Dlaczego analiza wcześniejszych incydentów pomaga zespołom bardziej niż zwykłe pomiary bezpieczeństwa

Zgodnie z najnowszym raportem Open Incident Database (VOID) firmy Verica, akceptowane wskaźniki do pomiaru wagi incydentów bezpieczeństwa, takie jak średni czas do naprawy (MTTR), mogą nie być tak wiarygodne, jak wcześniej sądzono, i nie dostarczają zespołom ds. bezpieczeństwa IT prawidłowych informacji. .

Raport opiera się na 10,000 600 incydentów z prawie 100 firm, od Fortune XNUMXs po startupy. Ilość zebranych danych umożliwia głębszy poziom analizy statystycznej w celu określenia wzorców i obalenia wcześniejszych założeń branżowych, które nie miały dowodów statystycznych, powiedziała Verica.

„Przedsiębiorstwa dysponują najbardziej wyrafinowaną infrastrukturą na świecie, obsługującą wiele dziedzin naszego codziennego życia, o czym większość z nas nawet nie myśli — dopóki coś nie działa” — mówi Nora Jones, dyrektor generalny i współzałożyciel firmy Jeli. „Ich firmy w dużej mierze polegają na niezawodności witryn, a jednak incydenty nie znikają, ponieważ technologia staje się coraz bardziej złożona”.

„Większość organizacji podejmuje decyzje dotyczące zarządzania incydentami w oparciu o wieloletnie założenia” — mówi, zauważając, że przedsiębiorstwa muszą podejmować decyzje w oparciu o dane dotyczące podejścia do odporności organizacji.

Udostępniaj informacje, aby zrozumieć incydenty

Courtney Nash, główny analityk ds. badań w firmie Verica i twórca VOID, wyjaśnia, że ​​podobnie jak linie lotnicze odsuwały na bok obawy związane z konkurencją w późnych latach 90. używać, aby uczyć się od siebie nawzajem i popychać branżę do przodu, jednocześnie sprawiając, że to, co zostanie zbudowane, będzie bezpieczniejsze dla wszystkich.

„Zbieranie tych raportów ma znaczenie, ponieważ oprogramowanie już dawno przeszło od hostowania zdjęć kotów online do zarządzania transportem, infrastrukturą, sieciami energetycznymi, oprogramowaniem i urządzeniami medycznymi, systemami głosowania, pojazdami autonomicznymi i wieloma krytycznymi (często krytycznymi dla bezpieczeństwa) funkcjami społecznymi” Nash mówi.

David Severski, starszy analityk danych bezpieczeństwa w Cyentia Institute, zwraca uwagę, że przedsiębiorstwa widzą tylko własne incydenty, co ogranicza możliwość dostrzegania i unikania szerszych trendów wpływających na inne organizacje.

„Bazy danych o incydentach i raporty, takie jak [VOID], pomagają im uciec przed widzeniem w tunelu i miejmy nadzieję, że podejmą działania, zanim sami doświadczą problemów” — mówi.

Czas trwania i dotkliwość to „płytkie” dane

Sposób, w jaki organizacje doświadczają incydentów, jest różny, podobnie jak czas potrzebny na rozwiązanie tych incydentów, niezależnie od wagi. Raport ostrzega, które scenariusze są nawet uznawane za „incydent” i na jakim poziomie różnią się wśród współpracowników w organizacji i nie są spójne w różnych organizacjach.

Nash wyjaśnia czas trwania i dotkliwość „płytkie” dane — są pociągające, ponieważ wydają się wyjaśniać w jasny i konkretny sposób zawiłe, zaskakujące sytuacje, które nie nadają się do prostych podsumowań. Jednak mierzenie czasu trwania nie jest zbyt przydatne.

„Czas trwania incydentu dostarcza niewiele wewnętrznych informacji na temat incydentu, a jego wagę często negocjuje się na różne sposoby, nawet w tym samym zespole” — mówi Nash.

Istotność może służyć jako wskaźnik wpływu na klienta lub, w innych przypadkach, prac inżynieryjnych wymaganych do naprawy lub pilności. „Jest subiektywnie przypisywany z różnych powodów, w tym w celu zwrócenia uwagi lub uzyskania pomocy w związku z incydentem, wywołania — lub uniknięcia wywołania — przeglądu po incydencie lub uzyskania zgody kierownictwa na pożądane finansowanie, liczbę pracowników itd., – mówi Nash.

Według raportu nie ma korelacji między czasem trwania a dotkliwością incydentów. Firmy mogą mieć długie lub krótkie incydenty, które są bardzo drobne, egzystencjalnie krytyczne i prawie każdą kombinację pomiędzy nimi.

„Czas trwania lub dotkliwość nie tylko nie mogą powiedzieć zespołowi, na ile są niezawodne lub skuteczne, ale także nie przekazują niczego przydatnego na temat wpływu zdarzenia ani wysiłku wymaganego do poradzenia sobie z incydentem” — mówi Nash.

Analizuj przeszłe incydenty

„Podczas gdy MTTR nie jest przydatne jako metrykanikt nie chce, aby ich incydenty trwały dłużej, niż to konieczne” — mówi. „Aby lepiej reagować, firmy muszą najpierw zbadać, w jaki sposób reagowały w przeszłości, przeprowadzając bardziej dogłębną analizę, która nauczy ich wielu wcześniej nieprzewidzianych czynników, zarówno technicznych, jak i organizacyjnych”.

Jones dodaje, że kultura organizacji będzie również odgrywać rolę w sposobie oznaczania incydentów przez zespoły iw jakim stopniu.

„Wszystko to sprowadza się do ludzi w organizacji — ludzi budujących infrastrukturę, utrzymujących ją, rozwiązujących incydenty, a następnie przeglądających je” — mówi. „To wszystko robią ludzie”.

Z jej punktu widzenia, bez względu na to, jak zautomatyzowana zostanie nasza technologia, ludzie nadal są najbardziej elastyczną częścią systemu i powodem ciągłego sukcesu.

„Dlatego właśnie należy rozpoznać te systemy społeczno-techniczne, a następnie podejść do analizy incydentów z takim samym zrozumieniem” — mówi Jones.

Severski mówi, że branża bezpieczeństwa jest pełna opinii na temat tego, co należy zrobić, aby poprawić sytuację, zauważając, że Cyentia nadal analizuje duże zbiory danych w swoim badaniu Information Risk Insights Study (IRIS) Badania naukowe.

„Opieranie naszych zaleceń na rzeczywistych porażkach i wyciągniętych z nich wnioskach jest o wiele bardziej skutecznym podejściem” – mówi. „Przywiązujemy dużą wagę do badania rzeczywistych incydentów”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics