为什么分析过去的事件比通常的安全指标更能帮助团队

根据 Verica 最新的开放事件数据库 (VOID) 报告，公认的衡量安全事件严重性的指标，如平均修复时间 (MTTR)，可能不如以前认为的那么可靠，并且没有为 IT 安全团队提供正确的信息.

该报告基于从财富 10,000 强到初创公司等近 600 家公司的 100 起事件。 Verica 说，收集到的数据量可以进行更深层次的统计分析，以确定模式并推翻先前缺乏统计证据的行业假设。

Jeli 的首席执行官兼联合创始人 Nora Jones 说：“企业正在运行世界上一些最复杂的基础设施，为我们日常生活的许多部分提供支持，而我们大多数人甚至都没有考虑过——直到出现问题。” “他们的业务严重依赖站点可靠性，但随着技术变得越来越复杂，事故并没有消失。”

她说：“大多数组织都在根据长期假设做出事件管理决策。”她指出，企业需要就如何处理组织弹性做出数据驱动的决策。

共享信息以了解事件

Verica 首席研究分析师兼 VOID 创始人考特尼·纳什 (Courtney Nash) 解释说，就像航空公司在 90 世纪 XNUMX 年代后期及以后为了共享信息而抛开竞争问题一样，企业拥有大量商品化知识，他们可以相互学习并推动行业向前发展，同时使构建的产品对每个人都更加安全。

“收集这些报告很重要，因为软件早已从在线托管猫的照片转向运行交通、基础设施、电网、医疗保健软件和设备、投票系统、自动驾驶汽车以及许多关键（通常是安全关键的）社会功能，”纳什说。

Cyentia Institute 的高级安全数据科学家 David Severski 指出，企业只能看到自己的事件，这限制了看到和避免影响其他组织的更广泛趋势的能力。

“像 [VOID] 这样的事件数据库和报告帮助他们摆脱狭隘的视野，并希望在他们自己遇到问题之前采取行动，”他说。

持续时间和严重性是“浅”数据

组织经历事件的方式各不相同，解决这些事件所需的时间也各不相同，无论严重程度如何。 报告警告说，哪些场景甚至被认为是“事件”，以及组织内的同事在什么级别上有所不同，并且在组织之间也不一致。

Nash 解释说持续时间和严重程度是 “浅”数据 — 它们之所以吸引人，是因为它们似乎可以清楚、具体地理解什么是混乱、令人惊讶的情况，而这些情况不适合简单的总结。 但是，测量持续时间并不是很有用。

“事件的持续时间几乎不会产生关于该事件的内部可操作信息，而且通常会以不同的方式协商严重性，即使是在同一个团队中也是如此，”Nash 说。

严重性可以用作客户影响的代理，或者在其他情况下，可以用作修复或紧迫性所需的工程工作量的代理。 “出于各种原因，它是主观分配的，包括引起对事件的注意或获得事件的帮助，触发——或避免触发——事件后审查，或获得管理层对所需资金、人数等的批准， ”纳什说。

报告称，事件的持续时间和严重程度之间没有相关性。 公司可能会发生长期或短期的事件，这些事件非常轻微，对生存至关重要，并且几乎介于两者之间。

“持续时间或严重程度不仅无法告诉团队他们有多可靠或有效，而且它们也无法传达有关事件影响或处理事件所需努力的任何有用信息，”Nash 说。

分析过去的事件

“虽然 MTTR 没有用 作为指标，没有人希望他们的事件继续下去，”她说。 “为了更好地做出反应，公司必须首先通过更深入的分析来研究他们过去的反应方式，这将让他们了解许多以前无法预料的因素，包括技术和组织因素。”

琼斯补充说，组织的文化也会在团队如何标记事件以及在多大程度上发挥作用。

“这一切都归功于组织的人员——构建基础设施、维护基础设施、解决事件，然后进行审查的人员，”她说。 “这都是人做的。”

在她看来，无论我们的技术变得多么自动化，人仍然是系统中适应性最强的部分，也是持续成功的原因。

“这就是为什么你必须认识到这些社会技术系统，然后以同样的理解来处理你的事件分析，”琼斯说。

Severski 说安全行业对应该做些什么来改进事情充满了意见，并指出 Cyentia 继续在他们的信息风险洞察研究 (IRIS) 中分析大型数据集 研究.

“将我们的建议基于实际失败和从中吸取的教训是一种更有效的方法，”他说。 “我们非常重视研究现实世界的事件。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.darkreading.com/edge-articles/why-analyzing-past-incidents-helps-teams-more-than-usual-security-metrics