Sikkerhetsteam har tradisjonelt brukt middel tid til å reparere (MTTR) som en måte å måle hvor effektivt de håndterer sikkerhetshendelser. Imidlertid kan variasjoner i alvorlighetsgraden av hendelsene, teamets smidighet og systemkompleksitet gjøre denne sikkerhetsverdien mindre nyttig, sier Courtney Nash, ledende forskningsanalytiker ved Verica og hovedforfatter av rapporten. Åpne Incident Database (VOID) rapport.
MTTR oppsto i produksjonsorganisasjoner og var et mål på den gjennomsnittlige tiden det tok å reparere en defekt fysisk komponent eller enhet. Disse enhetene hadde enklere, forutsigbare operasjoner med slitasje som ga rimelig standard og konsistente estimater av MTTR. Over tid har bruken av MTTR utvidet seg til programvaresystemer, og programvareselskaper begynte å bruke det som en indikator på systempålitelighet og teamsmidighet eller effektivitet.
Dessverre, sier Nash, betyr variabiliteten at MTTR enten kan føre til falsk tillit eller forårsake unødvendig bekymring.
"Det er ikke en passende beregning for komplekse programvaresystemer, delvis på grunn av den skjeve fordelingen av varighetsdata og fordi feil i slike systemer ikke kommer jevnt over tid," sier Nash. "Hver feil er iboende forskjellig, i motsetning til problemer med fysiske produksjonsenheter."
Flytte bort fra MTTR
«[MTTR] forteller oss lite om hvordan en hendelse egentlig er for organisasjonen, som kan variere voldsomt når det gjelder antall personer og team involvert, stressnivået, hva som trengs teknisk og organisatorisk for å fikse det, og hva teamet lærte som et resultat, sier Nash.
MTTR blir offer for forenklingen av hendelser fordi den beregner et gjennomsnitt - gjennomsnittstiden, sier Nora Jones, administrerende direktør og medgründer av Jeli. Bare å måle dette enkelt gjennomsnittet av rapporterte tider (og de rapporterte tidene har også vist seg å ikke være pålitelige i utgangspunktet) hindrer organisasjoner i å se og adressere hva som skjer i infrastrukturen, hva som bidrar til den gjentatte hendelsen, og hvordan folk har det reagere på hendelser.
"Hendelser kommer i alle former og størrelser - du vil se at de spenner over hele spekteret i alvorlighetsgrad, innvirkning på kunder og løsningskompleksitet, alt innenfor én organisasjon," forklarer Jones. "Du må virkelig se på menneskene og verktøyene sammen og ta en kvalitativ tilnærming til hendelsesanalyse."
Nash sier imidlertid at det å flytte bort fra MTTR ikke er et skift over natten – det er ikke så enkelt som å bare bytte en beregning med en annen.
"På slutten av dagen er det å være ærlig om de medvirkende faktorene, og rollen som folk spiller i å komme opp med løsninger," sier hun. "Det høres enkelt ut, men det tar tid, og dette er de konkrete aktivitetene som vil bygge bedre beregninger."
Utvide bruken av beregninger
sier Nash analysere og lære av hendelser er den ideelle veien til å finne mer innsiktsfulle data og beregninger. Et team kan samle inn ting som antall personer involvert praktisk i en hendelse; hvor mange unike lag var involvert; hvilke verktøy folk brukte; hvor mange chattekanaler det var; og hvis det var samtidige hendelser.
Som en organisasjon blir bedre til å gjennomføre hendelsesanmeldelser og lærer av dem, vil det begynne å se trekkraft i ting som antall personer som deltar på gjennomgangsmøter etter hendelsen, økt lesing og deling av rapporter etter hendelsen, og bruk av disse rapportene i ting som kodegjennomgang, opplæring og onboarding.
David Severski, senior sikkerhetsdataforsker ved Cyentia Institute, sier da Cyentia jobbet med Verizon DBIR, opprettet og ga ut Vocabulary for Event Reporting and Incident Sharing for å utvide typene beregninger som brukes til å måle en hendelse.
"Den definerer datapunkter vi synes er viktige å samle inn om sikkerhetshendelser," sier han. "Vi bruker fortsatt denne grunnleggende malen i Cyentia-forskning med noen oppdateringer, for eksempel identifisering av ATT&CK TTP-er som brukes."
Beregningene for måling av en hendelse er ikke én størrelse som passer alle på tvers av organisasjonsstørrelser og -typer. "Team forstår hvor de er i dag, vurderer hvor deres prioriteringer er innenfor deres nåværende begrensninger, og forstår at fokusmålene deres til og med kan utvikle seg over tid etter hvert som organisasjonen deres utvikler seg og skalerer," sier Jones.
I tillegg handler det om å flytte fokus til læring, og deretter kontinuerlig forbedre basert på disse læringene, for eksempel å skifte til å vurdere trender og om ting trender i riktig retning over tid, i motsetning til enkelt-punkt-i-tid-målinger.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/edge-articles/why-mean-time-to-repair-no-longer-serves-as-a-useful-security-metric
- a
- Om oss
- tvers
- Aktiviteter
- adressering
- Alle
- alltid
- analyse
- analytiker
- og
- En annen
- tilnærming
- hensiktsmessig
- delta
- forfatter
- gjennomsnittlig
- basert
- grunnleggende
- fordi
- begynte
- være
- Bedre
- bygge
- beregning
- Årsak
- konsernsjef
- kanaler
- Med-grunnlegger
- kode
- samle
- Kom
- kommer
- Selskaper
- fullføre
- komplekse
- kompleksitet
- komponent
- Bekymring
- samtidig
- gjennomføre
- selvtillit
- konsistent
- begrensninger
- medvirkende
- kunne
- opprettet
- Gjeldende
- Kunder
- dato
- datapunkter
- dataforsker
- Database
- dag
- definerer
- utvikler
- enhet
- Enheter
- forskjellig
- retning
- distribusjon
- hver enkelt
- effektivt
- effektivitet
- enten
- estimater
- Eter (ETH)
- Selv
- Event
- utvikle seg
- eksempel
- Expand
- utvidet
- forklarer
- faktorer
- Mislyktes
- Failure
- Falls
- finne
- Først
- Fix
- Fokus
- fra
- skal
- Håndtering
- hands-on
- Hvordan
- Men
- HTTPS
- ideell
- identifisering
- Påvirkning
- viktig
- bedre
- in
- hendelse
- økt
- Indikator
- Infrastruktur
- Institute
- involvert
- saker
- IT
- føre
- lært
- læring
- Nivå
- lite
- Se
- Hoved
- gjøre
- produksjon
- mange
- midler
- måle
- måling
- møter
- metrisk
- Metrics
- kunne
- mer
- flytting
- nødvendig
- Antall
- onboarding
- ONE
- Drift
- motsetning
- organisasjon
- organisasjoner
- opprinnelse
- over natten
- del
- banen
- Ansatte
- fysisk
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- poeng
- Forutsigbar
- utprøvd
- område
- Lesning
- gjentakende
- utgitt
- pålitelighet
- pålitelig
- reparasjon
- rapporterer
- rapportert
- Rapportering
- Rapporter
- påkrevd
- forskning
- oppløsning
- resultere
- anmeldelse
- Anmeldelser
- Rolle
- vekter
- Forsker
- sikkerhet
- se
- senior
- figurer
- deling
- skift
- SKIFTENDE
- Enkelt
- ganske enkelt
- enkelt
- Størrelse
- størrelser
- Software
- Solutions
- noen
- Standard
- Begynn
- Still
- stresset
- slik
- system
- Systemer
- Ta
- tar
- lag
- lag
- forteller
- mal
- vilkår
- De
- deres
- seg
- ting
- tid
- ganger
- til
- i dag
- sammen
- verktøy
- trekkraft
- tradisjonelt
- Kurs
- trender
- Trender
- typer
- forstå
- unik
- oppdateringer
- us
- bruke
- benyttes
- Verizon
- Offer
- Hva
- Hva er
- hvilken
- vil
- innenfor
- arbeid
- zephyrnet
