Echipele de securitate au folosit în mod tradițional timpul mediu pentru reparare (MTTR) ca o modalitate de a măsura cât de eficient gestionează incidentele de securitate. Cu toate acestea, variațiile în severitatea incidentului, agilitatea echipei și complexitatea sistemului pot face acea măsură de securitate mai puțin utilă, spune Courtney Nash, analist principal de cercetare la Verica și autorul principal al studiului. Raportul Open Incident Database (VOID).
MTTR își are originea în organizațiile de producție și era o măsură a timpului mediu necesar pentru a repara o componentă sau un dispozitiv fizic defect. Aceste dispozitive aveau operațiuni mai simple, previzibile, cu uzură și uzură, care se pretau la estimări rezonabile standard și consecvente ale MTTR. De-a lungul timpului, utilizarea MTTR s-a extins la sistemele software, iar companiile de software au început să-l folosească ca indicator al fiabilității sistemului și al agilității sau eficacității echipei.
Din păcate, spune Nash, variabilitatea sa înseamnă că MTTR ar putea fie să conducă la o încredere falsă, fie să provoace îngrijorări inutile.
„Nu este o măsură adecvată pentru sisteme software complexe, în parte din cauza distribuției neregulate a datelor de durată și pentru că eșecurile în astfel de sisteme nu apar uniform în timp”, spune Nash. „Fiecare eșec este în mod inerent diferit, spre deosebire de problemele legate de dispozitivele fizice de producție.”
Îndepărtarea de MTTR
„[MTTR] ne spune puțin despre cum este cu adevărat un incident pentru organizație, care poate varia foarte mult în ceea ce privește numărul de oameni și echipe implicate, nivelul de stres, ce este necesar din punct de vedere tehnic și organizațional pentru a-l remedia și ce echipa a învățat ca rezultat”, spune Nash.
MTTR este victima simplificării excesive a incidentelor, deoarece calculează o medie - timpul mediu, spune Nora Jones, CEO și co-fondatorul Jeli. Pur și simplu măsurarea acestei medii unice a timpilor raportați (și acei timpi raportați s-a dovedit, de asemenea, că nu sunt de încredere în primul rând) împiedică organizațiile să vadă și să abordeze ceea ce se întâmplă în cadrul infrastructurii, ce contribuie la acel incident recurent și cum sunt oamenii. răspuns la incidente.
„Incidențele au toate formele și dimensiunile – le veți vedea cuprinzând întreaga gamă de severitate, impact asupra clienților și complexitatea rezoluției, toate într-o singură organizație”, explică Jones. „Trebuie să priviți împreună oamenii și instrumentele și să adoptați o abordare calitativă a analizei incidentelor.”
Cu toate acestea, Nash spune că îndepărtarea de la MTTR nu este o tură peste noapte - nu este la fel de simplu ca doar schimbarea unei valori cu alta.
„La sfârșitul zilei, este să fii sincer cu privire la factorii care contribuie și la rolul pe care îl joacă oamenii în găsirea de soluții”, spune ea. „Sună simplu, dar este nevoie de timp, iar acestea sunt activitățile concrete care vor construi valori mai bune.”
Extinderea utilizării metricilor
spune Nash analizând şi învăţând din incidente este calea ideală pentru a găsi date și valori mai perspicace. O echipă poate colecta lucruri precum numărul de persoane implicate practic într-un incident; câte echipe unice au fost implicate; ce instrumente au folosit oamenii; câte canale de chat au existat; iar dacă au existat incidente concurente.
Pe măsură ce o organizație devine mai bună la conducere recenzii de incidente și, învățând de la ei, va începe să se afle în lucruri precum numărul de persoane care participă la întâlnirile de evaluare post-incident, creșterea citirii și partajarea rapoartelor post-incidentă și utilizarea acestor rapoarte în lucruri precum revizuirea codului, instruirea și integrarea.
David Severski, cercetător senior al datelor de securitate la Institutul Cyentia, spune că atunci când lucra la Verizon DBIR, Cyentia a creat și a lansat Vocabularul pentru raportarea evenimentelor și partajarea incidentelor pentru a extinde tipurile de metrici utilizate pentru măsurarea unui incident.
„Definește puncte de date despre care considerăm că este important să le colectăm cu privire la incidentele de securitate”, spune el. „Încă folosim acest șablon de bază în cercetarea Cyentia cu unele actualizări, de exemplu, identificând TTP-urile ATT&CK utilizate.”
Valorile pentru măsurarea unui incident nu sunt unice pentru toate dimensiunile și tipurile de organizații. „Echipele înțeleg unde se află astăzi, evaluează unde se află prioritățile lor în limitele actuale și înțeleg că valorile lor de focalizare ar putea chiar evolua în timp pe măsură ce organizația lor se dezvoltă și se extinde”, spune Jones.
În plus, este vorba despre schimbarea atenției asupra învățării și apoi îmbunătățirea continuă pe baza acelor învățari, de exemplu trecerea la evaluarea tendințelor și dacă lucrurile merg în direcția corectă în timp, spre deosebire de valorile punctuale în timp.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/edge-articles/why-mean-time-to-repair-no-longer-serves-as-a-useful-security-metric
- 7
- a
- Despre Noi
- peste
- activităţi de
- adresare
- TOATE
- mereu
- analiză
- analist
- și
- O alta
- abordare
- adecvat
- participarea
- autor
- in medie
- bazat
- de bază
- deoarece
- început
- fiind
- Mai bine
- construi
- calcularea
- Provoca
- CEO
- canale
- Co-fondator
- cod
- colecta
- cum
- venire
- Companii
- Completă
- complex
- complexitate
- component
- Îngrijorare
- concurent
- efectuarea
- încredere
- consistent
- constrângeri
- contribuind
- ar putea
- a creat
- Curent
- clienţii care
- de date
- puncte de date
- om de știință de date
- Baza de date
- zi
- defineste
- dezvoltă
- dispozitiv
- Dispozitive
- diferit
- direcţie
- distribuire
- fiecare
- în mod eficient
- eficacitate
- oricare
- estimări
- Chiar
- eveniment
- evolua
- exemplu
- Extinde
- extins
- explică
- factori
- A eșuat
- Eșec
- Falls
- descoperire
- First
- Repara
- Concentra
- din
- merge
- Manipularea
- hands-on
- Cum
- Totuși
- HTTPS
- ideal
- identificarea
- Impactul
- important
- îmbunătățirea
- in
- incident
- a crescut
- Indicator
- Infrastructură
- Institut
- implicat
- probleme de
- IT
- conduce
- învățat
- învăţare
- Nivel
- mic
- Uite
- Principal
- face
- de fabricaţie
- multe
- mijloace
- măsura
- măsurare
- reuniuni
- metric
- Metrici
- ar putea
- mai mult
- în mişcare
- număr
- La imbarcare
- ONE
- Operațiuni
- opus
- organizație
- organizații
- originea
- peste noapte
- parte
- cale
- oameni
- fizic
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- Joaca
- puncte
- predictibil
- dovedit
- gamă
- Citind
- recurente
- eliberat
- încredere
- de încredere
- repara
- raportează
- Raportat
- Raportarea
- Rapoarte
- necesar
- cercetare
- Rezoluţie
- rezultat
- revizuiască
- Recenzii
- Rol
- cântare
- Om de stiinta
- securitate
- vedere
- senior
- forme
- partajarea
- schimbare
- SCHIMBARE
- simplu
- pur şi simplu
- singur
- Mărimea
- dimensiuni
- Software
- soluţii
- unele
- standard
- Începe
- Încă
- stres
- astfel de
- sistem
- sisteme
- Lua
- ia
- echipă
- echipe
- spune
- șablon
- termeni
- lor
- se
- lucruri
- timp
- ori
- la
- astăzi
- împreună
- Unelte
- tracțiune
- tradiţional
- Pregătire
- trend
- Tendinţe
- Tipuri
- înţelege
- unic
- actualizări
- us
- utilizare
- utilizate
- Verizon
- Victimă
- Ce
- Ce este
- care
- voi
- în
- de lucru
- Tu
- zephyrnet
