מדוע ניתוח תקריות קודמות עוזר לצוותים יותר מדדי אבטחה מהרגיל

מדדים מקובלים למדידת חומרת אירועי אבטחה, כמו זמן לתיקון (MTTR), עשויים שלא להיות אמינים כפי שחשבו בעבר ואינם מספקים לצוותי אבטחת IT את המידע הנכון, על פי הדוח האחרון של Verica Open Incident Database (VOID) .

הדו"ח מבוסס על 10,000 תקריות מקצת פחות מ-600 חברות, החל מ-Fortune 100s ועד סטארט-אפים. כמות הנתונים שנאספו מאפשרת רמה עמוקה יותר של ניתוח סטטיסטי כדי לקבוע דפוסים ולהפריך הנחות תעשייה קודמות שחסרות ראיות סטטיסטיות, אמרה וריקה.

"חברות מפעילות כמה מהתשתיות המתוחכמות ביותר בעולם, ותומכות בחלקים רבים מחיי היומיום שלנו, מבלי שרובנו אפילו חושבים על זה - עד שמשהו לא עובד", אומרת נורה ג'ונס, מנכ"לית ומייסדת שותפה של Jeli. "העסקים שלהם מסתמכים במידה רבה על אמינות האתר, ובכל זאת תקריות לא נעלמו ככל שהטכנולוגיה נעשית מורכבת יותר ויותר."

"רוב הארגונים מנהלים החלטות ניהול אירועים על סמך הנחות ארוכות", היא אומרת, ומציינת שארגונים צריכים לקבל החלטות מונעות נתונים לגבי האופן שבו הם ניגשים לחוסן ארגוני.

שתף מידע כדי להבין אירועים

קורטני נאש, אנליסטית מחקר מובילה ב-Verica ויוצרת VOID, מסבירה שבדומה לאופן שבו חברות תעופה הניחו בצד דאגות תחרותיות בסוף שנות ה-90 ואילך כדי לחלוק מידע, לארגונים יש גוף עצום של ידע ממוחשב שהם יכולים השתמשו כדי ללמוד אחד מהשני ולדחוף את התעשייה קדימה, תוך הפיכת מה שנבנה לבטוח יותר עבור כולם.

"איסוף הדוחות הללו חשוב כי התוכנה עברה מזמן מאירוח תמונות של חתולים באינטרנט להפעלת תחבורה, תשתיות, רשתות חשמל, תוכנות ומכשירי בריאות, מערכות הצבעה, כלי רכב אוטונומיים והרבה פונקציות חברתיות קריטיות (לעתים קרובות קריטיות לבטיחות"). נאש אומר.

דיוויד סברסקי, מדען אבטחה בכיר במכון סינטיה, מציין שארגונים יכולים לראות רק את התקריות שלהם, מה שמגביל את היכולת לראות ולהימנע ממגמות רחבות יותר המשפיעות על ארגונים אחרים.

"מאגרי מידע ודוחות של תקריות כמו [VOID] עוזרים להם להימלט מראיית מנהרה ובתקווה לפעול לפני שהם חווים בעיות בעצמם", הוא אומר.

משך וחומרה הם נתונים 'רדודים'

האופן שבו ארגונים חווים תקריות משתנה, כמו גם זמן רב שלוקח לפתור תקריות אלו, ללא קשר לחומרה. אילו תרחישים אפילו זוכים להכרה כ"תקרית" ובאיזו רמה משתנה בין עמיתים בארגון ואינה עקבית בין ארגונים, הזהיר הדו"ח.

נאש מסביר שהמשך והחומרה הם נתונים "רדודים". - הם מושכים כי נראה שהם מבינים תחושה ברורה וקונקרטית של מצבים מבולגנים ומפתיעים שאינם מתאימים לסיכומים פשוטים. עם זאת, מדידת משך הזמן לא ממש שימושית.

"משך התקרית מניב מעט מידע שניתן לפעולה פנימית על התקרית, ולעתים קרובות מנהלים משא ומתן על החומרה בדרכים שונות, אפילו באותו צוות", אומר נאש.

החומרה עשויה לשמש כמקור להשפעה על הלקוח או, במקרים אחרים, מאמץ הנדסי הנדרש לתיקון או דחוף. "זה מוקצה באופן סובייקטיבי, מסיבות שונות, כולל כדי למשוך תשומת לב או לקבל סיוע לתקרית, כדי להפעיל - או להימנע מהפעלת - סקירה שלאחר התקרית, או כדי להשיג אישור ההנהלה למימון הרצוי, מספר עובדים וכן הלאה, "נאש אומר.

לפי הדו"ח אין מתאם בין משך התקריות והחומרה. לחברות יכולות להיות תקריות ארוכות או קצרות שהן קלות מאוד, קריטיות מבחינה קיומית, וכמעט כל שילוב ביניהן.

"לא רק שמשך הזמן או החומרה לא יכולים להגיד לצוות עד כמה הם אמינים או יעילים, אלא שהם גם לא מעבירים שום דבר שימושי לגבי השפעת האירוע או המאמץ הנדרש כדי להתמודד עם האירוע", אומר נאש.

ניתוח אירועי עבר

"אמנם MTTR אינו שימושי כמדד, אף אחד לא רוצה שהאירועים שלו יימשכו יותר ממה שהם צריכים", היא אומרת. "כדי להגיב טוב יותר, חברות חייבות תחילה ללמוד כיצד הן הגיבו בעבר עם ניתוח מעמיק יותר, שילמד אותן על שורה של גורמים בלתי צפויים בעבר, טכניים וארגוניים כאחד."

ג'ונס מוסיף כי התרבות של ארגון תמלא תפקיד גם באופן שבו צוותים מתייגים תקריות ובאיזו מידה.

"הכל חוזר לאנשי הארגון - האנשים שבונים את התשתית, מתחזקים את התשתית, פותרים תקריות ואז בודקים אותם", היא אומרת. "כל זה נעשה על ידי אנשים."

מנקודת המבט שלה, לא משנה עד כמה הטכנולוגיה שלנו תהיה אוטומטית, אנשים הם עדיין החלק המתאים ביותר של המערכת והסיבה להמשך ההצלחה.

"זו הסיבה שאתה חייב לזהות את המערכות הסוציו-טכניות האלה כפשוטן, ואז לגשת לניתוח האירועים שלך באותה הבנה", אומר ג'ונס.

סברסקי אומר שתעשיית האבטחה מלאה בדעות לגבי מה צריך לעשות כדי לשפר דברים, ומציינת שסינטיה ממשיכה לנתח מערכי נתונים גדולים במחקר מידע סיכוני מידע (IRIS) שלהם. מחקר.

"לבסס את ההמלצות שלנו על כישלונות בפועל והלקחים שנלמדו מכך זו גישה הרבה יותר יעילה", הוא אומר. "אנחנו מייחסים ערך גבוה לחקר תקריות בעולם האמיתי."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics