Hvorfor analyse av tidligere hendelser hjelper team med mer enn vanlig sikkerhetsberegning

Aksepterte beregninger for å måle alvorlighetsgraden av sikkerhetshendelser, som gjennomsnittlig tid til reparasjon (MTTR), er kanskje ikke så pålitelige som tidligere antatt og gir ikke IT-sikkerhetsteam den riktige informasjonen, ifølge Vericas siste Open Incident Database (VOID)-rapport .

Rapporten er basert på 10,000 600 hendelser fra i underkant av 100 selskaper, alt fra Fortune XNUMXs til startups. Mengden data som samles inn muliggjør et dypere nivå av statistisk analyse for å bestemme mønstre og avkrefte tidligere bransjeantakelser som manglet statistisk bevis, sa Verica.

"Bedrifter driver noe av den mest sofistikerte infrastrukturen i verden, og støtter mange deler av hverdagen vår, uten at de fleste av oss en gang tenker på det - før noe ikke fungerer," sier Nora Jones, administrerende direktør og medgründer av Jeli. "Bedriftene deres er sterkt avhengige av pålitelighet på stedet, og likevel forsvinner ikke hendelser ettersom teknologien blir mer og mer kompleks."

"De fleste organisasjoner tar beslutninger om hendelseshåndtering basert på langvarige forutsetninger," sier hun, og bemerker at bedrifter må ta datadrevne beslutninger om hvordan de nærmer seg organisasjonsresiliens.

Del informasjon for å forstå hendelser

Courtney Nash, ledende forskningsanalytiker ved Verica og skaperen av VOID, forklarer at på omtrent samme måte som flyselskaper la til side konkurranseproblemer på slutten av 90-tallet og utover for å dele informasjon, har bedrifter en enorm mengde kommodifisert kunnskap de kunne bruke til å lære av hverandre og presse bransjen fremover, samtidig som det som bygges blir tryggere for alle.

"Å samle disse rapportene er viktige fordi programvare lenge har gått fra å være vert for bilder av katter på nettet til å kjøre transport, infrastruktur, strømnett, helsevesensprogramvare og -enheter, stemmesystemer, autonome kjøretøy og mange kritiske (ofte sikkerhetskritiske) samfunnsfunksjoner," sier Nash.

David Severski, senior sikkerhetsdataforsker ved Cyentia Institute, påpeker at bedrifter bare kan se sine egne hendelser, noe som begrenser muligheten til å se og unngå bredere trender som påvirker andre organisasjoner.

"Hendelsesdatabaser og rapporter som [VOID] hjelper dem å unnslippe tunnelsyn og forhåpentligvis handle før de opplever problemer selv," sier han.

Varighet og alvorlighetsgrad er "grunne" data

Hvordan organisasjoner opplever hendelser varierer, og det tar lang tid å løse disse hendelsene, uavhengig av alvorlighetsgrad. Hvilke scenarier som til og med blir anerkjent som en "hendelse" og på hvilket nivå varierer mellom kolleger i en organisasjon og er ikke konsistent på tvers av organisasjoner, advarte rapporten.

Nash forklarer varighet og alvorlighetsgrad er "grunne" data — de er tiltalende fordi de ser ut til å gi en klar, konkret mening om hva som er rotete, overraskende situasjoner som ikke egner seg til enkle oppsummeringer. Men å måle varigheten er egentlig ikke nyttig.

"Varigheten av en hendelse gir lite internt handlingskraftig informasjon om hendelsen, og alvorlighetsgraden blir ofte forhandlet på forskjellige måter, selv på samme team," sier Nash.

Alvorlighetsgrad kan brukes som en proxy for kundepåvirkning eller, i andre tilfeller, teknisk innsats som kreves for å fikse eller haster. "Det er subjektivt tildelt, av forskjellige grunner, inkludert for å trekke oppmerksomhet til eller få hjelp til en hendelse, for å utløse - eller unngå å utløse - en gjennomgang etter hendelsen, eller for å få ledelsens godkjenning for ønsket finansiering, antall ansatte, og så videre, sier Nash.

Det er ingen sammenheng mellom varigheten og alvorlighetsgraden av hendelsene, ifølge rapporten. Bedrifter kan ha lange eller korte hendelser som er svært små, eksistensielt kritiske, og nesten alle kombinasjoner i mellom.

"Ikke bare kan varighet eller alvorlighetsgrad ikke fortelle et team hvor pålitelige eller effektive de er, men de formidler heller ikke noe nyttig om hendelsens innvirkning eller innsatsen som kreves for å håndtere hendelsen," sier Nash.

Analyser tidligere hendelser

"Mens MTTR ikke er nyttig som en metrikk, ingen vil at hendelsene deres skal vare lenger enn de må, sier hun. "For å svare bedre, må selskaper først studere hvordan de har reagert tidligere med mer dyptgående analyser, som vil lære dem om en rekke tidligere uforutsette faktorer, både tekniske og organisatoriske."

Jones legger til at kulturen i en organisasjon også vil spille en rolle i hvordan team merker hendelser og i hvilken grad.

"Alt dette går tilbake til menneskene i en organisasjon - menneskene som bygger infrastrukturen, vedlikeholder infrastrukturen, løser hendelser og så gjennomgår dem," sier hun. "Alt dette er gjort av mennesker."

Fra hennes perspektiv, uansett hvor automatisert teknologien vår blir, er folk fortsatt den mest tilpasningsdyktige delen av systemet og årsaken til fortsatt suksess.

"Dette er grunnen til at du må gjenkjenne disse sosio-tekniske systemene som nettopp det, og deretter nærme deg hendelsesanalysen med samme forståelse," sier Jones.

Severski sier at sikkerhetsindustrien er full av meninger om hva som bør gjøres for å forbedre ting, og bemerker at Cyentia fortsetter å analysere store datasett i deres Information Risk Insights Study (IRIS) forskning.

"Å basere våre anbefalinger på faktiske feil og erfaringer fra dette er en langt mer effektiv tilnærming," sier han. "Vi setter stor pris på å studere hendelser i den virkelige verden."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics