Цель статьи — дать практическое, но развёрнутое руководство по тому, как измерять, интерпретировать и улучшать две ключевые метрики обнаружения и реагирования: Mean Time To Detect (MTTD) и Mean Time To Respond/Remediate (MTTR).
Red Team больше не ограничивается «дошёл / не дошёл до Domain Admin». Руководству и регуляторам (ЦБ РФ 757‑П, PCI DSS, NIST 800‑61) важнее понимать скорость цепочки «обнаружить → сдержать». MTTD отражает, насколько зрелы процессы мониторинга (SOC, SIEM, EDR), а MTTR — готовность IR‑команды погасить инцидент. Эти числа напрямую конвертируются в рубли: чем меньше времени потребовалось, тем дешевле обходится атака.
| Метрика | Формула (простая) | Что показывает |
|---|---|---|
| MTTD | ∑_i=1n(T_detect,i−T_0,i)/n\sum\{i=1}^{n}(T\{detect,i} - T\_{0,i}) / n | Среднее время, которое угроза жила в тени до первого алёрта. |
| MTTR | ∑_i=1n(T_contain,i−T_detect,i)/n\sum\{i=1}^{n}(T\{contain,i} - T\_{detect,i}) / n | Среднее время, которое потребовалось Blue Team, чтобы локализовать угрозу. |
Примечание: в банковском секторе часто учитывают ещё MTTA (Mean Time To Acknowledge) и MTTC (Mean Time To Close), но для Red Team важнее именно обнаружение и сдерживание.
Лайфхак: держите синхронизацию времени между Red Team C2 и SOC‑системами (NTP!), иначе дельты получатся «плавающими».
| Сценарий | T₀ | T_detect | Δ MTTD | T_contain | Δ MTTR | Комментарий |
|---|---|---|---|---|---|---|
| Phishing ➜ Beacon | 10:03 | 11:20 | 1 h 17 m | 11:45 | 25 m | SOC засёк callback по DNS, containment — блок домена. |
| Exploit VPN CVE | 09:15 | — | >4 h | 14:10 | — | Не обнаружено; контейн после уведомления Red Team. |
| ... | ... | ... | ... | ... | ... | ... |
После каждой строки выводите среднее и медиану по всему упражнению. Медиана зачастую честнее, если есть один «затяжной» сценарий.