過去のインシデントを分析することが、通常のセキュリティ メトリックよりもチームに役立つ理由

Verica の最新の Open Incident Database (VOID) レポートによると、平均修復時間 (MTTR) などのセキュリティ インシデントの重大度を測定するために受け入れられている指標は、これまで考えられていたほど信頼性が低く、IT セキュリティ チームに正しい情報を提供していない可能性があります。 .

このレポートは、フォーチュン 10,000 から新興企業まで、600 社弱の企業からの 100 件のインシデントに基づいています。 収集されたデータの量により、より深いレベルの統計分析が可能になり、パターンを特定し、統計的証拠に欠けていた以前の業界の仮定を暴くことができると Verica 氏は述べています。

「企業は、世界で最も洗練されたインフラストラクチャを運用しており、日常生活の多くの部分をサポートしています。ほとんどの人は何も考えずに、何かが機能しなくなるまでです」と、Jeli の CEO 兼共同創設者である Nora Jones 氏は述べています。 「彼らのビジネスはサイトの信頼性に大きく依存していますが、テクノロジーがますます複雑になっているため、インシデントがなくなることはありません。」

「ほとんどの組織は、長年の仮定に基づいてインシデント管理の決定を行っています」と彼女は言い、企業は組織の回復力にどのようにアプローチするかについてデータ主導の決定を下す必要があると指摘しています。

インシデントを理解するための情報共有

Verica のリード リサーチ アナリストで VOID の作成者である Courtney Nash 氏は、航空会社が 90 年代後半以降に情報を共有するために競争上の懸念を脇に置いたのとほぼ同じように、企業はコモディティ化された膨大な知識を持っていると説明しています。お互いから学び、業界を前進させながら、構築されたものをすべての人にとってより安全にするために使用します。

「これらのレポートを収集することは重要です。なぜなら、ソフトウェアは猫の写真をオンラインでホストすることから、輸送、イ​​ンフラ、電力網、ヘルスケア ソフトウェアとデバイス、投票システム、自動運転車、および多くの重要な (しばしば安全性が重要な) 社会機能を実行するようになったためです。」ナッシュは言います。

Cyentia Institute のシニア セキュリティ データ サイエンティストである David Severski 氏は、企業は自社のインシデントしか確認できないため、他の組織に影響を与えるより広範なトレンドを確認して回避する能力が制限されていると指摘しています。

「[VOID] のようなインシデント データベースとレポートは、彼らが視野狭窄から抜け出し、問題が発生する前に行動するのに役立ちます」と彼は言います。

期間と重大度は「浅い」データです

重大度に関係なく、組織がインシデントをどのように経験するかはさまざまであり、それらのインシデントを解決するのにかかる時間も異なります。 どのシナリオが「インシデント」として認識され、どのレベルで組織内の同僚によって異なり、組織全体で一貫していない、とレポートは警告しています。

ナッシュは、期間と重大度は 「浅い」データ — それらは、単純な要約には向いていない厄介で驚くべき状況を明確かつ具体的に理解しているように見えるため、魅力的です。 ただし、期間の測定はあまり役に立ちません。

「インシデントの期間からは、インシデントに関する社内で実行可能な情報はほとんど得られません。重大度は、同じチームであっても、さまざまな方法で交渉されることがよくあります」と Nash 氏は言います。

重大度は、顧客への影響の代用として使用される場合もあれば、修正または緊急性に必要なエンジニアリング作業の代用として使用される場合もあります。 「インシデントへの注意を喚起したり、インシデントに対する支援を得たり、インシデント後のレビューをトリガーしたり、トリガーを回避したり、必要な資金や人員などに対する経営陣の承認を得るなど、さまざまな理由で主観的に割り当てられています。 」とナッシュは言います。

レポートによると、インシデントの期間と重大度の間に相関関係はありません。 企業は、非常にマイナーで、存続に重大な、そしてその間のほぼすべての組み合わせである長期的または短期的なインシデントを持つことができます。

「期間や重大度は、チームの信頼性や有効性をチームに伝えないだけでなく、イベントの影響やインシデントに対処するために必要な労力についても何の役にも立ちません」とナッシュ氏は言います。

過去のインシデントを分析する

「MTTR は役に立ちませんが、 指標として、必要以上に事件が続くことを誰も望んでいません」と彼女は言います。 「より良い対応をするために、企業はまず過去にどのように対応したかをより詳細な分析で研究する必要があります。これにより、技術的および組織的な両方の、以前は予測できなかった多くの要因について学ぶことができます。」

ジョーンズ氏は、組織の文化は、チームがインシデントにタグを付ける方法や程度にも影響を与えると付け加えています。

「これはすべて、組織の人々、つまりインフラストラクチャを構築し、インフラストラクチャを維持し、インシデントを解決し、それらをレビューする人々に帰着します」と彼女は言います。 「これはすべて人によって行われます。」

彼女の観点からすると、テクノロジーがどれほど自動化されても、システムの中で最も適応性が高いのは人間であり、継続的な成功の理由です。

「これが、これらの社会技術システムをまさにそれとして認識し、同じ理解でインシデント分析に取り組む必要がある理由です」と Jones 氏は言います。

Severski 氏は、セキュリティ業界は物事を改善するために何をすべきかについての意見でいっぱいであり、Cyentia が Information Risk Insights Study (IRIS) で大規模なデータセットを分析し続けていることを指摘しています。 研究.

「実際の失敗とこれから学んだ教訓に基づいて推奨事項を作成することは、はるかに効果的なアプローチです」と彼は言います。 「私たちは現実世界の出来事を研究することに高い価値を置いています。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics