Чому аналіз минулих інцидентів допомагає командам більше, ніж звичайні показники безпеки

Відповідно до останнього звіту Verica Open Incident Database (VOID), прийнятні показники для вимірювання серйозності інцидентів безпеки, як-от середній час відновлення (MTTR), можуть бути не такими надійними, як вважалося раніше, і не надають командам ІТ-безпеки правильну інформацію. .

Звіт ґрунтується на 10,000 600 інцидентів із майже 100 компаніями, починаючи від Fortune XNUMX і закінчуючи стартапами. Обсяг зібраних даних дозволяє провести більш глибокий статистичний аналіз, щоб визначити закономірності та спростувати попередні припущення галузі, яким бракувало статистичних доказів, сказала Веріка.

«Підприємства використовують одну з найскладніших інфраструктур у світі, підтримуючи багато частин нашого повсякденного життя, про що більшість із нас навіть не замислюється — поки щось не працює», — каже Нора Джонс, генеральний директор і співзасновник Jeli. «Їхній бізнес значною мірою покладається на надійність сайтів, але інциденти не зникають, оскільки технологія стає дедалі складнішою».

«Більшість організацій приймають рішення щодо управління інцидентами на основі давніх припущень», — каже вона, зазначаючи, що підприємства повинні приймати рішення на основі даних про те, як вони підходять до організаційної стійкості.

Діліться інформацією, щоб зрозуміти інциденти

Кортні Неш, провідний дослідницький аналітик у Verica та творець VOID, пояснює, що подібно до того, як авіакомпанії відмовлялися від проблем конкуренції наприкінці 90-х років і пізніше, щоб обмінюватися інформацією, підприємства мають величезний обсяг товарних знань, які вони могли використовуйте, щоб вчитися один у одного та просувати галузь вперед, роблячи створене безпечнішим для всіх.

«Збір цих звітів має значення, оскільки програмне забезпечення вже давно перейшло від розміщення фотографій котів в Інтернеті до управління транспортом, інфраструктурою, електромережами, програмним забезпеченням і пристроями для охорони здоров’я, системами голосування, автономними транспортними засобами та багатьма критичними (часто критичними для безпеки) суспільними функціями», — каже Неш.

Девід Северскі, старший науковий співробітник Інституту Cyentia з безпеки даних, зазначає, що підприємства можуть бачити лише власні інциденти, що обмежує можливість бачити та уникати ширших тенденцій, що впливають на інші організації.

«Бази даних інцидентів і звіти, такі як [VOID], допомагають їм уникнути тунельного бачення та, сподіваюся, діяти до того, як у них самі виникнуть проблеми», — каже він.

Тривалість і серйозність є «неглибокими» даними

Організації переживають інциденти по-різному, як і час, необхідний для вирішення цих інцидентів, незалежно від серйозності. Які сценарії взагалі визнаються «інцидентом» і на якому рівні, різниться між колегами в організації та неоднаково в різних організаціях, попереджає звіт.

Неш пояснює тривалість і тяжкість «неглибокі» дані — вони привабливі, тому що, здається, дають чіткий, конкретний сенс того, що є заплутаними, дивовижними ситуаціями, які не піддаються простому підсумку. Однак вимірювання тривалості не дуже корисне.

«Тривалість інциденту дає мало внутрішніх даних про інцидент, а серйозність часто обговорюється по-різному, навіть в одній команді», — каже Неш.

Рівень серйозності може використовуватися як проксі для впливу на клієнта або, в інших випадках, інженерних зусиль, необхідних для виправлення, або терміновості. «Це суб’єктивно призначається з різних причин, у тому числі для привернення уваги до інциденту чи отримання допомоги у зв’язку з ним, для ініціювання — або уникнення ініціювання — перевірки після інциденту або для отримання схвалення керівництва щодо бажаного фінансування, чисельності персоналу тощо. – каже Неш.

Відповідно до звіту, кореляції між тривалістю та тяжкістю інцидентів немає. Компанії можуть мати тривалі чи короткі інциденти, які є дуже незначними, екзистенційно критичними, і майже будь-яка комбінація між ними.

«Тривалість або серйозність не тільки не можуть сказати команді, наскільки вони надійні та ефективні, але вони також не передають нічого корисного про вплив події чи зусилля, необхідні для вирішення проблеми», — каже Неш.

Проаналізуйте минулі випадки

«Поки MTTR не є корисним як метрика, ніхто не хоче, щоб їхні інциденти тривали довше, ніж вони повинні», — каже вона. «Щоб краще реагувати, компанії повинні спочатку вивчити, як вони реагували в минулому за допомогою більш глибокого аналізу, який навчить їх про безліч раніше непередбачуваних факторів, як технічних, так і організаційних».

Джонс додає, що культура організації також відіграє роль у тому, як команди позначають інциденти та в якому ступені.

«Усе це стосується людей організації — людей, які будують інфраструктуру, обслуговують інфраструктуру, вирішують інциденти, а потім переглядають їх», — каже вона. «Це все роблять люди».

З її точки зору, незалежно від того, наскільки автоматизованою стає наша технологія, люди залишаються найбільш адаптованою частиною системи та причиною подальшого успіху.

«Ось чому ви повинні визнати ці соціально-технічні системи саме такими, а потім підійти до аналізу інцидентів з таким же розумінням», — говорить Джонс.

Северскі каже, що індустрія безпеки сповнена думок про те, що потрібно зробити, щоб покращити ситуацію, зазначивши, що Cyentia продовжує аналізувати великі набори даних у своєму дослідженні інформаційних ризиків (IRIS). дослідження.

«Набагато ефективнішим підходом є ґрунтування наших рекомендацій на фактичних помилках і отриманих уроках», — каже він. «Ми надаємо велике значення вивченню реальних подій».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics