Tại sao việc phân tích các sự cố trong quá khứ lại giúp các nhóm có nhiều chỉ số bảo mật hơn thông thường

Theo báo cáo Cơ sở dữ liệu sự cố mở (VOID) mới nhất của Verica, các số liệu được chấp nhận để đo lường mức độ nghiêm trọng của các sự cố bảo mật, như thời gian sửa chữa trung bình (MTTR), có thể không đáng tin cậy như suy nghĩ trước đây và không cung cấp cho các nhóm bảo mật CNTT thông tin chính xác .

Báo cáo này dựa trên 10,000 sự cố từ gần 600 công ty, từ Fortune 100 cho đến các công ty khởi nghiệp. Verica cho biết lượng dữ liệu được thu thập cho phép phân tích thống kê ở mức độ sâu hơn để xác định các mô hình và vạch trần các giả định thiếu bằng chứng thống kê trước đây của ngành.

Nora Jones, Giám đốc điều hành và đồng sáng lập của Jeli cho biết: “Các doanh nghiệp đang vận hành một số cơ sở hạ tầng phức tạp nhất trên thế giới, hỗ trợ nhiều phần trong cuộc sống hàng ngày của chúng ta mà hầu hết chúng ta đều không hề nghĩ đến — cho đến khi có điều gì đó không hoạt động”. “Hoạt động kinh doanh của họ phụ thuộc rất nhiều vào độ tin cậy của trang web, tuy nhiên, các sự cố vẫn không biến mất khi công nghệ ngày càng phức tạp hơn.”

Bà nói: “Hầu hết các tổ chức đang đưa ra các quyết định quản lý sự cố dựa trên các giả định lâu dài”, đồng thời lưu ý rằng các doanh nghiệp cần đưa ra quyết định dựa trên dữ liệu về cách họ tiếp cận khả năng phục hồi của tổ chức.

Chia sẻ thông tin để hiểu sự cố

Courtney Nash, nhà phân tích nghiên cứu chính tại Verica và là người tạo ra VOID, giải thích rằng, cũng giống như cách các công ty hàng không gạt bỏ những lo ngại về cạnh tranh vào cuối những năm 90 và hơn thế nữa để chia sẻ thông tin, các doanh nghiệp có một lượng lớn kiến ​​thức hàng hóa mà họ có thể sử dụng để học hỏi lẫn nhau và thúc đẩy ngành phát triển, đồng thời làm cho những gì được xây dựng trở nên an toàn hơn cho mọi người.

“Việc thu thập các báo cáo này rất quan trọng vì phần mềm từ lâu đã chuyển từ lưu trữ hình ảnh mèo trực tuyến sang vận hành phương tiện giao thông, cơ sở hạ tầng, lưới điện, phần mềm và thiết bị chăm sóc sức khỏe, hệ thống bỏ phiếu, phương tiện tự hành và nhiều chức năng xã hội quan trọng (thường là quan trọng về an toàn),” Nash nói.

David Severski, nhà khoa học dữ liệu bảo mật cấp cao tại Viện Cyentia, chỉ ra rằng các doanh nghiệp chỉ có thể nhìn thấy sự cố của chính mình, điều này hạn chế khả năng nhìn thấy và tránh các xu hướng rộng hơn ảnh hưởng đến các tổ chức khác.

Ông nói: “Các cơ sở dữ liệu sự cố và các báo cáo như [VOID] giúp họ thoát khỏi tầm nhìn hạn hẹp và hy vọng hành động trước khi chính họ gặp phải sự cố”.

Thời lượng và mức độ nghiêm trọng là dữ liệu 'Nông'

Cách các tổ chức gặp phải sự cố là khác nhau, cũng như thời gian giải quyết những sự cố đó là bao lâu, bất kể mức độ nghiêm trọng. Báo cáo cảnh báo rằng những tình huống nào thậm chí được coi là một “sự cố” và mức độ khác nhau giữa các đồng nghiệp trong một tổ chức và không nhất quán giữa các tổ chức.

Nash giải thích thời lượng và mức độ nghiêm trọng là dữ liệu “nông cạn” - chúng hấp dẫn bởi vì chúng có vẻ mang lại cảm giác rõ ràng, cụ thể về những tình huống lộn xộn, đáng ngạc nhiên không phù hợp với những bản tóm tắt đơn giản. Tuy nhiên, việc đo thời lượng không thực sự hữu ích.

Nash nói: “Thời gian xảy ra sự cố mang lại rất ít thông tin có thể xử lý nội bộ về sự cố đó và mức độ nghiêm trọng thường được thương lượng theo nhiều cách khác nhau, ngay cả trong cùng một nhóm”.

Mức độ nghiêm trọng có thể được sử dụng làm đại diện cho tác động của khách hàng hoặc, trong các trường hợp khác, nỗ lực kỹ thuật cần thiết để khắc phục hoặc tính cấp bách. “Nó được chỉ định một cách chủ quan, vì nhiều lý do khác nhau, bao gồm thu hút sự chú ý hoặc nhận hỗ trợ khi xảy ra sự cố, kích hoạt — hoặc tránh kích hoạt — xem xét sau sự cố hoặc để có được sự chấp thuận của ban quản lý về nguồn tài trợ, số lượng nhân viên mong muốn, v.v. ”Nash nói.

Theo báo cáo, không có mối tương quan giữa thời gian và mức độ nghiêm trọng của sự cố. Các công ty có thể gặp phải những sự cố ngắn hoặc dài nhưng rất nhỏ, nghiêm trọng về mặt tồn tại và gần như mọi sự kết hợp ở giữa.

Nash nói: “Thời lượng hoặc mức độ nghiêm trọng không những không cho nhóm biết mức độ tin cậy hoặc hiệu quả của họ mà còn không truyền đạt bất kỳ điều gì hữu ích về tác động của sự kiện hoặc nỗ lực cần thiết để giải quyết sự cố”.

Phân tích sự cố trong quá khứ

“Mặc dù MTTR không hữu ích như một thước đo, không ai muốn sự việc của mình tiếp diễn lâu hơn mức cần thiết,” cô nói. “Để phản ứng tốt hơn, trước tiên các công ty phải nghiên cứu cách họ phản ứng trong quá khứ bằng những phân tích sâu hơn, điều này sẽ giúp họ hiểu về một loạt các yếu tố không lường trước được trước đây, cả về mặt kỹ thuật và tổ chức.”

Jones cho biết thêm, văn hóa của một tổ chức cũng sẽ đóng một vai trò trong cách các nhóm gắn thẻ sự cố và ở mức độ nào.

Cô nói: “Tất cả điều này đều liên quan đến con người của một tổ chức - những người xây dựng cơ sở hạ tầng, bảo trì cơ sở hạ tầng, giải quyết sự cố và sau đó xem xét chúng”. “Tất cả đều do con người làm.”

Theo quan điểm của cô ấy, cho dù công nghệ của chúng ta có được tự động hóa đến mức nào thì con người vẫn là bộ phận dễ thích nghi nhất của hệ thống và là lý do để tiếp tục thành công.

Jones nói: “Đây là lý do tại sao bạn phải nhận ra những hệ thống kỹ thuật xã hội này chính là như vậy và sau đó tiếp cận phân tích sự cố của mình với cùng sự hiểu biết”.

Severski cho biết ngành bảo mật có rất nhiều ý kiến ​​về những gì nên làm để cải thiện mọi thứ, lưu ý rằng Cyentia tiếp tục phân tích các tập dữ liệu lớn trong Nghiên cứu chuyên sâu về rủi ro thông tin (IRIS) của họ. nghiên cứu.

Ông nói: “Dựa trên các khuyến nghị của chúng tôi về những thất bại thực tế và bài học rút ra từ việc này là một cách tiếp cận hiệu quả hơn nhiều”. “Chúng tôi coi trọng việc nghiên cứu các sự cố trong thế giới thực.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics