เหตุใดเวลาเฉลี่ยในการซ่อมแซมจึงไม่ใช่เมตริกความปลอดภัยที่มีประโยชน์เสมอไป

ทีมรักษาความปลอดภัยได้ใช้แบบดั้งเดิม หมายถึงเวลาในการซ่อมแซม (MTTR) เป็นวิธีการวัดว่าพวกเขาจัดการเหตุการณ์ด้านความปลอดภัยได้อย่างมีประสิทธิภาพเพียงใด อย่างไรก็ตาม ความผันแปรของความรุนแรงของเหตุการณ์ ความคล่องตัวของทีม และความซับซ้อนของระบบอาจทำให้เมตริกความปลอดภัยนั้นมีประโยชน์น้อยลง คอร์ทนีย์ แนช หัวหน้านักวิเคราะห์การวิจัยของ Verica และผู้เขียนหลักของรายงานกล่าว เปิดรายงานฐานข้อมูลเหตุการณ์ (VOID)

MTTR เริ่มต้นในองค์กรการผลิตและเป็นการวัดเวลาเฉลี่ยที่ต้องใช้ในการซ่อมแซมส่วนประกอบหรืออุปกรณ์ทางกายภาพที่ล้มเหลว อุปกรณ์เหล่านี้มีการใช้งานที่ง่ายกว่าและคาดการณ์ได้โดยมีการสึกหรอซึ่งให้ค่าประมาณมาตรฐานที่สมเหตุสมผลและสอดคล้องกันของ MTTR เมื่อเวลาผ่านไป การใช้ MTTR ได้ขยายไปสู่ระบบซอฟต์แวร์ และบริษัทซอฟต์แวร์ก็เริ่มใช้ MTTR เป็นตัวบ่งชี้ความน่าเชื่อถือของระบบและความคล่องตัวหรือประสิทธิผลของทีม

น่าเสียดายที่ Nash กล่าวว่า ความแปรปรวนของมันหมายความว่า MTTR อาจนำไปสู่ความเชื่อมั่นที่ผิดพลาดหรือทำให้เกิดความกังวลโดยไม่จำเป็น

“ไม่ใช่เมตริกที่เหมาะสมสำหรับระบบซอฟต์แวร์ที่ซับซ้อน ส่วนหนึ่งเป็นเพราะการกระจายข้อมูลระยะเวลาที่คลาดเคลื่อน และเนื่องจากความล้มเหลวในระบบดังกล่าวไม่ได้เกิดขึ้นอย่างสม่ำเสมอเมื่อเวลาผ่านไป” แนชกล่าว “ความล้มเหลวแต่ละครั้งมีความแตกต่างกันโดยเนื้อแท้ ไม่เหมือนกับปัญหาเกี่ยวกับอุปกรณ์การผลิตทางกายภาพ”

ย้ายออกจาก MTTR

“[MTTR] บอกเราเพียงเล็กน้อยเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจริงสำหรับองค์กร ซึ่งอาจแตกต่างกันอย่างมากในแง่ของจำนวนคนและทีมที่เกี่ยวข้อง ระดับความเครียด สิ่งที่จำเป็นทางเทคนิคและองค์กรในการแก้ไข และอะไร ทีมได้เรียนรู้ผลลัพธ์” แนชกล่าว

MTTR ตกเป็นเหยื่อของการทำให้เหตุการณ์ง่ายขึ้นมากเกินไป เนื่องจากคำนวณค่าเฉลี่ย — เวลาเฉลี่ย Nora Jones ซีอีโอและผู้ร่วมก่อตั้ง Jeli กล่าว เพียงแค่วัดค่าเฉลี่ยเพียงครั้งเดียวของเวลาที่รายงาน (และเวลาที่รายงานเหล่านั้นได้รับการพิสูจน์แล้วว่าไม่น่าเชื่อถือตั้งแต่แรก) ยับยั้งไม่ให้องค์กรมองเห็นและจัดการกับสิ่งที่เกิดขึ้นภายในโครงสร้างพื้นฐาน สิ่งที่ก่อให้เกิดเหตุการณ์ที่เกิดซ้ำนั้น และผู้คนเป็นอย่างไร การตอบสนองต่อเหตุการณ์

“เหตุการณ์มีหลายรูปแบบและทุกขนาด — คุณจะเห็นเหตุการณ์ครอบคลุมทั้งความรุนแรง ผลกระทบต่อลูกค้า และความซับซ้อนในการแก้ปัญหาทั้งหมดภายในองค์กรเดียว” โจนส์อธิบาย “คุณต้องมองที่ผู้คนและเครื่องมือร่วมกันจริงๆ และใช้แนวทางเชิงคุณภาพในการวิเคราะห์เหตุการณ์”

อย่างไรก็ตาม แนชกล่าวว่าการย้ายออกจาก MTTR ไม่ใช่การเปลี่ยนแปลงข้ามคืน — มันไม่ง่ายเหมือนการเปลี่ยนเมตริกหนึ่งไปยังอีกเมตริกหนึ่ง

“ท้ายที่สุดแล้ว ความซื่อสัตย์เกี่ยวกับปัจจัยที่สนับสนุน และบทบาทที่ผู้คนมีต่อการแก้ปัญหา” เธอกล่าว “ฟังดูง่าย แต่ต้องใช้เวลา และนี่คือกิจกรรมที่เป็นรูปธรรมที่จะสร้างเมตริกที่ดีขึ้น”

ขยายขอบเขตการใช้เมตริก

แนชพูดว่า วิเคราะห์และเรียนรู้จากเหตุการณ์ที่เกิดขึ้น เป็นเส้นทางที่เหมาะสมในการค้นหาข้อมูลเชิงลึกและตัวชี้วัด ทีมสามารถรวบรวมสิ่งต่าง ๆ เช่น จำนวนผู้ที่เกี่ยวข้องในเหตุการณ์ จำนวนทีมที่ไม่ซ้ำกันที่เกี่ยวข้อง เครื่องมือที่คนใช้; มีช่องแชทกี่ช่อง และหากมีเหตุการณ์เกิดขึ้นพร้อมกัน

เมื่อองค์กรมีการดำเนินการที่ดีขึ้น รีวิวเหตุการณ์ และการเรียนรู้จากพวกเขา จะเริ่มเห็นแรงผลักดันในสิ่งต่างๆ เช่น จำนวนคนที่เข้าร่วมการประชุมทบทวนหลังเหตุการณ์ การอ่านและการแบ่งปันรายงานหลังเหตุการณ์ที่เพิ่มขึ้น และการใช้รายงานเหล่านั้นในสิ่งต่างๆ เช่น การทบทวนโค้ด การฝึกอบรม และการเริ่มต้นใช้งาน

David Severski นักวิทยาศาสตร์ข้อมูลความปลอดภัยอาวุโสของ Cyentia Institute กล่าวว่าเมื่อทำงานกับ Verizon DBIR นั้น Cyentia ได้สร้างและเผยแพร่คำศัพท์สำหรับการรายงานเหตุการณ์และการแบ่งปันเหตุการณ์เพื่อขยายประเภทของเมตริกที่ใช้ในการวัดเหตุการณ์

"มันกำหนดจุดข้อมูลที่เราคิดว่ามีความสำคัญในการรวบรวมเกี่ยวกับเหตุการณ์ด้านความปลอดภัย" เขากล่าว “เรายังคงใช้เทมเพลตพื้นฐานนี้ในการวิจัยของ Cyentia พร้อมกับการอัปเดตบางอย่าง เช่น การระบุ ATT&CK TTP ที่ใช้”

เมตริกสำหรับการวัดเหตุการณ์ไม่ได้มีขนาดเดียวที่เหมาะกับทุกขนาดและประเภทองค์กร “ทีมต่างๆ เข้าใจว่าพวกเขาอยู่ที่ไหนในปัจจุบัน ประเมินว่าลำดับความสำคัญของพวกเขาอยู่ที่ใดภายในข้อจำกัดปัจจุบัน และเข้าใจว่าเมตริกโฟกัสของพวกเขาอาจพัฒนาไปตามกาลเวลาเมื่อองค์กรของพวกเขาพัฒนาและปรับขนาด” โจนส์กล่าว

นอกจากนี้ยังเกี่ยวกับการเปลี่ยนโฟกัสไปยังการเรียนรู้ จากนั้นปรับปรุงอย่างต่อเนื่องตามการเรียนรู้เหล่านั้น เช่น เปลี่ยนไปประเมินแนวโน้มและดูว่าสิ่งต่างๆ มีแนวโน้มไปในทิศทางที่ถูกต้องเมื่อเวลาผ่านไปหรือไม่ ตรงข้ามกับการวัดแบบจุดเดียวในเวลา

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/edge-articles/why-mean-time-to-repair-no-longer-serves-as-a-useful-security-metric