Varför analys av tidigare incidenter hjälper team med mer än vanligt säkerhetsmått

Accepterade mätvärden för att mäta allvarlighetsgraden av säkerhetsincidenter, som medeltid till reparation (MTTR), kanske inte är så tillförlitlig som tidigare trott och ger inte IT-säkerhetsteam den korrekta informationen, enligt Vericas senaste Open Incident Database (VOID) rapport .

Rapporten är baserad på 10,000 600 incidenter från knappt 100 företag, allt från Fortune XNUMXs till startups. Mängden data som samlas in möjliggör en djupare nivå av statistisk analys för att fastställa mönster och avfärda tidigare branschantaganden som saknade statistiska bevis, sa Verica.

"Företag driver några av de mest sofistikerade infrastrukturerna i världen och stödjer många delar av vårt dagliga liv, utan att de flesta av oss ens tänker på det - tills något inte fungerar", säger Nora Jones, VD och medgrundare av Jeli. "Deras verksamhet är starkt beroende av tillförlitlighet på platsen, och ändå försvinner inte incidenter eftersom tekniken blir mer och mer komplex."

"De flesta organisationer tar beslut om incidenthantering baserat på långvariga antaganden", säger hon och noterar att företag måste fatta datadrivna beslut om hur de närmar sig organisatorisk motståndskraft.

Dela information för att förstå incidenter

Courtney Nash, ledande forskningsanalytiker på Verica och skapare av VOID, förklarar att, på ungefär samma sätt som flygbolag lade konkurrensproblem åt sidan i slutet av 90-talet och därefter för att dela information, har företag en enorm mängd varubaserad kunskap som de kunde använda för att lära av varandra och driva branschen framåt, samtidigt som det som byggs blir säkrare för alla.

"Att samla in dessa rapporter är viktigt eftersom programvaran länge har gått från att vara värd för bilder av katter online till att driva transporter, infrastruktur, elnät, sjukvårdsmjukvara och enheter, röstsystem, autonoma fordon och många kritiska (ofta säkerhetskritiska) samhällsfunktioner." säger Nash.

David Severski, senior säkerhetsdataforskare vid Cyentia Institute, påpekar att företag bara kan se sina egna incidenter, vilket begränsar möjligheten att se och undvika bredare trender som påverkar andra organisationer.

"Incidentdatabaser och rapporter som [VOID] hjälper dem att fly från tunnelseende och förhoppningsvis agera innan de själva upplever problem", säger han.

Varaktighet och svårighetsgrad är "grunda" data

Hur organisationer upplever incidenter varierar, liksom lång tid det tar att lösa dessa incidenter, oavsett svårighetsgrad. Vilka scenarier som ens blir erkända som en "incident" och på vilken nivå varierar mellan kollegor inom en organisation och är inte konsekvent mellan organisationer, varnade rapporten.

Nash förklarar varaktighet och svårighetsgrad är "grunda" data — de är tilltalande eftersom de verkar ge en tydlig, konkret känsla av vad som är rörigt, överraskande situationer som inte lämpar sig för enkla sammanfattningar. Men att mäta varaktigheten är inte riktigt användbart.

"Längden på en incident ger lite internt användbar information om incidenten, och svårighetsgraden förhandlas ofta på olika sätt, även i samma team", säger Nash.

Allvarlighet kan användas som en proxy för kundpåverkan eller, i andra fall, ingenjörsinsatser som krävs för att fixa eller brådskande. "Det är subjektivt tilldelat, av olika skäl, inklusive för att uppmärksamma eller få hjälp för en incident, för att utlösa - eller undvika att utlösa - en granskning efter incidenten, eller för att få ledningens godkännande för önskad finansiering, antal anställda och så vidare, säger Nash.

Det finns inget samband mellan händelsernas varaktighet och svårighetsgrad, enligt rapporten. Företag kan ha långa eller korta incidenter som är mycket små, existentiellt kritiska och nästan alla kombinationer däremellan.

"Inte bara kan varaktighet eller svårighetsgrad inte berätta för ett team hur tillförlitliga eller effektiva de är, men de förmedlar inte heller något användbart om händelsens inverkan eller den ansträngning som krävs för att hantera incidenten", säger Nash.

Analysera tidigare incidenter

"Medan MTTR inte är användbart som ett mått, ingen vill att deras incidenter ska pågå längre än de måste, säger hon. "För att svara bättre måste företag först studera hur de har svarat tidigare med en mer djupgående analys, som kommer att lära dem om en mängd tidigare oförutsedda faktorer, både tekniska och organisatoriska."

Jones tillägger att kulturen i en organisation också kommer att spela en roll i hur team taggar incidenter och i vilken grad.

"Allt detta går tillbaka till människorna i en organisation - människorna som bygger infrastrukturen, underhåller infrastrukturen, löser incidenter och sedan granskar dem", säger hon. "Allt det här görs av människor."

Ur hennes perspektiv, oavsett hur automatiserad vår teknik blir, är människor fortfarande den mest anpassningsbara delen av systemet och orsaken till fortsatt framgång.

"Det är därför du måste känna igen dessa sociotekniska system som just det och sedan närma dig din incidentanalys med samma förståelse", säger Jones.

Severski säger att säkerhetsbranschen är full av åsikter om vad som bör göras för att förbättra saker och ting, och noterar att Cyentia fortsätter att analysera stora datamängder i sin Information Risk Insights Study (IRIS) forskning.

"Att basera våra rekommendationer på faktiska misslyckanden och lärdomar från detta är ett mycket mer effektivt tillvägagångssätt", säger han. "Vi sätter ett högt värde på att studera verkliga incidenter."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
• Källa: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics