Sikkerhedshold har traditionelt brugt betyder tid til reparation (MTTR) som en måde at måle, hvor effektivt de håndterer sikkerhedshændelser. Variationer i hændelsens sværhedsgrad, teams agilitet og systemkompleksitet kan dog gøre denne sikkerhedsmåling mindre nyttig, siger Courtney Nash, ledende forskningsanalytiker hos Verica og hovedforfatter af Åbn Incident Database (VOID) rapport.
MTTR stammer fra produktionsorganisationer og var et mål for den gennemsnitlige tid, der kræves for at reparere en defekt fysisk komponent eller enhed. Disse enheder havde enklere, forudsigelige operationer med slid og ælde, der gav rimelig standard og konsistente estimater af MTTR. Med tiden er brugen af MTTR udvidet til softwaresystemer, og softwarevirksomheder begyndte at bruge det som en indikator for systempålidelighed og teams agilitet eller effektivitet.
Desværre, siger Nash, betyder dens variabilitet, at MTTR enten kan føre til falsk tillid eller forårsage unødvendig bekymring.
"Det er ikke et passende mål for komplekse softwaresystemer, til dels på grund af den skæve fordeling af varighedsdata, og fordi fejl i sådanne systemer ikke kommer ensartet over tid," siger Nash. "Hver fejl er iboende forskellig, i modsætning til problemer med fysiske produktionsenheder."
Flytning væk fra MTTR
"[MTTR] fortæller os lidt om, hvordan en hændelse egentlig er for organisationen, som kan variere voldsomt i forhold til antallet af involverede personer og teams, stressniveauet, hvad der skal til teknisk og organisatorisk for at rette op på det, og hvad holdet lærte som et resultat,” siger Nash.
MTTR bliver offer for oversimplificeringen af hændelser, fordi den beregner et gennemsnit - den gennemsnitlige tid, siger Nora Jones, CEO og medstifter af Jeli. Blot at måle dette enkelte gennemsnit af rapporterede tidspunkter (og disse rapporterede tidspunkter har også vist sig ikke at være pålidelige i første omgang) forhindrer organisationer i at se og adressere, hvad der foregår inden for infrastrukturen, hvad der bidrager til den tilbagevendende hændelse, og hvordan folk er reagere på hændelser.
"Hændelser kommer i alle former og størrelser - du vil se, at de spænder over hele spektret med hensyn til alvorlighed, indvirkning på kunderne og løsningskompleksitet, alt sammen inden for én organisation," forklarer Jones. "Du er virkelig nødt til at se på mennesker og værktøjer sammen og tage en kvalitativ tilgang til hændelsesanalyse."
Nash siger dog, at det at flytte væk fra MTTR ikke er et skift over natten - det er ikke så simpelt som bare at bytte en metrik til en anden.
"I sidste ende handler det om at være ærlig omkring de medvirkende faktorer og den rolle, som folk spiller i at komme med løsninger," siger hun. "Det lyder simpelt, men det tager tid, og det er de konkrete aktiviteter, der vil bygge bedre målinger."
Udvidelse af brugen af metrics
siger Nash analysere og lære af hændelser er den ideelle vej til at finde mere indsigtsfulde data og metrics. Et team kan indsamle ting som antallet af personer involveret praktisk i en hændelse; hvor mange unikke teams var involveret; hvilke værktøjer folk brugte; hvor mange chatkanaler var der; og hvis der var samtidige hændelser.
Som en organisation bliver bedre til at udføre hændelsesanmeldelser og ved at lære af dem, vil det begynde at se trækkraft i ting som antallet af mennesker, der deltager i revisionsmøder efter hændelsen, øget læsning og deling af rapporter efter hændelsen og brug af disse rapporter til ting som kodegennemgang, træning og onboarding.
David Severski, senior sikkerhedsdataforsker ved Cyentia Institute, siger, at da Cyentia arbejdede på Verizon DBIR, oprettede og udgav Cyentia ordforrådet for hændelsesrapportering og hændelsesdeling for at udvide de typer målinger, der bruges til at måle en hændelse.
"Det definerer datapunkter, som vi mener er vigtige at indsamle om sikkerhedshændelser," siger han. "Vi bruger stadig denne grundlæggende skabelon i Cyentia-forskning med nogle opdateringer, for eksempel ved at identificere ATT&CK TTP'er, der anvendes."
Metrikkerne til måling af en hændelse er ikke ensartede på tværs af organisationsstørrelser og -typer. "Teams forstår, hvor de er i dag, vurderer, hvor deres prioriteter er inden for deres nuværende begrænsninger, og forstår, at deres fokusmålinger endda kan udvikle sig over tid, efterhånden som deres organisation udvikler sig og skalerer," siger Jones.
Derudover handler det om at flytte fokus til læring og derefter løbende forbedre baseret på disse læringer, for eksempel at skifte til at vurdere tendenser, og om tingene udvikler sig i den rigtige retning over tid, i modsætning til single-point-in-time metrics.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/edge-articles/why-mean-time-to-repair-no-longer-serves-as-a-useful-security-metric
- 7
- a
- Om
- tværs
- aktiviteter
- adressering
- Alle
- altid
- analyse
- analytiker
- ,
- En anden
- tilgang
- passende
- deltage
- forfatter
- gennemsnit
- baseret
- grundlæggende
- fordi
- begyndte
- være
- Bedre
- bygge
- beregning
- Årsag
- Direktør
- kanaler
- Medstifter
- kode
- indsamler
- Kom
- kommer
- Virksomheder
- fuldføre
- komplekse
- kompleksitet
- komponent
- Bekymring
- konkurrent
- udførelse
- tillid
- konsekvent
- begrænsninger
- bidrager
- kunne
- oprettet
- Nuværende
- Kunder
- data
- datapunkter
- dataforsker
- Database
- dag
- definerer
- udvikler
- enhed
- Enheder
- forskellige
- retning
- fordeling
- hver
- effektivt
- effektivitet
- enten
- skøn
- Endog
- begivenhed
- udvikle sig
- eksempel
- Udvid
- udvidet
- Forklarer
- faktorer
- mislykkedes
- Manglende
- Falls
- finde
- Fornavn
- Fix
- Fokus
- fra
- gå
- Håndtering
- hands-on
- Hvordan
- Men
- HTTPS
- ideal
- identificere
- KIMOs Succeshistorier
- vigtigt
- forbedring
- in
- hændelse
- øget
- Indikator
- Infrastruktur
- Institut
- involverede
- spørgsmål
- IT
- føre
- lærte
- læring
- Niveau
- lidt
- Se
- Main
- lave
- Produktion
- mange
- midler
- måle
- måling
- møder
- metrisk
- Metrics
- måske
- mere
- flytning
- nummer
- onboarding
- ONE
- Produktion
- modsætning
- organisation
- organisationer
- stammer
- overnight
- del
- sti
- Mennesker
- fysisk
- Place
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- punkter
- Forudsigelig
- gennemprøvet
- rækkevidde
- Læsning
- tilbagevendende
- frigivet
- pålidelighed
- pålidelig
- reparere
- indberette
- rapporteret
- Rapportering
- Rapporter
- påkrævet
- forskning
- Løsning
- resultere
- gennemgå
- Anmeldelser
- roller
- skalaer
- Videnskabsmand
- sikkerhed
- se
- senior
- former
- deling
- skifte
- SKIFT
- Simpelt
- ganske enkelt
- enkelt
- Størrelse
- størrelser
- Software
- Løsninger
- nogle
- standard
- starte
- Stadig
- stress
- sådan
- systemet
- Systemer
- Tag
- tager
- hold
- hold
- fortæller
- skabelon
- vilkår
- deres
- selv
- ting
- tid
- gange
- til
- i dag
- sammen
- værktøjer
- trækkraft
- traditionelt
- Kurser
- trend
- Tendenser
- typer
- forstå
- enestående
- opdateringer
- us
- brug
- udnyttet
- Tele Danmark Mobil
- Victim
- Hvad
- Hvad er
- som
- vilje
- inden for
- arbejder
- Du
- zephyrnet
