Tại sao thời gian trung bình để sửa chữa không phải lúc nào cũng là thước đo bảo mật hữu ích

Đội an ninh có truyền thống sử dụng có nghĩa là thời gian để sửa chữa (MTTR) như một cách để đo lường mức độ hiệu quả của họ trong việc xử lý các sự cố bảo mật. Tuy nhiên, các biến thể về mức độ nghiêm trọng của sự cố, sự nhanh nhẹn của nhóm và độ phức tạp của hệ thống có thể khiến số liệu bảo mật đó trở nên ít hữu ích hơn, Courtney Nash, nhà phân tích nghiên cứu chính tại Verica và là tác giả chính của nghiên cứu cho biết. Báo cáo Cơ sở dữ liệu sự cố mở (VOID).

MTTR bắt nguồn từ các tổ chức sản xuất và là thước đo thời gian trung bình cần thiết để sửa chữa một bộ phận hoặc thiết bị vật lý bị lỗi. Các thiết bị này có các hoạt động đơn giản hơn, có thể dự đoán được với sự hao mòn, giúp chúng có thể ước tính MTTR theo tiêu chuẩn hợp lý và nhất quán. Theo thời gian, việc sử dụng MTTR đã mở rộng sang các hệ thống phần mềm và các công ty phần mềm bắt đầu sử dụng nó như một chỉ báo về độ tin cậy của hệ thống và sự nhanh nhẹn hoặc hiệu quả của nhóm.

Thật không may, Nash nói, tính hay thay đổi của nó có nghĩa là MTTR có thể dẫn đến sự tin tưởng sai lầm hoặc gây ra mối lo ngại không cần thiết.

Nash nói: “Đây không phải là thước đo thích hợp cho các hệ thống phần mềm phức tạp, một phần là do sự phân bổ sai lệch của dữ liệu thời lượng và do các lỗi trong các hệ thống như vậy không xảy ra đồng đều theo thời gian. “Mỗi lỗi vốn đã khác nhau, không giống như các vấn đề với các thiết bị sản xuất vật lý.”

Rời khỏi MTTR

“[MTTR] cho chúng tôi biết rất ít về tình hình thực sự của một sự cố đối với tổ chức, sự cố này có thể rất khác nhau về số lượng người và nhóm liên quan, mức độ căng thẳng, những gì cần thiết về mặt kỹ thuật và tổ chức để khắc phục sự cố và những gì kết quả là nhóm đã học được,” Nash nói.

Nora Jones, Giám đốc điều hành và đồng sáng lập của Jeli cho biết, MTTR trở thành nạn nhân của việc đơn giản hóa quá mức các sự cố vì nó đang tính toán mức trung bình - thời gian trung bình. Việc chỉ đo lường mức trung bình duy nhất của số lần được báo cáo này (và những lần được báo cáo đó cũng đã được chứng minh là không đáng tin cậy ngay từ đầu) sẽ ngăn cản các tổ chức nhìn thấy và giải quyết những gì đang diễn ra trong cơ sở hạ tầng, điều gì góp phần gây ra sự cố lặp lại đó và cách mọi người ứng phó với các sự cố.

Jones giải thích: “Các sự cố có đủ hình dạng và quy mô — bạn sẽ thấy chúng trải rộng trên phạm vi hoàn chỉnh về mức độ nghiêm trọng, tác động đến khách hàng và mức độ phức tạp của việc giải quyết, tất cả trong một tổ chức. “Bạn thực sự phải xem xét mọi người và các công cụ cùng nhau và thực hiện một cách tiếp cận định tính để phân tích sự cố.”

Tuy nhiên, Nash nói rằng việc rời khỏi MTTR không phải là một sự thay đổi trong một sớm một chiều — nó không đơn giản như việc hoán đổi một số liệu này sang một số liệu khác.

Cô ấy nói: “Cuối cùng thì chúng ta phải trung thực về các yếu tố góp phần và vai trò của mọi người trong việc đưa ra các giải pháp. “Nghe có vẻ đơn giản, nhưng cần có thời gian và đây là những hoạt động cụ thể sẽ xây dựng các chỉ số tốt hơn.”

Mở rộng việc sử dụng các số liệu

Nash nói phân tích và học hỏi từ các sự cố là con đường lý tưởng để tìm dữ liệu và chỉ số sâu sắc hơn. Một nhóm có thể thu thập những thứ như số người tham gia trực tiếp vào một sự cố; có bao nhiêu đội duy nhất đã tham gia; những công cụ nào mọi người đã sử dụng; có bao nhiêu kênh trò chuyện; và nếu có sự cố đồng thời.

Khi một tổ chức tiến hành tốt hơn đánh giá sự cố và học hỏi từ họ, nó sẽ bắt đầu nhận thấy sức hút ở những thứ như số lượng người tham dự các cuộc họp đánh giá sau sự cố, việc đọc và chia sẻ các báo cáo sau sự cố tăng lên cũng như sử dụng các báo cáo đó trong những việc như đánh giá mã, đào tạo và giới thiệu.

David Severski, nhà khoa học dữ liệu bảo mật cao cấp tại Viện Centia, cho biết khi làm việc trên Verizon DBIR, Cientia đã tạo và phát hành Từ vựng cho Báo cáo Sự kiện và Chia sẻ Sự cố để mở rộng các loại số liệu được sử dụng để đo lường sự cố.

Ông nói: “Nó xác định các điểm dữ liệu mà chúng tôi cho là quan trọng cần thu thập về các sự cố bảo mật. “Chúng tôi vẫn sử dụng mẫu cơ bản này trong nghiên cứu của Centia với một số cập nhật, chẳng hạn như xác định các TTP ATT&CK được sử dụng.”

Các số liệu để đo lường một sự cố không phải là một kích thước phù hợp với tất cả các quy mô và loại hình tổ chức. Jones nói: “Các nhóm hiểu vị trí hiện tại của họ, đánh giá xem ưu tiên của họ nằm ở đâu trong những hạn chế hiện tại và hiểu rằng các chỉ số trọng tâm của họ thậm chí có thể phát triển theo thời gian khi tổ chức của họ phát triển và mở rộng quy mô.

Ngoài ra, đó là về việc chuyển trọng tâm sang học hỏi, sau đó liên tục cải thiện dựa trên những học hỏi đó, chẳng hạn như chuyển sang đánh giá xu hướng và liệu mọi thứ có đang đi đúng hướng theo thời gian hay không, trái ngược với các chỉ số tại một thời điểm.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/edge-articles/why-mean-time-to-repair-no-longer-serves-as-a-useful-security-metric