과거 사건 분석이 일반적인 보안 메트릭보다 팀에 도움이 되는 이유

Verica의 최신 VOID(Open Incident Database) 보고서에 따르면 MTTR(평균 수리 시간)과 같이 보안 사고의 심각도를 측정하기 위해 허용되는 지표는 이전에 생각했던 것만큼 신뢰할 수 없으며 IT 보안 팀에 올바른 정보를 제공하지 못하고 있습니다. .

이 보고서는 Fortune지 선정 10,000대 기업에서 신생 기업에 이르는 600개 미만의 기업에서 발생한 100건의 사건을 기반으로 합니다. Verica는 수집된 데이터의 양을 통해 더 깊은 수준의 통계 분석을 통해 패턴을 파악하고 통계적 증거가 부족했던 이전 업계 가정을 폭로할 수 있다고 말했습니다.

Jeli의 CEO이자 공동 설립자인 Nora Jones는 “기업은 세계에서 가장 정교한 인프라를 운영하고 있으며, 우리 대부분은 생각조차 하지 않고 있습니다. "그들의 비즈니스는 사이트 안정성에 크게 의존하지만 기술이 점점 더 복잡해짐에 따라 사고가 사라지지 않습니다."

"대부분의 조직은 오랜 가정을 기반으로 사고 관리 결정을 내리고 있습니다."라고 그녀는 기업이 조직의 복원력에 접근하는 방법에 대해 데이터 중심 결정을 내려야 한다고 지적합니다.

사건 이해를 위한 정보 공유

Verica의 수석 연구 분석가이자 VOID의 창시자인 Courtney Nash는 항공사가 90년대 후반과 그 이후에 정보를 공유하기 위해 경쟁 문제를 제쳐두었던 것과 거의 같은 방식으로 기업이 엄청난 양의 상품화된 지식을 보유하고 있다고 설명합니다. 서로에게서 배우고 업계를 발전시키는 동시에 모든 사람을 위해 구축되는 것을 더 안전하게 만드는 데 사용합니다.

"소프트웨어는 온라인에서 고양이 사진을 호스팅하는 것에서 운송, 인프라, 전력망, 의료 소프트웨어 및 장치, 투표 시스템, 자율 주행 차량 및 많은 중요한(종종 안전에 중요한) 사회적 기능으로 이동했기 때문에 이러한 보고서를 수집하는 것이 중요합니다." 내쉬는 말한다.

Cyentia Institute의 수석 보안 데이터 과학자인 David Severski는 기업이 자신의 사건만 볼 수 있기 때문에 다른 조직에 영향을 미치는 광범위한 추세를 보고 피할 수 있는 능력이 제한된다고 지적합니다.

"[VOID]와 같은 사고 데이터베이스 및 보고서는 그들이 터널 시야에서 벗어나 스스로 문제를 경험하기 전에 조치를 취하는 데 도움이 됩니다."라고 그는 말합니다.

기간과 심각도는 '얕은' 데이터

조직이 사고를 경험하는 방식은 심각도에 관계없이 사고를 해결하는 데 걸리는 시간과 마찬가지로 다양합니다. 보고서는 어떤 시나리오가 "사고"로 인식되고 어떤 수준에서 조직 내 동료마다 다르며 조직 전체에서 일관성이 없는지 경고했습니다.

Nash는 기간과 심각도가 다음과 같다고 설명합니다. "얕은" 데이터 — 단순한 요약에 적합하지 않은 지저분하고 놀라운 상황을 명확하고 구체적으로 이해하는 것처럼 보이기 때문에 매력적입니다. 그러나 기간을 측정하는 것은 실제로 유용하지 않습니다.

Nash는 "사고 기간은 사고에 대해 내부적으로 실행 가능한 정보를 거의 제공하지 않으며 심각도는 종종 같은 팀에서도 다른 방식으로 협상됩니다."라고 말합니다.

심각도는 고객 영향 또는 다른 경우 수정 또는 긴급에 필요한 엔지니어링 노력에 대한 프록시로 사용될 수 있습니다. “사고에 대한 관심을 끌거나 지원을 받거나, 사고 후 검토를 시작하거나 시작하지 않도록 하거나, 원하는 자금, 인력 등에 대한 관리 승인을 얻는 등 다양한 이유로 주관적으로 할당됩니다. "라고 내쉬는 말합니다.

보고서에 따르면 사건의 기간과 심각도 사이에는 상관 관계가 없습니다. 회사는 매우 사소하고 실존적으로 중요하며 그 사이의 거의 모든 조합인 길거나 짧은 사고를 가질 수 있습니다.

Nash는 “기간이나 심각도는 팀이 얼마나 신뢰할 수 있거나 효과적인지 알려주지 않을 뿐만 아니라 이벤트의 영향이나 사고를 처리하는 데 필요한 노력에 대해 유용한 정보를 전달하지도 않습니다.”라고 말합니다.

과거 사건 분석

"MTTR은 유용하지 않지만 메트릭으로, 아무도 자신의 사건이 필요한 것보다 더 오래 지속되는 것을 원하지 않습니다.”라고 그녀는 말합니다. "더 나은 대응을 위해 기업은 먼저 보다 심층적인 분석을 통해 과거에 어떻게 대응했는지 연구해야 합니다. 이를 통해 이전에는 예측할 수 없었던 기술적 및 조직적 요인에 대해 알게 될 것입니다."

Jones는 조직의 문화가 팀이 사고에 태그를 지정하는 방법과 정도에 역할을 할 것이라고 덧붙였습니다.

"이 모든 것은 조직의 사람들, 즉 인프라를 구축하고, 인프라를 유지 관리하고, 사고를 해결하고, 검토하는 사람들에게 돌아갑니다."라고 그녀는 말합니다. “이 모든 것은 사람이 하는 일입니다.”

그녀의 관점에서 우리 기술이 아무리 자동화되더라도 사람은 여전히 ​​시스템에서 가장 적응력이 뛰어난 부분이며 지속적인 성공의 이유입니다.

"이것이 바로 이러한 사회 기술 시스템을 그저 그런 것으로 인식하고 동일한 이해를 가지고 사고 분석에 접근해야 하는 이유입니다."라고 Jones는 말합니다.

Severski는 Cyentia가 IRIS(Information Risk Insights Study)에서 대규모 데이터 세트를 계속 분석하고 있다고 언급하면서 보안 업계는 개선을 위해 무엇을 해야 하는지에 대한 의견이 가득하다고 말했습니다. 연구.

"실제 실패와 이를 통해 얻은 교훈에 대한 권장 사항을 기반으로 하는 것이 훨씬 더 효과적인 접근 방식입니다."라고 그는 말합니다. "우리는 실제 사건을 연구하는 데 높은 가치를 부여합니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics