セキュリティ チームは従来から 修理する平均時間 (MTTR) は、セキュリティ インシデントをどの程度効果的に処理しているかを測定する方法として使用されます。 ただし、インシデントの重大度、チームの俊敏性、システムの複雑さの違いにより、そのセキュリティ指標の有用性が低下する可能性があると、Verica のリード リサーチ アナリストであり、 インシデント データベース (VOID) レポートを開きます。
MTTR は製造組織で生まれ、故障した物理コンポーネントまたはデバイスを修復するのに必要な平均時間の尺度でした。 これらのデバイスは、合理的に標準的で一貫した MTTR の推定に役立つ摩耗や損傷を伴う、より単純で予測可能な操作を備えていました。 時間の経過とともに、MTTR の使用はソフトウェア システムにまで拡大し、ソフトウェア企業はシステムの信頼性とチームの敏捷性または有効性の指標として MTTR を使用し始めました。
残念ながら、その変動性は、MTTR が誤った信頼につながるか、不必要な懸念を引き起こす可能性があることを意味すると Nash は言います。
「これは複雑なソフトウェア システムには適切な指標ではありません。その理由の XNUMX つは、継続時間データの偏った分布と、そのようなシステムの障害が時間の経過とともに均一に発生しないためです」と Nash 氏は言います。 「物理的な製造デバイスの問題とは異なり、それぞれの障害は本質的に異なります。」
MTTR からの脱却
「[MTTR] は、インシデントが組織にとって実際にどのようなものであるかについてほとんど教えてくれません。インシデントは、関与する人やチームの数、ストレスのレベル、問題を修正するために技術的および組織的に必要なもの、および何が必要かという点で大きく異なる可能性があります。その結果、チームは学習しました」と Nash 氏は言います。
MTTR は平均を計算しているため、インシデントを過度に単純化することの犠牲になっています。 報告された時間のこの単一の平均を測定するだけでは (また、報告された時間はそもそも信頼できないことが証明されています)、組織はインフラストラクチャ内で何が起こっているか、再発するインシデントの原因は何か、人々がどのように行動しているかを把握して対処することができなくなります。インシデントへの対応。
「インシデントにはさまざまな形とサイズがあります。重大度、顧客への影響、解決の複雑さのすべてが XNUMX つの組織内にあることがわかります」と Jones 氏は説明します。 「人とツールを一緒に見て、インシデント分析に定性的なアプローチを取る必要があります。」
ただし、Nash 氏は、MTTR からの移行は一晩でできるものではなく、ある指標を別の指標に交換するだけの単純なものではないと述べています。
「結局のところ、問題の原因と、解決策を考え出す上で人々が果たす役割について正直に話すことです」と彼女は言います。 「単純に聞こえますが、時間がかかります。これらは、より良い指標を構築するための具体的な活動です。」
メトリックの使用の拡大
ナッシュ 言う インシデントの分析と学習 より洞察に富んだデータと指標を見つけるための理想的な方法です。 チームは、インシデントに実際に関与した人数などを収集できます。 関与したユニークなチームの数。 人々が使用したツール。 チャットチャンネルの数。 同時インシデントがあった場合。
組織が指揮能力を向上させるにつれて インシデントレビュー それらから学ぶことで、インシデント後のレビュー ミーティングに参加する人の数、インシデント後のレポートの閲覧と共有の増加、コード レビュー、トレーニング、オンボーディングなどでのそれらのレポートの使用などに牽引力が見られるようになるでしょう。
Cyentia Institute のシニア セキュリティ データ サイエンティストである David Severski 氏は、Verizon DBIR に取り組んでいたときに、Cyentia がイベント レポートとインシデント共有の語彙を作成してリリースし、インシデントの測定に使用されるメトリックの種類を拡張したと述べています。
「これは、セキュリティ インシデントで収集することが重要であると私たちが考えるデータ ポイントを定義します」と彼は言います。 「Cyentia の調査では、この基本的なテンプレートを引き続き使用していますが、使用されている ATT&CK TTP を特定するなど、いくつかの更新を行っています。」
インシデントを測定するための指標は、組織の規模や種類を問わず万能ではありません。 「チームは、現在の状況を理解し、現在の制約の中で優先順位がどこにあるかを評価し、組織の発展と拡大に伴い、時間の経過とともにフォーカス指標が進化する可能性があることを理解しています」と Jones 氏は言います。
さらに、学習に焦点を移し、それらの学習に基づいて継続的に改善することです。たとえば、トレンドの評価に移行し、時間の経過とともに物事が正しい方向に進んでいるかどうかを判断し、単一時点のメトリックとは対照的にします。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/edge-articles/why-mean-time-to-repair-no-longer-serves-as-a-useful-security-metric
- 7
- a
- 私たちについて
- 越えて
- 活動
- アドレッシング
- すべて
- 常に
- 分析
- アナリスト
- および
- 別の
- アプローチ
- 適切な
- 出席する
- 著者
- 平均
- ベース
- 基本
- なぜなら
- 始まった
- さ
- より良いです
- ビルド
- 計算
- 原因となる
- 最高経営責任者(CEO)
- チャンネル
- 共同創設者
- コード
- 収集する
- 来ます
- 到来
- 企業
- コンプリート
- 複雑な
- 複雑さ
- コンポーネント
- 懸念
- 同時
- 導電性
- 信頼
- 整合性のある
- 制約
- 貢献
- 可能性
- 作成した
- 電流プローブ
- Customers
- データ
- データポイント
- データサイエンティスト
- データベース
- 中
- 定義する
- 開発
- デバイス
- Devices
- 異なります
- 方向
- ディストリビューション
- 各
- 効果的に
- 有効
- どちら
- 見積もり
- さらに
- イベント
- 進化
- 例
- 詳細
- 拡大
- 説明
- 要因
- Failed:
- 不良解析
- フォールズ
- 発見
- 名
- 修正する
- フォーカス
- から
- 行く
- ハンドリング
- 実践的な
- 認定条件
- しかしながら
- HTTPS
- 理想
- 識別
- 影響
- 重要
- 改善
- in
- 事件
- 増加した
- インジケータ
- インフラ関連事業
- 機関
- 関係する
- 問題
- IT
- つながる
- 学んだ
- 学習
- レベル
- 少し
- 見て
- メイン
- make
- 製造業
- 多くの
- 手段
- だけど
- 計測
- ミーティング
- メトリック
- メトリック
- かもしれない
- 他には?
- 移動する
- 数
- 新人研修
- ONE
- 業務執行統括
- 反対した
- 組織
- 組織
- 発信
- 一晩
- 部
- path
- のワークプ
- 物理的な
- 場所
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- ポイント
- 予測可能な
- 実績のある
- 範囲
- リーディング
- 繰り返し
- リリース
- 信頼性
- 信頼性のある
- 修理
- レポート
- 報告
- 各種レポート作成
- レポート
- の提出が必要です
- 研究
- 解像度
- 結果
- レビュー
- レビュー
- 職種
- 秤
- 科学者
- セキュリティ
- 見ること
- シニア
- シェイプ
- シェアリング
- シフト
- シフト
- 簡単な拡張で
- 単に
- サイズ
- サイズ
- ソフトウェア
- ソリューション
- 一部
- 標準
- start
- まだ
- ストレス
- そのような
- システム
- 取る
- 取り
- チーム
- チーム
- 伝える
- template
- 条件
- アプリ環境に合わせて
- 自分自身
- 物事
- 時間
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- 今日
- 一緒に
- 豊富なツール群
- 牽引力
- 伝統的に
- トレーニング
- トレンド
- トレンド
- わかる
- ユニーク
- 更新版
- us
- つかいます
- 利用された
- ベライゾン
- 被害者
- この試験は
- 何ですか
- which
- 意志
- 以内
- ワーキング
- You
- ゼファーネット