Zakaj analiza preteklih incidentov pomaga ekipam bolj kot običajne varnostne meritve

Sprejete metrike za merjenje resnosti varnostnih incidentov, kot je srednji čas do popravila (MTTR), morda niso tako zanesljive, kot se je prej mislilo, in ekipam za varnost IT ne zagotavljajo pravilnih informacij, glede na najnovejše poročilo Verice o odprti zbirki podatkov o incidentih (VOID). .

Poročilo temelji na 10,000 incidentih iz nekaj manj kot 600 podjetij, od Fortune 100 do startupov. Količina zbranih podatkov omogoča globljo raven statistične analize za določitev vzorcev in razbijanje prejšnjih domnev industrije, ki niso imele statističnih dokazov, je dejala Verica.

»Podjetja upravljajo nekatere najbolj izpopolnjene infrastrukture na svetu, ki podpirajo številne dele našega vsakdanjega življenja, ne da bi večina od nas sploh pomislila na to – dokler nekaj ne deluje,« pravi Nora Jones, izvršna direktorica in soustanoviteljica Jeli. "Njihova podjetja so močno odvisna od zanesljivosti mesta, vendar incidenti ne izginejo, saj tehnologija postaja vse bolj zapletena."

»Večina organizacij sprejema odločitve o upravljanju incidentov, ki temeljijo na dolgotrajnih predpostavkah,« pravi in ​​ugotavlja, da morajo podjetja sprejemati odločitve, ki temeljijo na podatkih, o tem, kako pristopiti k odpornosti organizacij.

Delite informacije za razumevanje incidentov

Courtney Nash, vodilni raziskovalni analitik pri Verici in ustvarjalec VOID-a, pojasnjuje, da imajo podjetja na podoben način, kot so letalske družbe v poznih devetdesetih letih prejšnjega stoletja in pozneje pustile na stran skrbi za konkurenco, da bi delile informacije, ogromno komercializiranega znanja, ki bi ga lahko uporabljajte, da se učite drug od drugega in spodbujate industrijo naprej, hkrati pa poskrbite, da bo zgrajeno varnejše za vse.

"Zbiranje teh poročil je pomembno, ker je programska oprema že dolgo prešla od gostovanja slik mačk na spletu do vodenja transporta, infrastrukture, električnih omrežij, zdravstvene programske opreme in naprav, glasovalnih sistemov, avtonomnih vozil in številnih kritičnih (pogosto kritičnih za varnost) družbenih funkcij," Nash pravi.

David Severski, višji znanstvenik za varnostne podatke na inštitutu Cyentia, poudarja, da lahko podjetja vidijo samo svoje lastne incidente, kar omejuje možnost, da vidijo in se izognejo širšim trendom, ki vplivajo na druge organizacije.

»Baze podatkov o dogodkih in poročila, kot je [VOID], jim pomagajo pobegniti od tunelske vizije in upajmo, da ukrepajo, preden se sami soočijo s težavami,« pravi.

Trajanje in resnost sta 'plitka' podatka

Načini, na katere organizacije doživljajo incidente, se razlikujejo, prav tako tudi čas, ki je potreben za rešitev teh incidentov, ne glede na resnost. Kateri scenariji sploh postanejo prepoznani kot "incident" in na kateri ravni, se razlikuje med kolegi v organizaciji in ni dosleden med organizacijami, opozarja poročilo.

Nash pojasnjuje trajanje in resnost »plitvih« podatkov — so privlačni, ker se zdi, da dajejo jasen, konkreten pomen neurejenim, presenetljivim situacijam, ki jih ni mogoče preprosto povzeti. Vendar pa merjenje trajanja ni prav uporabno.

»Trajanje incidenta daje malo interno ukrepajočih informacij o incidentu, o resnosti pa se pogosto pogajajo na različne načine, tudi v isti ekipi,« pravi Nash.

Resnost se lahko uporabi kot približek za vpliv na stranko ali, v drugih primerih, inženirski napor, ki je potreben za popravilo ali nujnost. »Subjektivno je dodeljen iz različnih razlogov, vključno z namenom pritegniti pozornost ali pridobiti pomoč za incident, sprožiti – ali se izogniti sprožitvi – pregleda po incidentu ali pridobiti odobritev vodstva za želeno financiranje, število zaposlenih in tako naprej, « pravi Nash.

Glede na poročilo ni povezave med trajanjem in resnostjo incidentov. Podjetja imajo lahko dolge ali kratke incidente, ki so zelo majhni, eksistencialno kritični, in skoraj vsako kombinacijo vmes.

»Ne le, da trajanje ali resnost ekipi ne moreta povedati, kako zanesljiva ali učinkovita sta, ampak tudi ne povesta ničesar uporabnega o vplivu dogodka ali trudu, potrebnem za obravnavo incidenta,« pravi Nash.

Analizirajte pretekle dogodke

»Medtem ko MTTR ni uporaben kot metrikanihče noče, da bi njihovi incidenti trajali dlje, kot bi morali,« pravi. »Da bi se podjetja bolje odzvala, morajo najprej proučiti, kako so se odzvala v preteklosti, z bolj poglobljeno analizo, ki jih bo naučila o množici prej nepredvidenih dejavnikov, tako tehničnih kot organizacijskih.«

Jones dodaja, da bo kultura organizacije prav tako igrala vlogo pri tem, kako ekipe označujejo incidente in v kakšni meri.

»Vse to se vrača k ljudem v organizaciji – ljudem, ki gradijo infrastrukturo, vzdržujejo infrastrukturo, rešujejo incidente in jih nato pregledujejo,« pravi. "Vse to delajo ljudje."

Z njene perspektive so ljudje še vedno najbolj prilagodljiv del sistema in razlog za nadaljnji uspeh, ne glede na to, kako avtomatizirana postane naša tehnologija.

"Zato morate te družbeno-tehnične sisteme prepoznati kot prav te in nato z enakim razumevanjem pristopiti k analizi incidentov," pravi Jones.

Severski pravi, da je varnostna industrija polna mnenj o tem, kaj bi bilo treba storiti za izboljšanje stvari, in ugotavlja, da Cyentia še naprej analizira velike nabore podatkov v svoji študiji informacijskega tveganja (IRIS). Raziskave.

"Utemeljitev naših priporočil na dejanskih napakah in izkušnjah, pridobljenih s tem, je veliko bolj učinkovit pristop," pravi. "Veliko vrednost pripisujemo preučevanju incidentov v resničnem svetu."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics