MTTR (Mean Time To Respond / Mean Time To Recover / Mean Time To Resolve)

21 января, 2026, 17:58

MTTR (Mean Time To Respond / Mean Time To Recover / Mean Time To Resolve, Среднее время на реагирование / восстановление / устранение) — это ключевая метрика в управлении инцидентами и обслуживании ИТ-систем, которая измеряет среднее время, необходимое для восстановления нормальной работы системы или сервиса после сбоя, обнаружения инцидента или получения запроса на обслуживание. В контексте кибербезопасности MTTR чаще всего относится к времени реагирования на инцидент и является критическим показателем эффективности команды SOC и процессов IR (Incident Response).

Возможности и интерпретации MTTR в зависимости от контекста:

  • Mean Time To Respond (Среднее время на реагирование): Наиболее распространенная трактовка в безопасности. Измеряет время от момента обнаружения инцидента (Detection) до момента начала активных действий по его сдерживанию и устранению. Включает время на анализ, оценку и принятие решения.
  • Mean Time To Recover (Среднее время на восстановление): Фокус на время, необходимое для полного восстановления работоспособности системы или сервиса после инцидента до её нормального, штатного состояния. Эта метрика тесно связана с целями восстановления (RTO) в планах аварийного восстановления (DRP).
  • Mean Time To Resolve (Среднее время на устранение): Более широкий термин, охватывающий полный цикл — от обнаружения до полного закрытия инцидента, включая все этапы: анализ, сдерживание, ликвидацию, восстановление и пост-инцидентный анализ.
  • Этапы, влияющие на MTTR:
    1. Обнаружение (Detection): Время от начала атаки до её выявления (MTTD — Mean Time To Detect).
    2. Анализ и оценка (Analysis & Triage): Определение масштаба, критичности и приоритета инцидента.
    3. Сдерживание и ликвидация (Containment & Eradication): Принятие мер по остановке атаки и удалению её компонентов.
    4. Восстановление (Recovery): Возврат систем в рабочий режим.

Снижение MTTR — одна из главных целей современных центров SOC. На это работают:

  • Автоматизация и оркестрация (SOAR): Автоматическое выполнение рутинных действий (блокировка IP, отключение учётной записи).
  • Улучшенная аналитика и видимость (XDR, UEBA): Более быстрое и точное понимание происходящего.
  • Чёткие процедуры и планы реагирования (IRP): Предсказуемость и слаженность действий команды.
  • Регулярные учения (Drills): Тренировка навыков реагирования.

MTTR следует рассматривать в связке с MTTD (Mean Time To Detect). Идеал — максимально сократить и MTTD, и MTTR. Низкий MTTR свидетельствует о высокой операционной зрелости, способности минимизировать ущерб от атак и является требованием многих стандартов (например, ISO 27001). В DevOps/SRE контексте низкий MTTR — показатель отказоустойчивости и качества процессов развертывания и мониторинга.

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Упоминания