Miks aitab mineviku juhtumite analüüsimine meeskondadel tavapärasest rohkem turvamõõdikuid?

Verica värskeima avatud intsidentide andmebaasi (VOID) aruande kohaselt ei pruugi turvaintsidentide tõsiduse mõõtmiseks aktsepteeritud mõõdikud, nagu keskmine remondiaeg (MTTR) olla nii usaldusväärsed, kui varem arvati, ega anna IT-turbemeeskondadele õiget teavet. .

Aruanne põhineb 10,000 600 intsidendil veidi alla 100 ettevõttelt alates Fortune XNUMX-st kuni idufirmadeni. Verica ütles, et kogutud andmete hulk võimaldab põhjalikumat statistilise analüüsi taset, et teha kindlaks mustrid ja kummutada varasemad tööstuse eeldused, millel puudusid statistilised tõendid.

"Ettevõtted haldavad maailma kõige keerukamat infrastruktuuri, mis toetab paljusid meie igapäevaelu osi, ilma et enamik meist sellele isegi mõtleks – kuni midagi ei tööta," ütleb Jeli tegevjuht ja kaasasutaja Nora Jones. "Nende ettevõtted sõltuvad suuresti saidi töökindlusest ja ometi ei kao intsidendid, kuna tehnoloogia muutub üha keerulisemaks."

"Enamik organisatsioone teeb intsidentide haldamise otsuseid pikaajaliste eelduste põhjal," ütleb ta ja märgib, et ettevõtted peavad tegema andmepõhiseid otsuseid selle kohta, kuidas nad organisatsiooni vastupidavusele lähenevad.

Juhtumite mõistmiseks jagage teavet

Courtney Nash, Verica juhtiv uurimisanalüütik ja VOIDi looja, selgitab, et samamoodi nagu lennufirmad jätsid 90ndate lõpus ja hiljem teabe jagamiseks kõrvale konkurentsiprobleemid, on ettevõtetel tohutul hulgal tarbeks kasutatavaid teadmisi. kasutage üksteiselt õppimiseks ja tööstuse edasiviimiseks, muutes ehitatava kõigi jaoks turvalisemaks.

"Nende aruannete kogumine on oluline, sest tarkvara on juba pikka aega liikunud kasside piltide veebimajutamiselt transpordi, infrastruktuuri, elektrivõrkude, tervishoiutarkvara ja -seadmete, hääletussüsteemide, autonoomsete sõidukite ja paljude kriitiliste (sageli ohutuse seisukohalt oluliste) ühiskondlike funktsioonide haldamisele," Nash ütleb.

Cyentia Instituudi turbeandmete vanemteadur David Severski juhib tähelepanu sellele, et ettevõtted näevad ainult enda juhtumeid, mis piirab võimalusi näha ja vältida laiemaid suundumusi, mis mõjutavad teisi organisatsioone.

"Intsidentide andmebaasid ja aruanded, nagu [VOID], aitavad neil pääseda tunnelinägemisest ja loodetavasti tegutseda enne, kui nad ise probleeme kogevad," ütleb ta.

Kestus ja raskusaste on madalad andmed

See, kuidas organisatsioonid vahejuhtumeid kogevad, on erinev, nagu ka nende juhtumite lahendamiseks kuluv aeg, olenemata nende tõsidusest. Aruandes hoiatati, milliseid stsenaariume tunnistatakse isegi "intsidendiks" ja millisel tasemel, see erineb organisatsiooni kolleegide vahel ega ole organisatsioonide lõikes järjepidev.

Nash selgitab kestust ja tõsidust "madalad" andmed — need on ahvatlevad, sest näivad selgelt ja konkreetselt mõistvat, mis on segased, üllatavad olukorrad, mis ei sobi lihtsate kokkuvõtete tegemiseks. Kuid kestuse mõõtmine pole tegelikult kasulik.

"Intsidendi kestus annab intsidendi kohta vähe sisemiselt võetavat teavet ja selle tõsidus lepitakse sageli läbi erineval viisil, isegi samas meeskonnas," ütleb Nash.

Tõsisust võib kasutada kliendi mõju või muudel juhtudel parandamiseks või kiireloomulisuse saavutamiseks vajalike tehniliste jõupingutuste määramiseks. "See on subjektiivselt määratud erinevatel põhjustel, sealhulgas intsidendile tähelepanu juhtimiseks või intsidendiks abi saamiseks, intsidendijärgse ülevaatuse käivitamiseks või selle käivitamise vältimiseks või juhtkonna heakskiidu saamiseks soovitud rahastamise, töötajate arvu jms jaoks. "Ütleb Nash.

Aruande kohaselt ei ole vahejuhtumite kestuse ja tõsiduse vahel mingit seost. Ettevõtetel võib ette tulla pikki või lühikesi vahejuhtumeid, mis on väga väikesed, eksistentsiaalselt kriitilised ja peaaegu kõik nendevahelised kombinatsioonid.

"Mitte ainult kestus või tõsidus ei saa meeskonnale öelda, kui usaldusväärsed või tõhusad need on, vaid ka ei anna midagi kasulikku sündmuse mõju ega intsidendi lahendamiseks vajalike jõupingutuste kohta," ütleb Nash.

Analüüsige mineviku juhtumeid

"Kuigi MTTR pole kasulik mõõdikuna, keegi ei taha, et nende vahejuhtumid kestaks kauem kui peab, ”ütleb ta. "Et paremini reageerida, peavad ettevõtted esmalt uurima, kuidas nad on varem reageerinud, kasutades põhjalikumat analüüsi, mis õpetab neile paljusid varem ettenägematuid, nii tehnilisi kui ka organisatsioonilisi tegureid."

Jones lisab, et organisatsiooni kultuur mängib rolli ka selles, kuidas meeskonnad intsidente märgistavad ja mil määral.

"See kõik ulatub organisatsiooni inimesteni – inimesteni, kes ehitavad infrastruktuuri, hooldavad infrastruktuuri, lahendavad intsidente ja vaatavad need seejärel üle," ütleb ta. "Seda kõike teevad inimesed."

Tema vaatenurgast, hoolimata sellest, kui automatiseeritud meie tehnoloogia muutub, on inimesed endiselt süsteemi kõige kohanemisvõimelisem osa ja jätkuva edu põhjus.

"Seetõttu peate tunnistama need sotsiaal-tehnilised süsteemid just sellisteks ja seejärel lähenema juhtumianalüüsile sama arusaamaga, " ütleb Jones.

Severski ütleb, et turvatööstus on täis arvamusi selle kohta, mida tuleks asjade parandamiseks teha, märkides, et Cyentia jätkab oma teaberiski ülevaateuuringus (IRIS) suurte andmekogumite analüüsimist. teadustöö.

"Meie soovituste tuginemine tegelikele ebaõnnestumistele ja sellest saadud õppetundidele on palju tõhusam lähenemisviis," ütleb ta. "Pidame väga tähtsaks reaalsete juhtumite uurimist."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics