Definition MTTC | Mean Time To Contain Was ist Mean Time To Contain (MTTC)?

Anbieter zum Thema

SEPPmail - Deutschland GmbH

Mean Time To Contain ist eine Kennzahl des Incident Response Managements und ermöglicht eine ganzheitliche Sicht auf die Reaktion auf einen Vorfall. Sie beinhaltet die durchschnittliche Zeit, um einen Vorfall zu erkennen, zu bestätigen und einzudämmen. Darüber hinaus ist die durchschnittlich benötigte Zeit berücksichtigt, um die vom Vorfall ausgenutzten Angriffsvektoren auszuschalten und die Eintrittswahrscheinlichkeit vergleichbarer Vorfälle zu minimieren.

Das Akronym für Mean Time To Contain ist MTTC. Ins Deutsche übersetzt bedeutet Mean Time To Contain mittlere Eindämmungszeit. Bei der MTTC handelt sich um eine wichtige Kennzahl aus dem Bereich der IT-Sicherheit und des Incident Response Managements. Die mittlere Eindämmungszeit ermöglicht eine ganzheitliche Sicht auf die Reaktion auf einen Vorfall. Sie berücksichtigt die durchschnittliche Zeit , die benötigt wird, um einen Vorfall zu erkennen, ihn zu bestätigen und ihn einzudämmen beziehungsweise so zu kontrollieren, dass er keinen Schaden mehr anrichten kann. Auch die durchschnittlich benötigte Zeit, um die ausgenutzten Angriffsvektoren auszuschalten und die Eintrittswahrscheinlichkeit vergleichbarer Vorfälle zu minimieren, ist in der MTTC enthalten. Das umfasst beispielsweise das Schließen von Sicherheitslücken oder das Beheben von Schwachstellen, die einen Angriff erst möglich gemacht haben.

Damit bringt die MTTC mehrere Metriken wie die Mean Time To Detect (MTTD), Mean Time To Acknowledge (MTTA) und Mean Time To Resolve (MTTR) in einer holistischen Betrachtungsweise zusammen. Die Mean Time To Detect ist ein wichtiger Indikator dafür, wie schnell und effektiv auf Sicherheitsvorfälle reagiert werden kann und wie performant das Incident Response Management mit seinen Strategien und Tools ist.

Wie wird die Mean Time To Contain berechnet?

Zur Berechnung der Mean Time To Contain wird zunächst ein Betrachtungszeitraum wie ein Monat, ein Quartal oder ein Jahr gewählt. Anschließend werden die benötigten Eindämmungszeiten aller Vorfälle in diesem Zeitraum addiert. Die Summe wird durch die Anzahl der Vorfälle im Betrachtungszeitraum geteilt. Das Ergebnis ist die mittlere Eindämmungszeit, die üblicherweise in Zeiteinheiten wie Stunden oder Minuten angegeben wird.

Die Formel zur Berechnung lautet:

Beispiel: Der Betrachtungszeitraum beträgt ein Jahr. In diesem Jahr sind insgesamt zehn Vorfälle aufgetreten, die eingedämmt werden mussten. Die Summe des Zeitaufwands zur Eindämmung dieser Vorfälle lag bei fünf Stunden. Die mittlere Eindämmungszeit beträgt folglich 0,5 Stunden oder 30 Minuten.

MTTC = 5 Stunden / 10 Vorfälle = 0,5 Stunden

Indem die MTTC für mehrere hintereinander folgende Betrachtungszeiträume berechnet und in einem Diagramm aufgetragen wird, lässt sich ein Trend erkennen, wie sich die Mean Time To Contain und die Effektivität des Incident Response Managements über einen längeren Zeitraum entwickelt.

Maßnahmen zur Verbesserung der Mean Time To Contain

Da die MTTC mehrere Metriken der Reaktion auf einen Vorfall vereint, lässt sich an vielen Stellen ansetzen, um die Mean Time To Contain zu verbessern. Maßnahmen hierfür sind zum Beispiel:

• Definition eindeutiger Verantwortlichkeiten und klar strukturierter Prozesse zur Erkennung, Diagnose und Eindämmung von Vorfällen

• Aufstellung dedizierter Sicherheitsteams

• Sensibilisierung und Schulung der für die Incident-Eindämmung zuständigen Teams oder Mitarbeiter

• Automatisierung der Vorfallerkennung und Vorfalleindämmung und Nutzung von leistungsfähigen Monitoring-, Diagnose- und Incident-Detection-and-Response-Tools

• Aufstellung von schnell erreichbaren Bereitschaftsteams

• Möglichkeit des schnellen Hinzuziehens von externem Know-how und Sicherheitsexperten

• Nutzung von Threat Intelligence Services

Andere wichtige Kennzahlen des Incident Response Managements

Neben der Mean Time To Contain gibt es weitere wichtige Kennzahlen des Incident Response Managements. Zu diesen zählt die Mean Time To Detect (mittlere Erkennungszeit). Sie ist die durchschnittliche Zeit vom Auftreten eines Vorfalls bis zu dessen Erkennung. Ebenfalls häufig verwendet wird die Mean Time To Resolve, auch als Mean Time To Repair (mittlere Reparaturzeit) oder Mean Time To Recovery bezeichnet. Es handelt sich dabei um mittlere Reparatur- oder Wiederherstellungszeit, die ab dem Zeitpunkt der Erkennung eines Vorfalls benötigt wird, um ein ausgefallenes oder beeinträchtigtes System wiederherzustellen oder ein durch einen Vorfall ausgelöstes Problem zu beheben. Die MTTR ist auch eine wichtige Kennzahl des allgemeinen Verfügbarkeitsmanagements.

(ID:49841372)