Чому середній час ремонту не завжди є корисним показником безпеки

Команди безпеки традиційно використовували середній час на ремонт (MTTR) як спосіб оцінити, наскільки ефективно вони обробляють інциденти безпеки. Однак варіації серйозності інциденту, гнучкості команди та складності системи можуть зробити цей показник безпеки менш корисним, каже Кортні Неш, провідний дослідницький аналітик Verica та головний автор Звіт про відкриту базу даних інцидентів (VOID).

MTTR виник у виробничих організаціях і був показником середнього часу, необхідного для ремонту несправного фізичного компонента або пристрою. Ці пристрої мали простіші, передбачувані операції з зносом, які піддавалися досить стандартним і послідовним оцінкам MTTR. Згодом використання MTTR поширилося на програмні системи, і компанії, що займаються програмним забезпеченням, почали використовувати його як індикатор надійності системи та гнучкості чи ефективності команди.

На жаль, за словами Неша, його мінливість означає, що MTTR може або викликати помилкову впевненість, або викликати непотрібне занепокоєння.

«Це невідповідний показник для складних програмних систем, частково через нерівний розподіл даних про тривалість і через те, що збої в таких системах не надходять рівномірно з часом», — каже Неш. «Кожна несправність за своєю суттю відрізняється, на відміну від проблем із фізичними виробничими пристроями».

Відхід від MTTR

«[MTTR] мало що говорить нам про те, як насправді виглядає інцидент для організації, який може сильно відрізнятися залежно від кількості залучених людей і команд, рівня стресу, того, що необхідно технічно та організаційно для його вирішення, і що в результаті команда навчилася», — каже Неш.

MTTR стає жертвою надмірного спрощення інцидентів, оскільки він обчислює середнє значення — середній час, каже Нора Джонс, генеральний директор і співзасновник Jeli. Просте вимірювання цього єдиного середнього зареєстрованого часу (і цей зареєстрований час також було доведено як ненадійний) заважає організаціям побачити та вирішити, що відбувається в інфраструктурі, що сприяє цьому повторюваному інциденту та як люди реагування на інциденти.

«Інциденти бувають різних форм і розмірів — ви побачите, що вони охоплюють повний діапазон серйозності, впливу на клієнтів і складності вирішення в рамках однієї організації», — пояснює Джонс. «Ви дійсно повинні розглядати людей та інструменти разом і застосовувати якісний підхід до аналізу інцидентів».

Однак Неш каже, що відхід від MTTR — це не швидка зміна — це не так просто, як просто замінити один показник на інший.

«Зрештою, це означає бути чесним щодо сприяючих факторів і ролі, яку люди відіграють у пошуку рішень», — каже вона. «Це звучить просто, але це вимагає часу, і це конкретні дії, які створять кращі показники».

Розширення використання метрик

— каже Неш аналіз інцидентів і навчання на них це ідеальний шлях до пошуку більш глибоких даних і показників. Команда може збирати такі дані, як кількість людей, залучених до інциденту; скільки унікальних команд було задіяно; якими знаряддями праці користувалися люди; скільки каналів чату було; і якщо були одночасні інциденти.

Оскільки організація стає кращою в проведенні огляди інцидентів і вчитися на них, він почне спостерігати тягу в таких речах, як кількість людей, які відвідують зустрічі з огляду після інцидентів, більше читання та обміну звітами після інцидентів, а також використання цих звітів у таких речах, як перегляд коду, навчання та адаптація.

Девід Северскі, старший науковий співробітник Інституту безпеки даних Cyentia, каже, що під час роботи над Verizon DBIR Cyentia створила та випустила Словник для звітування про події та обміну інцидентами, щоб розширити типи показників, які використовуються для вимірювання інциденту.

«Він визначає точки даних, які, на нашу думку, важливо збирати щодо інцидентів безпеки», — каже він. «Ми все ще використовуємо цей базовий шаблон у дослідженнях Cyentia з деякими оновленнями, наприклад, визначення використовуваних ATT&CK TTP».

Показники для вимірювання інциденту не є універсальними для всіх розмірів і типів організацій. «Команди розуміють, де вони знаходяться сьогодні, оцінюють, де знаходяться їхні пріоритети в рамках поточних обмежень, і розуміють, що їхні показники фокусу можуть навіть змінюватися з часом у міру розвитку та масштабування організації», — говорить Джонс.

Крім того, мова йде про зміщення уваги на навчання, а потім постійне вдосконалення на основі цих знань, наприклад, перехід до оцінки тенденцій і того, чи тенденції рухаються в правильному напрямку з часом, на відміну від показників на один момент часу.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/edge-articles/why-mean-time-to-repair-no-longer-serves-as-a-useful-security-metric