Che cos'è l'MTTD?

Il tempo medio di rilevamento, o MTTD (Mean Time To Detect), è il tempo mediamente necessario a un team DevOps per rilevare un problema, come un bug del software o un guasto hardware, all'interno di un'azienda.

L'MTTD è uno degli indicatori di performance più importanti per la gestione degli incidenti. Naturalmente, prima si scopre un problema, meglio è. Gli incidenti determinano spesso un downtime dei sistemi, che secondo Gartner costano in media $ 5.600 al minuto.

Anche se l'MTTD non è l'unica metrica a disposizione dei team DevOps, è quella più facile da monitorare e misurare. Inoltre, è un parametro essenziale per evitare problemi come l'interruzione delle attività di sistema.

Come calcolare l'MTTD: procedura dettagliata

Per calcolare l'MTTD è necessario:

1. Tenere traccia di tutti gli incidenti, utilizzando strumenti come log, help desk e/o un sistema di rilevamento delle intrusioni (questi strumenti verranno descritti nel dettaglio più avanti).
2. Determinare l'obiettivo del calcolo dell'MTTD e il motivo per cui viene calcolato. Solitamente l'MTTD viene calcolato per un determinato sistema o struttura, in relazione a un periodo di tempo specifico, ad esempio durante la notte, una volta la settimana, una volta al mese o una volta l'anno. Può essere calcolato anche per un singolo tecnico o team.
3. Utilizzare gli strumenti di cui sopra al fine di determinare l'ora di inizio e calcolare il tempo di rilevamento per i singoli incidenti, nell'intervallo di tempo prestabilito.
4. Dividere il tempo complessivo di rilevamento degli incidenti per il numero di incidenti.

Consideriamo ad esempio il team di supporto operativo 24x7 di un importante produttore di autoricambi, che registra l'MTTD una volta la settimana per l'intera struttura. Durante la settimana dal 7 all'11 febbraio 2022 si sono verificati quattro incidenti. Utilizzando i log di sistema, il team determina l'ora di inizio e il tempo di rilevamento per ciascun incidente e lo registra nella tabella seguente:

Il tempo medio di rilevamento viene calcolato come segue:

(118 + 53 + 148 + 85)/4

MTTD = 101 minuti

Il produttore di autoricambi può quindi utilizzare questi valori per confrontare l'MTTD della settimana in questione con quelli delle altre settimane, oppure con quello della stessa settimana nell'anno precedente. Calcolando l'MTTD di un determinato team, può utilizzare il risultato per misurare l'evoluzione delle performance di quel team nel tempo. Alcune aziende scelgono di rimuovere i valori anomali dalla tabella e molte suddividono gli incidenti in base alla gravità per stabilire se l'MTTD varia in base alla criticità del problema.

Quali strumenti occorrono per monitorare l'MTTD?

Per monitorare l'MTTD occorre soprattutto tenere traccia di qualunque aspetto classificabile come evento o problema, e questo cambia notevolmente da un'azienda all'altra.

I principali strumenti necessari per monitorare l'MTTD includono:

Log: i log vengono generati automaticamente e consentono di documentare gli eventi relativi a un determinato sistema informatico o applicazione software, riportandone anche l'indicatore temporale. Ad esempio, il log di accesso di un server web elenca tutti i singoli file richiesti da un sito web, compresi i file HTML e qualsiasi altro file associato che viene trasmesso. Un log di database, invece, registra tutte le attività eseguite nel database, incluse le modifiche ai record.

Help desk: un help desk è un centro di assistenza centralizzato per gli utenti di un prodotto che hanno bisogno di aiuto con qualunque aspetto di tale prodotto, in particolare per i problemi IT. Può essere costituito da una struttura fisica, da un call center online o da un sistema di gestione dei ticket che si avvale di applicazioni SaaS. Gli help desk utilizzano una knowledge base in cui registrano i problemi dei clienti, specificando la natura di tutti i problemi, il momento in cui sono stati rilevati e le modalità con cui sono stati risolti.

Sistemi di rilevamento delle intrusioni: un sistema di rilevamento delle Intrusioni (IDS, Intrusion Detection System) è un sistema che monitora il traffico di rete allo scopo di individuare le attività sospette e segnalare quelle riscontrate. Un IDS ha soprattutto lo scopo di rilevare e segnalare le anomalie, ma alcuni sistemi di rilevamento delle intrusioni sono in grado di intervenire quando rilevano un'attività dannosa, ad esempio bloccando il traffico inviato dagli indirizzi IP sospetti.

Quando un MTTD può essere considerato buono?

Il concetto di MTTD "buono" varia notevolmente da un'azienda all'altra, poiché dipende dai prodotti, dal settore e dal tipo specifico di minaccia o intrusione che l'azienda vuole prevenire o intercettare. Ovviamente, il miglior MTTD in assoluto è zero, che equivale a intercettare l'autore della minaccia prima che riesca a provocare danni.

Va da sé, però, che non è facile ottenere un MTTD pari a zero. Secondo Ponemon Institute, che fornisce il benchmark standard di settore per l'MTTD, il tempo medio per l'identificazione e il contenimento di una violazione dei dati è stato di 280 giorni nel 2020 e 279 giorni nel 2019.

Per capire se l'MTTD della tua azienda può essere considerato buono, non devi limitarti a osservare la media generale, ma cercare di scoprire l'MTTD delle altre aziende che operano nel tuo settore. Devi anche calcolare il costo medio di una violazione dei dati per la tua azienda e stabilire quanto può permettersi di perdere a ogni violazione senza che insorgano gravi problemi finanziari.

Ci sono diverse cose che puoi fare per ridurre l'MTTD, ovvero:

• Investire nei migliori talenti e soluzioni di sicurezza informatica attualmente disponibili.
• Assicurarti che tutti i team interni siano allineati e segnalare a tutti le potenziali minacce informatiche.
• Registrare gli incidenti in modo preciso e costante, mantenendo un log eventi affidabile e accurato.
• Per ogni incidente, esamina sempre le cause e cerca di capire come prevenirlo o rilevarlo più rapidamente in futuro.

Per abbassare l'MTTD di un'azienda è inoltre possibile ricorrere alle tecnologie SOAR (Security Orchestration, Automation And Response) e pianificare la risposta agli incidenti.

Chi deve usare l'MTTD e quando?

La misurazione regolare dell'MTTD è utile a tutte le aziende che devono garantire la sicurezza e l'operatività costante dei propri sistemi.

È consigliabile misurare regolarmente l'MTTD in tutte le circostanze in cui l'incidente può provocare danni. A esempio, nel caso di un impianto di produzione che lavora solo di notte, è necessario monitorare solo gli incidenti che si verificano durante la notte, poiché non avrebbe senso includere anche i dati relativi alle ore diurne.

Qual è il passo successivo, dopo la misurazione dell'MTTD?

L'MTTD rispecchia il tempo necessario al tuo team per rilevare un potenziale incidente di sicurezza. Ma dopo il rilevamento è necessario rispondere.

Il tempo medio di risposta, o MTTR (Mean Time To Respond), è il tempo necessario per controllare, affrontare e/o eliminare completamente una minaccia dopo averla scoperta.

Scopri di più sull'MTTR.