MTTC (tiempo medio de contención)
¿Qué es MTTC (tiempo medio de contención)?
MTTC (tiempo medio de contención)Tiempo medio entre la detección de un incidente y el momento en que la amenaza ya no puede propagarse, exfiltrar datos ni causar más daño.
El MTTC mide cuánto tarda el equipo en neutralizar la fase activa de un incidente: aislar hosts comprometidos, deshabilitar cuentas abusadas, bloquear infraestructura maliciosa o revocar tokens. Es una métrica crítica porque la contención marca el punto en el que se detiene el progreso del atacante, aunque la erradicación y la recuperación aún estén pendientes. Depende de la fidelidad de detección, la profundidad de los playbooks de SOAR, las capacidades de respuesta en red e identidad y la autoridad para decidir durante el incidente. Los programas maduros lo miden por categoría de incidente y lo usan para justificar inversión en aislamiento por EDR, segmentación zero-trust y cobertura fuera de horario.
● Ejemplos
- 01
Reducir el MTTC para ransomware de 8 horas a 25 minutos mediante aislamiento por EDR y bloqueo automatizado de identidades.
- 02
Medir el MTTC en casos de BEC desencadenados por concesiones OAuth anómalas.
● Preguntas frecuentes
¿Qué es MTTC (tiempo medio de contención)?
Tiempo medio entre la detección de un incidente y el momento en que la amenaza ya no puede propagarse, exfiltrar datos ni causar más daño. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa MTTC (tiempo medio de contención)?
Tiempo medio entre la detección de un incidente y el momento en que la amenaza ya no puede propagarse, exfiltrar datos ni causar más daño.
¿Cómo defenderse de MTTC (tiempo medio de contención)?
Las defensas contra MTTC (tiempo medio de contención) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para MTTC (tiempo medio de contención)?
Nombres alternativos comunes: Tiempo de contención.