MTTD란?

평균 탐지 시간 또는 MTTD는 DevOps스 팀이 조직 내에서 소프트웨어 버그 또는 하드웨어 장애와 같은 문제를 탐지하는 데 걸리는 평균 시간입니다.

MTTD는 인시던트 관리의 핵심 성과 지표 중 하나입니다. 조직이 문제를 더 빨리 발견할수록 더 좋습니다. Gartner에 따르면, 사고는 종종 시스템 다운타임으로 이어질 수 있으며, 이는 평균 분당 5,600달러의 비용을 초래할 수 있습니다.

MTTD는 DevOps스 팀이 사용할 수 있는 유일한 지표는 아니지만, 추적 및 측정하기 가장 쉬운 지표 중 하나이며, 시스템 중단과 같은 문제를 피하고자 하는 모든 조직에 필수적인 지표입니다.

MTTD 계산 방법: 단계별

MTTD를 계산하려면:

1. 로그, 헬프 데스크 및/또는 침입 탐지 시스템과 같은 툴을 사용하여 모든 사고를 추적하십시오(아래 툴에 대한 자세한 내용 참조).
2. MTTD 계산의 목표와 계산 대상을 결정합니다. MTTD는 일반적으로 1박, 1주일, 1개월 또는 1년과 같은 특정 기간에 걸쳐 특정 시설 또는 시스템에 대해 계산됩니다. 또한 특정 기술자나 팀에 대해 계산할 수도 있습니다.
3. 앞서 언급한 툴을 사용하여 선택한 시간 내에 각 사고의 시작 시간과 탐지 시간을 계산하십시오.
4. 총 인시던트 감지 시간을 인시던트 수로 나눕니다.

예를 들어, 대형 자동차 부품 제조업체의 24x7 운영 지원팀이 전체 시설의 주간 MTTD를 추적한다고 가정해 봅시다. 2022년 2월 7-11일 주간에는 4건의 사고가 발생했습니다. 팀은 시스템 로그를 사용하여 각 인시던트의 시작 시간과 감지 시간을 결정하고 다음과 같이 테이블에 기록했습니다.

평균 검출 시간은 다음과 같이 계산됩니다.

(118 + 53 + 148 + 85)/4

MTTD = 101분

자동차 부품 제조업체는 이 숫자를 사용하여 이번 주와 다른 주 또는 전년도 같은 주의 MTTD를 비교할 수 있습니다. 특정 팀의 MTTD를 계산한 경우, 이 결과를 사용하여 시간의 경과에 따른 팀의 성과를 측정할 수 있습니다. 일부 기업은 이상치를 테이블에서 제거하기로 선택하며, 많은 기업들은 MTTD가 문제의 심각성에 따라 다른지 확인하기 위해 심각도에 따라 사고를 계층화합니다.

MTTD를 모니터링하려면 어떤 도구가 필요할까요?

MTTD 모니터링에는 주로 이벤트나 문제로 간주되는 모든 것을 추적하는 것이 포함되며, 이는 조직마다 크게 다를 수 있습니다.

MTTD를 모니터링하는 데 필요한 주요 도구는 다음과 같습니다.

로그: 로그는 자동으로 생성되며 특정 컴퓨터 시스템 또는 소프트웨어 애플리케이션과 관련된 이벤트의 타임 스탬프가 찍힌 문서입니다. 예를 들어, 웹 서버의 액세스 로그에는 HTML 파일 및 전송되는 기타 관련 파일을 포함하여 사용자가 웹사이트에서 요청하는 모든 개별 파일이 나열됩니다. 또 다른 예는 데이터베이스 로그로, 레코드에 대한 모든 변경 사항을 포함하여 데이터베이스의 모든 활동을 기록합니다.

헬프 데스크: 헬드 데스크는 제품과 관련된 모든 문제, 특히 IT 문제에 대한 도움이 필요한 제품 사용자를 위한 중앙 집중식 지원 센터입니다. SaaS SaaS 애플리케이션을 통해 운영되는 물리적 또는 온라인 콜센터나 티켓 시스템일 수 있습니다. 헬프 데스크에는 문제가 무엇이고, 언제 확인되었으며, 어떻게 해결되었는지를 포함한 고객 문제에 대한 기록을 보관하는 지식 베이스가 있습니다.

침입 탐지 시스템: 침입 탐지 시스템(IDS)은 의심스러운 활동에 대해 네트워크 트래픽을 모니터링하고 그러한 활동이 발견될 때 경보를 생성하는 시스템입니다. IDS의 주요 기능은 보고 및 이상 탐지이지만, 일부 침입 탐지 시스템은 의심스러운 IP 주소에서 전송된 트래픽 차단을 포함하여 악의적인 활동을 탐지할 때 조치를 취할 수 있습니다.

좋은 MTTD란?

“좋은” MTTD는 회사, 제품, 산업 및 회사가 방지하거나 가로채고자 하는 특정 위협이나 침입에 따라 크게 달라집니다. MTTD는 0이 가장 좋습니다. 즉, 공격자가 피해를 입기 전에 공격자를 잡는 것입니다.

물론, MTTD 제로는 달성하기가 매우 어렵습니다. MTTD에 대한 업계 표준 벤치마크를 제공하는 Ponemon Institute 에 따르면, 데이터 침해를 식별하고 억제하는 평균 시간은 2020년 280일, 2019년 279일이었습니다.

특정 회사에 좋은 MTTD가 무엇인지 파악하려면, 모든 회사의 전체 평균을 살펴볼 뿐만 아니라, 해당 부문의 다른 기업들이 MTTD와 어떻게 협력하는지에 대한 정보를 얻기 위해 노력해야 합니다. 또한, 평균적인 데이터 침해로 인한 비용이 귀사에 얼마인지, 그리고 귀사에 심각한 재정적 어려움을 야기하지 않고 침해당 손실 비용을 얼마나 감당할 수 있는지를 계산해야 합니다.

MTTD를 낮추기 위해 취할 수 있는 다양한 단계가 있습니다.

• 최고의 사이버 보안 인재와 솔루션에 투자하세요.
• 모든 내부 팀이 잠재적인 사이버 위협에 대해 조율하고 소통하도록 합니다.
• 정확하고 일관되게 사고를 기록하고, 안정적이고 철저한 이벤트 로그를 유지합니다.
• 모든 사고에 대해, 그 원인이 무엇이며, 이를 예방하거나 더 빠르게 탐지하는 방법을 항상 검토하세요.

조직들이 MTTD를 낮추는 데 도움이 되는 다른 요소에는 보안 오케스트레이션, 자동화 및 대응(SOAR) 기술 및 사고 대응 계획이 있습니다.

MTTD는 누가 언제 사용해야 할까요?

시스템 또는 네트워크를 통해 지속적으로 가동하고 보안을 유지해야 하는 모든 기업은 MTTD를 정기적으로 측정함으로써 혜택을 누릴 수 있습니다.

MTTD는 사고 발생 시 피해를 입힐 때 항상 측정해야 합니다. 예를 들어, 야간에만 운영되는 제조 시설의 경우, 야간에만 사고가 발생하는지 확인하는 것이 좋습니다. 주간 데이터를 포함시키는 것은 타당하지 않습니다.

탐지 후 다음 지표는 무엇입니까?

MTTD는 팀이 잠재적인 보안 사고를 발견하는 데 걸리는 시간을 반영합니다. 그러나 탐지 후 다음 단계는 대응입니다.

평균 대응 시간 또는 MTTR은 위협이 발견되면 이를 제어, 복구 및/또는 제거하는 데 걸리는 시간입니다.

MTTR에 대해 자세히 알아보세요.