A biztonsági csapatok hagyományosan használják átlagos idő a javításra (MTTR) annak mérésére, hogy mennyire hatékonyan kezelik a biztonsági incidenseket. Az incidensek súlyosságának, a csapat agilitásának és a rendszer összetettségének eltérései azonban kevésbé hasznossá tehetik ezt a biztonsági mérőszámot, mondja Courtney Nash, a Verica vezető kutatási elemzője és a jelentés fő szerzője. Incident Database (VOID) jelentés megnyitása.
Az MTTR a gyártó szervezetektől származik, és a meghibásodott fizikai alkatrész vagy eszköz javításához szükséges átlagos idő mértéke. Ezeknek az eszközöknek egyszerűbb, kiszámíthatóbb műveletei voltak kopással és elhasználódással, amelyek megfeleltek az MTTR ésszerűen szabványos és következetes becsléseinek. Az idő múlásával az MTTR használata a szoftverrendszerekre is kiterjedt, és a szoftvercégek a rendszer megbízhatóságának, valamint a csapat agilitásának vagy hatékonyságának mutatójaként kezdték használni.
Sajnos Nash szerint változékonysága azt jelenti, hogy az MTTR vagy hamis bizalmat eredményezhet, vagy szükségtelen aggodalmat kelthet.
„Ez nem megfelelő mérőszám összetett szoftverrendszerekhez, részben az időtartamadatok torz eloszlása miatt, és azért, mert az ilyen rendszerekben előforduló hibák nem egyenletesen érkeznek az idő múlásával” – mondja Nash. "Minden meghibásodás eredendően más, a fizikai gyártási eszközökkel ellentétben."
Elköltözés az MTTR-től
„Az [MTTR] keveset árul el nekünk arról, hogy valójában milyen is egy esemény a szervezet számára, amely vadul eltérhet az érintett emberek és csapatok számától, a stressz szintjétől, a javításhoz technikailag és szervezetileg szükségesek, és a csapat ennek eredményeként tanult” – mondja Nash.
Az MTTR az incidensek túlzott leegyszerűsítésének áldozata, mert átlagot számol – az átlagos időt – mondja Nora Jones, a Jeli vezérigazgatója és társalapítója. A jelentett idők ezen egyetlen átlagának mérése (és ezekről a jelentett időkről szintén bebizonyosodott, hogy eleve nem megbízhatóak) megakadályozza, hogy a szervezetek lássák és kezeljék, mi történik az infrastruktúrán belül, mi járul hozzá az ismétlődő incidenshez, és hogyan viselkednek az emberek. reagál az eseményekre.
„Az incidensek mindenféle formában és méretben előfordulhatnak – látni fogja, hogy súlyosságuk, az ügyfelekre gyakorolt hatásuk és a megoldások összetettsége tekintetében a teljes tartományt felölelik egy szervezeten belül” – magyarázza Jones. "Valójában együtt kell nézni az embereket és az eszközöket, és kvalitatív megközelítést kell alkalmazni az incidensek elemzéséhez."
Nash azonban azt mondja, hogy az MTTR-től való eltávolodás nem egy éjszakai műszak – ez nem olyan egyszerű, mint az egyik mutatót a másikra cserélni.
„A nap végén az őszinteség a hozzájáruló tényezőkkel és az emberek szerepével kapcsolatban a megoldások megtalálásában” – mondja. "Egyszerűnek hangzik, de időbe telik, és ezek azok a konkrét tevékenységek, amelyek jobb mutatókat fognak felépíteni."
A mérőszámok használatának szélesítése
- mondja Nash az események elemzése és az azokból való tanulás az ideális út a több éleslátású adatok és mutatók megtalálásához. Egy csapat összegyűjthet olyan dolgokat, mint például az incidensben érintett személyek száma; hány egyedi csapat vett részt; milyen eszközöket használtak az emberek; hány csevegőcsatorna volt; és ha voltak egyidejű események.
Ahogy egy szervezet egyre jobb a vezetésben események áttekintése és tanulni belőlük, olyan dolgokban fog érezni a vonzerejét, mint például az incidensek utáni felülvizsgálati értekezleteken részt vevő emberek száma, az incidensek utáni jelentések megnövekedett olvasása és megosztása, valamint a jelentések felhasználása olyan dolgokban, mint a kódok áttekintése, a képzés és a belépés.
David Severski, a Cyentia Institute vezető biztonsági adatkutatója azt mondja, amikor a Verizon DBIR-en dolgozott, a Cyentia létrehozta és kiadta a Vocabulary for Event Reporting and Incident Sharing szót, hogy kibővítse az incidensek mérésére használt mérőszámok típusait.
„Ez meghatározza az általunk fontosnak tartott adatpontokat a biztonsági incidensekről” – mondja. "Továbbra is ezt az alapsablont használjuk a Cyentia kutatásában, néhány frissítéssel, például a használt ATT&CK TTP-k azonosításával."
Az incidens mérésére szolgáló mérőszámok nem egyformák minden szervezetméretre és típusra. „A csapatok megértik, hol tartanak ma, felmérik, hol tartanak prioritásaik jelenlegi korlátaikon belül, és megértik, hogy a fókuszmutatóik idővel akár változhatnak is, ahogy szervezetük fejlődik és bővül” – mondja Jones.
Ezen túlmenően arról van szó, hogy a hangsúlyt a tanulásra kell helyezni, majd ezek alapján folyamatosan javítani kell, például áttérni a trendek értékelésére, és arra, hogy a dolgok idővel jó irányba mennek-e, szemben az egypontos mérőszámokkal.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/edge-articles/why-mean-time-to-repair-no-longer-serves-as-a-useful-security-metric
- 7
- a
- Rólunk
- át
- tevékenységek
- címzés
- Minden termék
- mindig
- elemzés
- elemző
- és a
- Másik
- megközelítés
- megfelelő
- részt
- szerző
- átlagos
- alapján
- alapvető
- mert
- kezdődött
- hogy
- Jobb
- épít
- kiszámítása
- Okoz
- vezérigazgató
- csatornák
- Társalapító
- kód
- gyűjt
- hogyan
- érkező
- Companies
- teljes
- bonyolult
- bonyolultság
- összetevő
- Vonatkozik
- egyidejű
- vezető
- bizalom
- következetes
- korlátok
- hozzájáruló
- tudott
- készítette
- Jelenlegi
- Ügyfelek
- dátum
- adat pontok
- adattudós
- adatbázis
- nap
- Annak meghatározása,
- fejleszt
- eszköz
- Eszközök
- különböző
- irány
- terjesztés
- minden
- hatékonyan
- hatékonyság
- bármelyik
- becslések
- Még
- esemény
- fejlődik
- példa
- Bontsa
- kiterjesztett
- Elmagyarázza
- tényezők
- Sikertelen
- Kudarc
- Vízesés
- megtalálása
- vezetéknév
- Rögzít
- Összpontosít
- ból ből
- megy
- Kezelés
- hands-on
- Hogyan
- azonban
- HTTPS
- ideális
- azonosító
- Hatás
- fontos
- javuló
- in
- incidens
- <p></p>
- Mutató
- Infrastruktúra
- Intézet
- részt
- kérdések
- IT
- vezet
- tanult
- tanulás
- szint
- kis
- néz
- Fő
- csinál
- gyártási
- sok
- eszközök
- intézkedés
- mérő
- találkozók
- metrikus
- Metrics
- esetleg
- több
- mozgó
- szám
- Beszállás
- ONE
- Művelet
- ellentétes
- szervezet
- szervezetek
- származik
- éjszakai
- rész
- ösvény
- Emberek (People)
- fizikai
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- pont
- Kiszámítható
- igazolt
- hatótávolság
- Olvasás
- ismétlődő
- felszabaduló
- megbízhatóság
- megbízható
- javítás
- jelentést
- Számolt
- Jelentő
- Jelentések
- kötelező
- kutatás
- Felbontás
- eredményez
- Kritika
- Vélemények
- Szerep
- Mérleg
- Tudós
- biztonság
- látás
- idősebb
- formák
- megosztás
- váltás
- VÁLTOZÁS
- Egyszerű
- egyszerűen
- egyetlen
- Méret
- méretek
- szoftver
- Megoldások
- néhány
- standard
- kezdet
- Még mindig
- feszültség
- ilyen
- rendszer
- Systems
- Vesz
- tart
- csapat
- csapat
- megmondja
- sablon
- feltételek
- A
- azok
- maguk
- dolgok
- idő
- alkalommal
- nak nek
- Ma
- együtt
- szerszámok
- vontatás
- hagyományosan
- Képzések
- trend
- Trends
- típusok
- megért
- egyedi
- Frissítés
- us
- használ
- hasznosított
- Verizon
- Áldozat
- Mit
- Mi
- ami
- lesz
- belül
- dolgozó
- te
- zephyrnet
