Принятые показатели для измерения серьезности инцидентов безопасности, такие как среднее время восстановления (MTTR), могут быть не такими надежными, как считалось ранее, и не предоставляют группам ИТ-безопасности правильную информацию, согласно последнему отчету Verica Open Incident Database (VOID). .
Отчет основан на 10,000 600 инцидентах в чуть менее 100 компаниях, от компаний из списка Fortune XNUMX до стартапов. По словам Верики, объем собранных данных позволяет провести более глубокий статистический анализ для определения закономерностей и разоблачения предыдущих отраслевых предположений, которым не хватало статистических доказательств.
«На предприятиях используется одна из самых сложных инфраструктур в мире, поддерживающая многие аспекты нашей повседневной жизни, о чем большинство из нас даже не задумывается — до тех пор, пока что-то не перестанет работать», — говорит Нора Джонс, генеральный директор и соучредитель Jeli. «Их бизнес в значительной степени зависит от надежности сайта, и тем не менее инциденты не исчезают по мере того, как технологии становятся все более и более сложными».
«Большинство организаций принимают решения по управлению инцидентами на основе давних предположений», — говорит она, отмечая, что предприятия должны принимать решения на основе данных о том, как они подходят к организационной устойчивости.
Делитесь информацией, чтобы понимать инциденты
Кортни Нэш, ведущий аналитик Verica и создатель VOID, объясняет, что точно так же, как авиакомпании в конце 90-х и позже откладывали в сторону вопросы конкуренции, чтобы обмениваться информацией, предприятия обладают огромным объемом коммодитизированных знаний, которые они могли бы использовать. использовать, чтобы учиться друг у друга и продвигать отрасль вперед, делая то, что создается, более безопасным для всех.
«Сбор этих отчетов имеет большое значение, потому что программное обеспечение уже давно перешло от размещения фотографий кошек в Интернете к управлению транспортом, инфраструктурой, электросетями, программным обеспечением и устройствами для здравоохранения, системами голосования, автономными транспортными средствами и многими критически важными (часто критически важными для безопасности) социальными функциями». — говорит Нэш.
Дэвид Северски, старший научный сотрудник по безопасности данных в Cyentia Institute, отмечает, что предприятия могут видеть только свои собственные инциденты, что ограничивает возможность видеть и избегать более широких тенденций, влияющих на другие организации.
«Базы данных об инцидентах и отчеты, такие как [VOID], помогают им избежать туннельного видения и, надеюсь, действовать до того, как они сами столкнутся с проблемами», — говорит он.
Продолжительность и серьезность — это «поверхностные» данные
То, как организации переживают инциденты, различается, как и время, необходимое для разрешения этих инцидентов, независимо от серьезности. В отчете предостерегается, какие сценарии даже признаются «инцидентами» и на каком уровне различаются среди коллег внутри организации и неодинаковы для разных организаций.
Нэш объясняет продолжительность и серьезность «неглубокие» данные — они привлекательны, потому что кажутся ясно и конкретно объясняющими запутанные, удивительные ситуации, которые не поддаются простому обобщению. Однако измерение продолжительности не очень полезно.
«Продолжительность инцидента дает мало внутренней информации об инциденте, а серьезность часто обсуждается по-разному, даже в одной и той же команде», — говорит Нэш.
Серьезность может использоваться в качестве косвенного показателя влияния на клиента или, в других случаях, технических усилий, необходимых для исправления или срочности. «Он назначается субъективно по разным причинам, в том числе для привлечения внимания или получения помощи в связи с инцидентом, для инициирования — или предотвращения инициирования — проверки после инцидента или для получения одобрения руководства на желаемое финансирование, численность персонала и т. д., — говорит Нэш.
Согласно отчету, корреляции между продолжительностью и серьезностью инцидентов нет. Компании могут сталкиваться с длительными или короткими инцидентами, которые являются очень незначительными, экзистенциально критическими и почти любыми промежуточными сочетаниями.
«Продолжительность или серьезность не только не могут сказать команде, насколько они надежны или эффективны, но они также не сообщают ничего полезного о влиянии события или усилиях, необходимых для устранения инцидента», — говорит Нэш.
Анализировать прошлые инциденты
«Хотя MTTR бесполезен как метрика, никто не хочет, чтобы их инциденты продолжались дольше, чем они должны», — говорит она. «Чтобы лучше реагировать, компании должны сначала изучить, как они реагировали в прошлом, с помощью более глубокого анализа, который научит их множеству ранее непредвиденных факторов, как технических, так и организационных».
Джонс добавляет, что культура организации также будет играть роль в том, как команды отмечают инциденты и в какой степени.
«Все это возвращается к людям организации — людям, которые строят инфраструктуру, поддерживают инфраструктуру, разрешают инциденты, а затем анализируют их», — говорит она. «Все это делают люди».
С ее точки зрения, независимо от того, насколько автоматизированы наши технологии, люди по-прежнему являются наиболее адаптируемой частью системы и причиной постоянного успеха.
«Вот почему вы должны признать эти социально-технические системы именно такими, а затем подходить к анализу инцидентов с таким же пониманием», — говорит Джонс.
Северски говорит, что индустрия безопасности полна мнений о том, что нужно сделать, чтобы улучшить ситуацию, отметив, что Cyentia продолжает анализировать большие наборы данных в своем Исследовании информационных рисков (IRIS). исследованиям.
«Основание наших рекомендаций на реальных ошибках и извлеченных из них уроках — гораздо более эффективный подход», — говорит он. «Мы придаем большое значение изучению реальных инцидентов».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics
- 000
- 10
- 7
- a
- способность
- О нас
- По
- через
- Действие (Act):
- Добавляет
- затрагивающий
- авиакомпания
- Все
- среди
- количество
- анализ
- аналитик
- анализировать
- анализ
- и
- привлекательный
- появиться
- подхода
- утверждение
- назначенный
- Помощь
- внимание
- Автоматизированный
- автономный
- автономные транспортные средства
- назад
- основанный
- , так как:
- до
- Лучшая
- между
- Beyond
- тело
- Строительство
- построенный
- бизнес
- случаев
- Кошки
- Генеральный директор
- Очистить
- Соучредитель
- коллеги
- Сбор
- сочетание
- Компании
- конкурентоспособный
- комплекс
- Обеспокоенность
- последовательный
- продолжающийся
- продолжается
- Корреляция
- может
- создатель
- критической
- Культура
- клиент
- ежедневно
- данным
- ученый данных
- управляемых данными
- База данных
- базы данных
- Наборы данных
- сделка
- решения
- более глубокий
- Степень
- Определять
- Устройства
- различный
- каждый
- Эффективный
- усилие
- позволяет
- Проект и
- предприятий
- Даже
- События
- все члены
- , поскольку большинство сенаторов
- опыт
- Объясняет
- факторы
- First
- фиксированный
- Fortune
- вперед
- от
- полный
- Функции
- финансирование
- получить
- Go
- идет
- будет
- здравоохранение
- сильно
- помощь
- помогает
- High
- С надеждой
- кашель
- хостинг
- Как
- Однако
- HTTPS
- Влияние
- улучшать
- in
- В других
- углубленный
- инцидент
- В том числе
- промышленность
- информация
- Инфраструктура
- размышления
- Институт
- IT
- это безопасность
- знания
- большой
- Поздно
- последний
- вести
- УЧИТЬСЯ
- узнали
- Уроки
- Уроки, извлеченные
- уровень
- рамки
- мало
- Живет
- Длинное
- дольше
- сделать
- Создание
- управление
- многих
- Вопрос
- Вопросы
- измерение
- Метрика
- небольшая
- БОЛЕЕ
- самых
- почти
- Необходимость
- ONE
- онлайн
- открытый
- Мнения
- заказ
- организация
- организационной
- организации
- Другое
- собственный
- часть
- части
- мимо
- паттеранами
- Люди
- перспектива
- Картинки
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- пунктов
- мощностью
- предыдущий
- предварительно
- проблемам
- обеспечение
- полномочие
- Push
- ранжирование
- реальный мир
- причина
- причины
- признавать
- признанный
- рекомендаций
- Несмотря на
- надежность
- складская
- ремонт
- отчету
- Отчеты
- обязательный
- исследованиям
- упругость
- решения
- Реагируйте
- обзоре
- обзор
- Снижение
- Роли
- Бег
- безопаснее
- Сказал
- то же
- Сценарии
- Ученый
- безопасность
- старший
- смысл
- набор
- мелкий
- Поделиться
- Короткое
- должен
- просто
- сайте
- обстоятельства
- So
- социальный
- Software
- некоторые
- удалось
- сложный
- Стартапы
- статистический
- По-прежнему
- Кабинет
- изучение
- успех
- поддержки
- удивительный
- система
- системы
- TAG
- принимает
- команда
- команды
- Технический
- Технологии
- Ассоциация
- мир
- их
- сами
- вещи
- мышление
- мысль
- время
- в
- трансфер
- Тенденции
- вызвать
- срабатывание
- под
- понимать
- понимание
- непредвиденный
- острая необходимость
- us
- использование
- ценностное
- Ve
- Транспорт
- видение
- голосование
- способы
- Что
- который
- в то время как
- будете
- в
- без
- работает
- Мир
- доходность
- Ты
- ВАШЕ
- зефирнет