs de sistemas, a equipe determinou a hora de início e a hora de detecção de cada incidente e os registrou em uma tabela da seguinte forma:

O tempo médio para detecção é calculado como:

(118 + 53 + 148 + 85)/4

MTTD = 101 minutos

O fabricante de autopeças poderia usar esse número para comparar a MTTD desta semana específica com outras semanas ou com a mesma semana do ano anterior. Se eles tivessem calculado o MTTD para uma determinada equipe, poderiam usar esse resultado para medir o desempenho da equipe ao longo do tempo. Algumas empresas optam por remover valores atípicos da tabela, e muitas também classificam os incidentes por gravidade para ver se a MTTD varia de acordo com a gravidade do problema.

Quais ferramentas você precisa para monitorar o MTTD?

O monitoramento de MTTD envolve principalmente acompanhar qualquer coisa que se qualifique como um evento ou um problema, que pode variar muito de organização para organização.

As principais ferramentas necessárias para monitorar a MTTD incluem:

Registros: Os logs são automaticamente produzidos e documentações com carimbo de data/hora de eventos relevantes para um sistema de computador ou aplicativo de software específico. Por exemplo, o log de acesso de um servidor da Web lista todos os arquivos individuais que as pessoas solicitam de um site, incluindo arquivos HTML e quaisquer outros arquivos associados que são transmitidos. Outro exemplo é um log de banco de dados, que registra todas as atividades no banco de dados, incluindo todas as alterações nos registros.

Suporte técnico: Os suportes retidos são centrais de ajuda centralizadas para usuários de produtos que precisam de ajuda com qualquer coisa relacionada ao produto, especialmente problemas de TI. Podem ser call centers físicos ou online ou sistemas de tíquetes que operam por meio de aplicativos SaaS. Os help desks têm uma base de conhecimento que mantém registros dos problemas dos clientes, incluindo qual foi o problema, quando foi identificado e como foi resolvido.

Sistemas de detecção de intrusão: Um sistema de detecção de invasão (IDS, Intrusion Detection System) é um sistema que monitora o tráfego de rede em busca de atividades suspeitas e gera alertas quando essa atividade é descoberta. As principais funções de um IDS são a detecção de relatórios e anomalias, mas alguns sistemas de detecção de invasão podem tomar medidas quando detectam atividades maliciosas, incluindo o bloqueio do tráfego enviado de endereços IP suspeitos.

O que é um bom MTTD?

O que constitui um MTTD “bom” varia muito dependendo da empresa, de seu produto, do setor e da ameaça ou invasão específica que a empresa deseja evitar ou interceptar. Obviamente, o melhor MTTD possível é zero, o que significa que você pega o agente de ameaças antes mesmo que ele tenha a chance de causar danos.

Um zero MTTD é, é claro, muito difícil de alcançar. De acordo com o Ponemon Institute, que fornece o benchmark padrão do setor para MTTD, o tempo médio para identificar e conter uma violação de dados foi de 280 dias em 2020 e 279 dias em 2019.

Para descobrir o que é um bom MTTD para sua empresa específica, você deve olhar não apenas para a média geral de todas as empresas, mas também tentar obter informações sobre como outras empresas em seu setor se dão com o MTTD. Além disso, você precisa calcular qual é o custo médio da violação de dados para sua empresa e quanto ela pode se dar ao luxo de perder por violação sem causar graves dificuldades financeiras para a empresa.

Há várias etapas que você pode seguir para reduzir a MTTD:

• Invista nos melhores talentos e soluções possíveis de cibersegurança.
• Certifique-se de que todas as equipes internas estejam alinhadas e se comunicando em torno de possíveis ameaças cibernéticas.
• Registre incidentes com precisão e consistência e mantenha um registro de eventos confiável e completo.
• Para cada incidente, sempre examine o que o causou e como evitá-lo ou detectá-lo mais rapidamente daqui para frente.

Outras coisas que podem ajudar as organizações a reduzir sua MTTD incluem tecnologias de orquestração de segurança, automação e resposta (SOAR, Security Orchestration, Automation and Response) e planos de resposta a incidentes.

Quem deve usar o MTTD e quando?

Qualquer empresa com sistemas ou redes que precise permanecer ativa e segura pode se beneficiar da medição regular de MTTD.

A MTTD deve sempre ser medida nos momentos em que a ocorrência do incidente causaria danos. Por exemplo, para uma instalação de fabricação que opera apenas à noite, você só deve verificar incidentes à noite. Não faria sentido incluir dados diurnos.

Qual é a próxima métrica após a detecção?

O MTTD reflete a quantidade de tempo que sua equipe leva para descobrir um possível incidente de segurança. Mas o próximo passo após a detecção é a resposta.

Tempo médio para responder, ou MTTR, é o tempo necessário para controlar, corrigir e/ou erradicar uma ameaça depois que ela é descoberta.

Saiba mais sobre o MTTR .