Hvorfor analyse af tidligere hændelser hjælper teams med mere end sædvanlige sikkerhedsmålinger

Accepterede målinger til måling af alvoren af ​​sikkerhedshændelser, såsom middeltid til reparation (MTTR), er muligvis ikke så pålidelige som tidligere antaget og giver ikke it-sikkerhedsteams de korrekte oplysninger, ifølge Vericas seneste Open Incident Database (VOID) rapport .

Rapporten er baseret på 10,000 hændelser fra knap 600 virksomheder lige fra Fortune 100s til startups. Mængden af ​​indsamlede data muliggør et dybere niveau af statistisk analyse for at bestemme mønstre og afkræfte tidligere industriantagelser, der manglede statistisk bevis, sagde Verica.

"Virksomheder kører noget af den mest sofistikerede infrastruktur i verden og understøtter mange dele af vores daglige liv, uden at de fleste af os overhovedet tænker over - indtil noget ikke fungerer," siger Nora Jones, CEO og medstifter af Jeli. "Deres virksomheder er stærkt afhængige af webstedets pålidelighed, og alligevel forsvinder hændelser ikke, efterhånden som teknologien bliver mere og mere kompleks."

"De fleste organisationer kører beslutninger om hændelseshåndtering baseret på langvarige antagelser," siger hun og bemærker, at virksomheder skal træffe datadrevne beslutninger om, hvordan de griber organisatorisk modstandskraft an.

Del oplysninger for at forstå hændelser

Courtney Nash, ledende forskningsanalytiker hos Verica og skaberen af ​​VOID, forklarer, at på nogenlunde samme måde, som luftfartsselskaber tilsidesatte konkurrencemæssige bekymringer i slutningen af ​​90'erne og frem for at dele information, har virksomheder en enorm mængde af kommodificeret viden, de kunne bruge til at lære af hinanden og skubbe industrien fremad, samtidig med at det, der bliver bygget, bliver mere sikkert for alle.

"Det er vigtigt at indsamle disse rapporter, fordi software længe har bevæget sig fra at hoste billeder af katte online til at køre transport, infrastruktur, elnet, sundhedssoftware og -enheder, stemmesystemer, autonome køretøjer og mange kritiske (ofte sikkerhedskritiske) samfundsfunktioner." siger Nash.

David Severski, senior sikkerhedsdataforsker ved Cyentia Institute, påpeger, at virksomheder kun kan se deres egne hændelser, hvilket begrænser muligheden for at se og undgå bredere tendenser, der påvirker andre organisationer.

"Hændelsesdatabaser og rapporter som [VOID] hjælper dem med at undslippe tunnelsyn og forhåbentlig handle, før de selv oplever problemer," siger han.

Varighed og sværhedsgrad er 'overfladiske' data

Hvordan organisationer oplever hændelser varierer, ligesom det tager lang tid at løse disse hændelser, uanset alvoren. Hvilke scenarier der endda bliver anerkendt som en "hændelse", og på hvilket niveau varierer blandt kolleger i en organisation og er ikke konsekvente på tværs af organisationer, advarede rapporten.

Nash forklarer varighed og sværhedsgrad er "overfladiske" data — de er tiltalende, fordi de ser ud til at give en klar, konkret fornemmelse af, hvad der er rodet, overraskende situationer, der ikke egner sig til simple opsummeringer. Det er dog ikke rigtig nyttigt at måle varigheden.

"Varigheden af ​​en hændelse giver få internt handlingsorienterede oplysninger om hændelsen, og alvoren forhandles ofte på forskellige måder, selv på det samme hold," siger Nash.

Alvorlighed kan bruges som en proxy for kundepåvirkning eller, i andre tilfælde, teknisk indsats, der kræves for at rette eller haster. "Det er subjektivt tildelt af forskellige årsager, herunder for at gøre opmærksom på eller få assistance til en hændelse, for at udløse - eller undgå at udløse - en post-hændelsesgennemgang eller for at opnå ledelsesgodkendelse til ønsket finansiering, antal ansatte og så videre, " siger Nash.

Ifølge rapporten er der ingen sammenhæng mellem hændelsernes varighed og sværhedsgrad. Virksomheder kan have lange eller korte hændelser, der er meget små, eksistentielt kritiske og næsten enhver kombination derimellem.

"Ikke kun kan varighed eller alvor ikke fortælle et team, hvor pålidelige eller effektive de er, men de fortæller heller ikke noget nyttigt om begivenhedens påvirkning eller den indsats, der kræves for at håndtere hændelsen," siger Nash.

Analyser tidligere hændelser

“Mens MTTR ikke er nyttig som en metrik, ingen ønsker, at deres hændelser varer længere, end de skal,” siger hun. "For at reagere bedre, skal virksomheder først studere, hvordan de har reageret tidligere med mere dybdegående analyser, som vil lære dem om en lang række tidligere uforudsete faktorer, både tekniske og organisatoriske."

Jones tilføjer, at en organisations kultur også vil spille en rolle i, hvordan teams mærker hændelser og i hvilken grad.

"Det hele går tilbage til folk i en organisation - de mennesker, der bygger infrastrukturen, vedligeholder infrastrukturen, løser hændelser og derefter gennemgår dem," siger hun. "Det hele er gjort af mennesker."

Fra hendes perspektiv, uanset hvor automatiseret vores teknologi bliver, er mennesker stadig den mest tilpasningsdygtige del af systemet og årsagen til fortsat succes.

"Det er grunden til, at du skal genkende disse socio-tekniske systemer som netop det, og derefter nærme dig din hændelsesanalyse med samme forståelse," siger Jones.

Severski siger, at sikkerhedsindustrien er fuld af meninger om, hvad der bør gøres for at forbedre tingene, og bemærker, at Cyentia fortsætter med at analysere store datasæt i deres Information Risk Insights Study (IRIS) forskning.

"At basere vores anbefalinger på faktiske fejl og erfaringer fra dette er en langt mere effektiv tilgang," siger han. "Vi vægter at studere hændelser i den virkelige verden højt."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics