เหตุใดการวิเคราะห์เหตุการณ์ในอดีตจึงช่วยทีมได้มากกว่าการวัดความปลอดภัยตามปกติ

เมตริกที่ยอมรับสำหรับการวัดความรุนแรงของเหตุการณ์ด้านความปลอดภัย เช่น เวลาเฉลี่ยในการซ่อมแซม (MTTR) อาจไม่น่าเชื่อถืออย่างที่คิดไว้ก่อนหน้านี้ และไม่ได้ให้ข้อมูลที่ถูกต้องแก่ทีมรักษาความปลอดภัยด้านไอที ตามรายงาน Open Incident Database (VOID) ล่าสุดของ Verica .

รายงานนี้อ้างอิงจากเหตุการณ์ 10,000 เหตุการณ์จากบริษัทเพียงไม่ถึง 600 แห่ง ตั้งแต่บริษัทระดับ Fortune 100 ไปจนถึงสตาร์ทอัพ จำนวนข้อมูลที่รวบรวมได้ช่วยให้การวิเคราะห์ทางสถิติในระดับที่ลึกขึ้นเพื่อกำหนดรูปแบบและหักล้างข้อสันนิษฐานของอุตสาหกรรมก่อนหน้านี้ที่ขาดหลักฐานทางสถิติ Verica กล่าว

Nora Jones ซีอีโอและผู้ร่วมก่อตั้ง Jeli กล่าวว่า “องค์กรต่างๆ กำลังใช้งานโครงสร้างพื้นฐานที่ทันสมัยที่สุดในโลก ซึ่งสนับสนุนหลายส่วนในชีวิตประจำวันของเรา โดยที่เราส่วนใหญ่ไม่ต้องคิดด้วยซ้ำ “ธุรกิจของพวกเขาพึ่งพาความน่าเชื่อถือของไซต์อย่างมาก แต่เหตุการณ์ต่างๆ ก็ยังไม่หายไปเมื่อเทคโนโลยีมีความซับซ้อนมากขึ้นเรื่อยๆ”

“องค์กรส่วนใหญ่ดำเนินการตัดสินใจในการจัดการเหตุการณ์ตามสมมติฐานที่มีมาอย่างยาวนาน” เธอกล่าว โดยสังเกตว่าองค์กรต่างๆ จำเป็นต้องทำการตัดสินใจที่ขับเคลื่อนด้วยข้อมูลว่าพวกเขาเข้าใกล้ความยืดหยุ่นขององค์กรอย่างไร

แบ่งปันข้อมูลเพื่อทำความเข้าใจเหตุการณ์

คอร์ทนีย์ แนช หัวหน้านักวิเคราะห์การวิจัยของ Verica และผู้สร้าง VOID อธิบายว่า ในลักษณะเดียวกับที่บริษัทสายการบินตั้งข้อกังวลด้านการแข่งขันในช่วงปลายทศวรรษที่ 90 และหลังจากนั้นเพื่อแบ่งปันข้อมูล องค์กรต่าง ๆ ก็มีความรู้มากมายที่สามารถปรับเปลี่ยนได้ ใช้เพื่อเรียนรู้จากกันและกันและผลักดันอุตสาหกรรมไปข้างหน้า ในขณะเดียวกันก็สร้างสิ่งที่สร้างขึ้นให้ปลอดภัยยิ่งขึ้นสำหรับทุกคน

“การรวบรวมรายงานเหล่านี้มีความสำคัญเนื่องจากซอฟต์แวร์ได้เปลี่ยนจากการโฮสต์รูปภาพแมวออนไลน์ไปสู่การขนส่ง โครงสร้างพื้นฐาน โครงข่ายไฟฟ้า ซอฟต์แวร์และอุปกรณ์ด้านการดูแลสุขภาพ ระบบการลงคะแนนเสียง ยานพาหนะอัตโนมัติ และหน้าที่ทางสังคมที่สำคัญมากมาย แนชพูดว่า

David Severski นักวิทยาศาสตร์ข้อมูลด้านความปลอดภัยอาวุโสของ Cyentia Institute ชี้ให้เห็นว่าองค์กรต่างๆ สามารถมองเห็นเหตุการณ์ของตนเองได้เท่านั้น ซึ่งจะจำกัดความสามารถในการมองเห็นและหลีกเลี่ยงแนวโน้มในวงกว้างที่ส่งผลกระทบต่อองค์กรอื่นๆ

“ฐานข้อมูลเหตุการณ์และรายงานเช่น [VOID] ช่วยให้พวกเขารอดพ้นจากการมองเห็นในอุโมงค์ และหวังว่าจะลงมือก่อนที่พวกเขาจะประสบปัญหาเสียเอง” เขากล่าว

ระยะเวลาและความรุนแรงเป็นข้อมูลที่ 'ตื้น'

วิธีที่องค์กรประสบกับเหตุการณ์แตกต่างกันไป เช่นเดียวกับการใช้เวลานานในการแก้ไขเหตุการณ์เหล่านั้น โดยไม่คำนึงถึงความรุนแรง รายงานเตือนว่าสถานการณ์ใดบ้างที่ได้รับการยอมรับว่าเป็น "เหตุการณ์" และระดับใดที่แตกต่างกันระหว่างเพื่อนร่วมงานภายในองค์กรและไม่สอดคล้องกันในองค์กร

แนชอธิบายระยะเวลาและความรุนแรงคือ ข้อมูล "ตื้น" — พวกเขาดูน่าดึงดูดเพราะพวกเขาดูเหมือนจะเข้าใจอย่างชัดเจนและเป็นรูปธรรมว่าอะไรที่ยุ่งเหยิงและสถานการณ์ที่น่าประหลาดใจซึ่งไม่เอื้อต่อการสรุปง่ายๆ อย่างไรก็ตาม การวัดระยะเวลาไม่ได้มีประโยชน์มากนัก

“ระยะเวลาของเหตุการณ์ให้ข้อมูลที่ดำเนินการภายในเพียงเล็กน้อยเกี่ยวกับเหตุการณ์นั้น และความรุนแรงมักถูกต่อรองด้วยวิธีที่แตกต่างกัน แม้จะอยู่ในทีมเดียวกัน” แนชกล่าว

ความรุนแรงอาจถูกใช้เป็นพร็อกซีสำหรับผลกระทบของลูกค้า หรือในกรณีอื่นๆ ต้องใช้ความพยายามทางวิศวกรรมเพื่อแก้ไขหรือเร่งด่วน “มันถูกกำหนดโดยอัตวิสัยด้วยเหตุผลที่แตกต่างกันไป รวมถึงเพื่อดึงความสนใจหรือขอความช่วยเหลือสำหรับเหตุการณ์ เพื่อกระตุ้น — หรือหลีกเลี่ยงการกระตุ้น — การตรวจสอบหลังเหตุการณ์ หรือเพื่อรวบรวมการอนุมัติจากฝ่ายบริหารสำหรับเงินทุนที่ต้องการ จำนวนพนักงาน และอื่นๆ "แนชพูด

ไม่มีความสัมพันธ์ระหว่างระยะเวลาและความรุนแรงของเหตุการณ์ ตามรายงาน บริษัทต่างๆ สามารถมีเหตุการณ์ที่ยาวนานหรือสั้นที่เป็นเรื่องเล็กน้อย มีความสำคัญอย่างยิ่งยวด และเกือบทุกอย่างรวมกันระหว่างนั้น

“ไม่เพียงแต่ระยะเวลาหรือความรุนแรงเท่านั้นที่ไม่สามารถบอกทีมได้ว่าเชื่อถือได้หรือมีประสิทธิภาพเพียงใด แต่พวกเขายังไม่ได้สื่อถึงสิ่งที่เป็นประโยชน์เกี่ยวกับผลกระทบของเหตุการณ์หรือความพยายามที่จำเป็นในการจัดการกับเหตุการณ์” แนชกล่าว

วิเคราะห์เหตุการณ์ในอดีต

“แม้ว่า MTTR จะไม่มีประโยชน์ เป็นเมตริกไม่มีใครต้องการให้เหตุการณ์ของพวกเขาดำเนินต่อไปนานกว่าที่ควรจะเป็น” เธอกล่าว “เพื่อตอบสนองได้ดีขึ้น บริษัทต่างๆ ต้องศึกษาวิธีการตอบสนองในอดีตก่อนด้วยการวิเคราะห์เชิงลึก ซึ่งจะสอนพวกเขาเกี่ยวกับปัจจัยที่คาดไม่ถึงก่อนหน้านี้ ทั้งด้านเทคนิคและองค์กร”

โจนส์เสริมว่าวัฒนธรรมขององค์กรจะมีบทบาทในการแท็กเหตุการณ์ของทีมและในระดับใด

“ทั้งหมดนี้ย้อนกลับไปที่บุคลากรขององค์กร — ผู้คนที่สร้างโครงสร้างพื้นฐาน บำรุงรักษาโครงสร้างพื้นฐาน แก้ไขเหตุการณ์ที่เกิดขึ้น และตรวจสอบเหตุการณ์เหล่านั้น” เธอกล่าว "ทั้งหมดนี้ทำโดยคน"

จากมุมมองของเธอ ไม่ว่าเทคโนโลยีของเราจะเป็นแบบอัตโนมัติเพียงใด คนก็ยังคงเป็นส่วนที่ปรับตัวได้ดีที่สุดของระบบและเป็นเหตุผลของความสำเร็จอย่างต่อเนื่อง

“นี่คือเหตุผลที่คุณต้องยอมรับว่าระบบทางเทคนิคและสังคมเหล่านี้เป็นเพียงระบบนั้น จากนั้นจึงเข้าหาการวิเคราะห์เหตุการณ์ของคุณด้วยความเข้าใจแบบเดียวกัน” โจนส์กล่าว

Severski กล่าวว่าอุตสาหกรรมความปลอดภัยเต็มไปด้วยความคิดเห็นเกี่ยวกับสิ่งที่ควรทำเพื่อปรับปรุงสิ่งต่างๆ โดยสังเกตว่า Cyentia ยังคงวิเคราะห์ชุดข้อมูลขนาดใหญ่ในการศึกษาข้อมูลเชิงลึกเกี่ยวกับความเสี่ยงด้านข้อมูล (IRIS) การวิจัย.

“การทำตามคำแนะนำของเราเกี่ยวกับความล้มเหลวที่เกิดขึ้นจริงและบทเรียนที่ได้รับจากสิ่งนี้เป็นแนวทางที่มีประสิทธิภาพมากกว่า” เขากล่าว “เราให้ความสำคัญกับการศึกษาเหตุการณ์ในโลกแห่งความเป็นจริงเป็นอย่างสูง”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics