Geçmiş Olayları Analiz Etmek, Ekiplere Neden Normal Güvenlik Metriklerinden Daha Fazla Yardımcı Olur?

Verica'nın en son Açık Olay Veritabanı (VOID) raporuna göre, ortalama onarım süresi (MTTR) gibi güvenlik olaylarının ciddiyetini ölçmek için kabul edilen metrikler, daha önce düşünüldüğü kadar güvenilir olmayabilir ve BT güvenlik ekiplerine doğru bilgileri sağlamıyor olabilir. .

Rapor, Fortune 10,000'lerden yeni kurulan şirketlere kadar 600'den az şirketten 100 olaya dayanıyor. Verica, toplanan veri miktarının kalıpları belirlemek ve istatistiksel kanıttan yoksun önceki endüstri varsayımlarını çürütmek için daha derin bir istatistiksel analiz düzeyi sağladığını söyledi.

Jeli'nin CEO'su ve kurucu ortağı Nora Jones, "Şirketler dünyadaki en gelişmiş altyapılardan bazılarını çalıştırıyor ve çoğumuz bir şeyler yolunda gitmeyene kadar düşünmeden günlük hayatımızın birçok bölümünü destekliyor" diyor. "İşleri, site güvenilirliğine büyük ölçüde güveniyor ve yine de teknoloji giderek daha karmaşık hale geldikçe olaylar ortadan kalkmıyor."

"Çoğu kuruluş, olay yönetimi kararlarını uzun süredir devam eden varsayımlara dayalı olarak yürütüyor" diyor ve işletmelerin kurumsal esnekliğe nasıl yaklaşacakları konusunda veriye dayalı kararlar almaları gerektiğine dikkat çekiyor.

Olayları Anlamak için Bilgi Paylaşma

Verica'nın baş araştırma analisti ve VOID'in yaratıcısı Courtney Nash, tıpkı havayolu şirketlerinin 90'ların sonlarında ve sonrasında bilgi paylaşmak için rekabet kaygılarını bir kenara bırakması gibi, işletmelerin de muazzam bir metalaştırılmış bilgi birikimine sahip olduklarını açıklıyor. inşa edileni herkes için daha güvenli hale getirirken, birbirinizden öğrenmek ve sektörü ileriye taşımak için kullanın.

"Bu raporların toplanması önemlidir çünkü yazılım, kedilerin resimlerini çevrimiçi olarak barındırmaktan ulaşım, altyapı, elektrik şebekeleri, sağlık hizmetleri yazılımları ve cihazları, oylama sistemleri, otonom araçlar ve birçok kritik (genellikle güvenlik açısından kritik) toplumsal işlevlere geçiş yapmıştır." Nash diyor.

Cyentia Enstitüsü'nde kıdemli güvenlik veri bilimcisi olan David Severski, kuruluşların yalnızca kendi olaylarını görebildiğine, bunun da diğer kuruluşları etkileyen daha geniş eğilimleri görme ve bunlardan kaçınma yeteneğini sınırladığına dikkat çekiyor.

"[VOID] gibi olay veritabanları ve raporları, tünel vizyonundan kaçmalarına yardımcı oluyor ve umarım sorunları kendileri yaşamadan önce harekete geçiyorlar" diyor.

Süre ve Önem Derecesi 'Sığ' Verilerdir

Kuruluşların olayları nasıl deneyimlediği, ciddiyetine bakılmaksızın bu olayları çözmenin ne kadar sürdüğüne göre değişir. Raporda, hangi senaryoların bir "olay" olarak kabul edileceği ve hangi düzeyde bir kuruluş içindeki meslektaşlar arasında değişiklik gösterdiği ve kuruluşlar arasında tutarlı olmadığı konusunda uyarıda bulunuldu.

Nash, süre ve ciddiyetin “sığ” veri - çekiciler çünkü basit özetlere uygun olmayan karmaşık, şaşırtıcı durumlara dair net, somut anlamlar veriyor gibi görünüyorlar. Ancak, süreyi ölçmek gerçekten yararlı değildir.

Nash, "Bir olayın süresi, olayla ilgili dahili olarak eyleme geçirilebilir çok az bilgi verir ve önem derecesi genellikle aynı ekipte bile farklı şekillerde müzakere edilir" diyor.

Önem derecesi, müşteri etkisi veya diğer durumlarda, düzeltme veya aciliyet için gereken mühendislik çabası için bir vekil olarak kullanılabilir. "Bir olaya dikkat çekmek veya olay için yardım almak, olay sonrası bir incelemeyi tetiklemek veya tetiklemekten kaçınmak veya istenen finansman, personel sayısı vb. ”Diyor Nash.

Rapora göre, olayların süresi ve ciddiyeti arasında bir ilişki yok. Şirketler, çok küçük, varoluşsal olarak kritik ve aradaki hemen hemen her kombinasyonu içeren uzun veya kısa olaylara sahip olabilir.

Nash, "Süre veya ciddiyet, bir ekibe ne kadar güvenilir veya etkili olduklarını söyleyemez, aynı zamanda olayın etkisi veya olayla başa çıkmak için gereken çaba hakkında yararlı hiçbir şey ifade etmez" diyor.

Geçmiş Olayları Analiz Edin

"MTTR kullanışlı olmasa da bir metrik olarak, kimse olaylarının gereğinden fazla devam etmesini istemiyor” diyor. "Daha iyi yanıt verebilmek için şirketlerin önce geçmişte nasıl tepki verdiklerini daha derinlemesine analizlerle incelemeleri gerekir; bu onlara hem teknik hem de organizasyonel olmak üzere daha önce öngörülemeyen bir dizi faktör hakkında bilgi verecektir."

Jones, bir organizasyonun kültürünün ekiplerin olayları nasıl ve ne ölçüde etiketleyeceği konusunda da rol oynayacağını ekliyor.

"Bunların hepsi bir kuruluştaki insanlara geri dönüyor - altyapıyı inşa eden, altyapıyı koruyan, olayları çözen ve ardından bunları gözden geçiren insanlar" diyor. "Bütün bunlar insanlar tarafından yapılıyor."

Onun bakış açısına göre, teknolojimiz ne kadar otomatikleşirse gelişsin, insanlar hala sistemin en uyumlu parçası ve sürekli başarının nedeni.

Jones, "İşte bu nedenle, bu sosyo-teknik sistemleri tam olarak böyle kabul etmeli ve ardından olay analizinize aynı anlayışla yaklaşmalısınız" diyor.

Severski, Cyentia'nın Bilgi Riski Öngörüleri Çalışmasında (IRIS) büyük veri kümelerini analiz etmeye devam ettiğini belirterek, güvenlik endüstrisinin işleri iyileştirmek için yapılması gerekenler konusunda fikirlerle dolu olduğunu söylüyor. araştırma.

"Önerilerimizi gerçek başarısızlıklara ve bundan çıkarılan derslere dayandırmak çok daha etkili bir yaklaşımdır" diyor. "Gerçek dünya olaylarını incelemeye büyük değer veriyoruz."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics