I team di sicurezza hanno tradizionalmente utilizzato tempo medio per riparare (MTTR) come un modo per misurare l'efficacia con cui gestiscono gli incidenti di sicurezza. Tuttavia, le variazioni nella gravità dell'incidente, l'agilità del team e la complessità del sistema possono rendere meno utile questa metrica di sicurezza, afferma Courtney Nash, analista capo della ricerca presso Verica e autrice principale dello studio Aprire il report del database degli incidenti (VOID).
L'MTTR ha avuto origine nelle organizzazioni manifatturiere ed era una misura del tempo medio necessario per riparare un componente fisico o un dispositivo guasto. Questi dispositivi avevano operazioni più semplici e prevedibili con usura che si prestavano a stime ragionevolmente standard e coerenti di MTTR. Nel corso del tempo l'uso dell'MTTR si è esteso ai sistemi software e le società di software hanno iniziato a utilizzarlo come indicatore dell'affidabilità del sistema e dell'agilità o dell'efficacia del team.
Sfortunatamente, afferma Nash, la sua variabilità significa che l'MTTR potrebbe portare a false confidenze o causare preoccupazioni inutili.
"Non è una metrica appropriata per sistemi software complessi, in parte a causa della distribuzione distorta dei dati sulla durata e perché i guasti in tali sistemi non arrivano in modo uniforme nel tempo", afferma Nash. "Ogni guasto è intrinsecamente diverso, a differenza dei problemi con i dispositivi di produzione fisica".
Allontanarsi da MTTR
"[MTTR] ci dice poco su come sia realmente un incidente per l'organizzazione, che può variare enormemente in termini di numero di persone e team coinvolti, livello di stress, cosa è necessario tecnicamente e organizzativamente per risolverlo e cosa il team ha imparato di conseguenza", dice Nash.
MTTR è vittima dell'eccessiva semplificazione degli incidenti perché sta calcolando una media, il tempo medio, afferma Nora Jones, CEO e co-fondatrice di Jeli. La semplice misurazione di questa singola media dei tempi segnalati (e anche quei tempi riportati si sono dimostrati non affidabili in primo luogo) impedisce alle organizzazioni di vedere e affrontare cosa sta succedendo all'interno dell'infrastruttura, cosa sta contribuendo a quell'incidente ricorrente e come le persone stanno rispondere agli incidenti.
"Gli incidenti si presentano in tutte le forme e dimensioni: li vedrai coprire l'intera gamma in termini di gravità, impatto sui clienti e complessità della risoluzione, tutto all'interno di un'unica organizzazione", spiega Jones. "Devi davvero guardare le persone e gli strumenti insieme e adottare un approccio qualitativo all'analisi degli incidenti".
Tuttavia, Nash afferma che allontanarsi dall'MTTR non è un cambiamento dall'oggi al domani, non è così semplice come scambiare una metrica con un'altra.
"Alla fine della giornata, è essere onesti riguardo ai fattori che contribuiscono e al ruolo che le persone svolgono nel trovare soluzioni", afferma. "Sembra semplice, ma ci vuole tempo, e queste sono le attività concrete che costruiranno metriche migliori."
Ampliare l'uso delle metriche
Nash dice analizzare e imparare dagli incidenti è il percorso ideale per trovare dati e metriche più approfonditi. Un team può raccogliere informazioni come il numero di persone coinvolte direttamente in un incidente; quanti team unici sono stati coinvolti; quali strumenti sono stati utilizzati dalle persone; quanti canali di chat c'erano; e se ci sono stati incidenti simultanei.
Man mano che un'organizzazione migliora nella conduzione revisioni degli incidenti e imparando da loro, inizierà a vedere la trazione in cose come il numero di persone che partecipano alle riunioni di revisione post-incidente, una maggiore lettura e condivisione dei rapporti post-incidente e l'utilizzo di tali rapporti in cose come revisioni del codice, formazione e onboarding.
David Severski, senior security data scientist presso il Cyentia Institute, afferma che lavorando su Verizon DBIR, Cyentia ha creato e rilasciato il Vocabulary for Event Reporting and Incident Sharing per espandere i tipi di metriche utilizzate per misurare un incidente.
"Definisce i punti dati che riteniamo importanti da raccogliere sugli incidenti di sicurezza", afferma. "Usiamo ancora questo modello di base nella ricerca di Cyentia con alcuni aggiornamenti, ad esempio identificando i TTP ATT&CK utilizzati".
Le metriche per la misurazione di un incidente non sono valide per tutte le dimensioni e i tipi di organizzazione. "I team capiscono dove si trovano oggi, valutano dove si trovano le loro priorità all'interno dei limiti attuali e comprendono che le loro metriche di focus potrebbero anche evolversi nel tempo man mano che la loro organizzazione si sviluppa e si ridimensiona", afferma Jones.
Inoltre, si tratta di spostare l'attenzione sugli apprendimenti e quindi migliorare continuamente sulla base di tali apprendimenti, ad esempio passando alla valutazione delle tendenze e se le cose stanno andando nella giusta direzione nel tempo, al contrario delle metriche a tempo singolo.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/edge-articles/why-mean-time-to-repair-no-longer-serves-as-a-useful-security-metric
- 7
- a
- WRI
- operanti in
- attività
- indirizzamento
- Tutti
- sempre
- .
- analista
- ed
- Un altro
- approccio
- opportuno
- frequentando
- autore
- media
- basato
- basic
- perché
- ha iniziato
- essendo
- Meglio
- costruire
- calcolo
- Causare
- ceo
- canali
- Co-fondatore
- codice
- raccogliere
- Venire
- arrivo
- Aziende
- completamento di una
- complesso
- complessità
- componente
- Problemi della Pelle
- concorrente
- conduzione
- fiducia
- coerente
- vincoli
- contribuendo
- potuto
- creato
- Corrente
- Clienti
- dati
- punti dati
- scienziato di dati
- Banca Dati
- giorno
- definisce
- sviluppa
- dispositivo
- dispositivi
- diverso
- direzione
- distribuzione
- ogni
- in maniera efficace
- efficacia
- o
- stime
- Anche
- Evento
- evolvere
- esempio
- Espandere
- ampliato
- Spiega
- Fattori
- fallito
- Fallimento
- cadute
- ricerca
- Nome
- Fissare
- Focus
- da
- andando
- Manovrabilità
- mani su
- Come
- Tuttavia
- HTTPS
- ideale
- identificazione
- Impact
- importante
- miglioramento
- in
- incidente
- è aumentato
- Infrastruttura
- Istituto
- coinvolto
- sicurezza
- IT
- portare
- imparato
- apprendimento
- Livello
- piccolo
- Guarda
- Principale
- make
- consigliato per la
- molti
- si intende
- misurare
- di misura
- incontri
- metrico
- Metrica
- forza
- Scopri di più
- in movimento
- numero
- Procedura di Onboarding
- ONE
- Operazioni
- opposto
- organizzazione
- organizzazioni
- originato
- per una notte
- parte
- sentiero
- Persone
- Fisico
- posto
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- punti
- Prevedibile
- comprovata
- gamma
- Lettura
- ricorrenti
- rilasciato
- problemi di
- affidabile
- riparazione
- rapporto
- Segnalati
- Reportistica
- Report
- necessario
- riparazioni
- Risoluzione
- colpevole
- recensioni
- Recensioni
- Ruolo
- bilancia
- Scienziato
- problemi di
- vedendo
- anziano
- forme
- compartecipazione
- spostamento
- MUTEVOLE
- Un'espansione
- semplicemente
- singolo
- Taglia
- Dimensioni
- Software
- Soluzioni
- alcuni
- Standard
- inizia a
- Ancora
- stress
- tale
- sistema
- SISTEMI DI TRATTAMENTO
- Fai
- prende
- team
- le squadre
- dice
- modello
- condizioni
- Il
- loro
- si
- cose
- tempo
- volte
- a
- oggi
- insieme
- strumenti
- trazione
- tradizionalmente
- Training
- trend
- tendenze
- Tipi di
- capire
- unico
- Aggiornamenti
- us
- uso
- utilizzati
- Verizon
- Vittima
- Che
- Che cosa è l'
- quale
- volere
- entro
- lavoro
- Tu
- zefiro
