Verica’nın en son Açık Olay Veritabanı (VOID) raporuna göre, ortalama onarım süresi (MTTR) gibi güvenlik olaylarının ciddiyetini ölçmek için kabul edilen metrikler, daha önce düşünüldüğü kadar güvenilir olmayabilir ve BT güvenlik ekiplerine doğru bilgileri sağlamıyor olabilir. .
Rapor, Fortune 100’lerden yeni kurulan şirketlere kadar 600’den az şirketten 10.000 olaya dayanıyor. Verica, toplanan veri miktarının kalıpları belirlemek ve istatistiksel kanıttan yoksun önceki endüstri varsayımlarını çürütmek için daha derin bir istatistiksel analiz düzeyi sağladığını söyledi.
Jeli’nin CEO’su ve kurucu ortağı Nora Jones, “Şirketler dünyadaki en gelişmiş altyapılardan bazılarını çalıştırıyor ve çoğumuz bir şeyler yolunda gitmeyene kadar düşünmeden günlük hayatımızın birçok bölümünü destekliyor” diyor. “İşleri, site güvenilirliğine büyük ölçüde güveniyor ve yine de teknoloji giderek daha karmaşık hale geldikçe olaylar ortadan kalkmıyor.”
“Çoğu kuruluş, olay yönetimi kararlarını uzun süredir devam eden varsayımlara dayalı olarak yürütüyor” diyor ve işletmelerin kurumsal dayanıklılığa nasıl yaklaşacakları konusunda veriye dayalı kararlar almaları gerektiğine dikkat çekiyor.
Olayları Anlamak için Bilgi Paylaşma
Verica’nın baş araştırma analisti ve VOID’in yaratıcısı Courtney Nash, tıpkı havayolu şirketlerinin 90’ların sonlarında ve sonrasında bilgi paylaşmak için rekabet kaygılarını bir kenara bırakması gibi, işletmelerin de muazzam bir metalaştırılmış bilgi birikimine sahip olduklarını açıklıyor. inşa edileni herkes için daha güvenli hale getirirken, birbirinizden öğrenmek ve sektörü ileriye taşımak için kullanın.
“Bu raporların toplanması önemlidir çünkü yazılım, kedilerin resimlerini çevrimiçi olarak barındırmaktan ulaşım, altyapı, elektrik şebekeleri, sağlık hizmetleri yazılımları ve cihazları, oylama sistemleri, otonom araçlar ve birçok kritik (genellikle güvenlik açısından kritik) toplumsal işlevlere geçiş yapmıştır.” Nash diyor.
Cyentia Enstitüsü’nde kıdemli güvenlik veri bilimcisi olan David Severski, kuruluşların yalnızca kendi olaylarını görebildiğine, bunun da diğer kuruluşları etkileyen daha geniş eğilimleri görme ve bunlardan kaçınma yeteneğini sınırladığına dikkat çekiyor.
“Olay veritabanları ve benzeri raporlar [VOID] Tünel görüşünden kaçmalarına yardımcı olun ve umarız kendileri sorun yaşamadan harekete geçerler” dedi.
Süre ve Önem Derecesi ‘Sığ’ Verilerdir
Kuruluşların olayları nasıl deneyimlediği, ciddiyetine bakılmaksızın bu olayları çözmenin ne kadar sürdüğüne göre değişir. Raporda, hangi senaryoların bir “olay” olarak kabul edileceği ve hangi düzeyde bir kuruluş içindeki meslektaşlar arasında değişiklik gösterdiği ve kuruluşlar arasında tutarlı olmadığı konusunda uyarıda bulunuldu.
Nash, süre ve ciddiyetin “sığ” veriler olduğunu açıklıyor – bunlar çekici çünkü karmaşık, şaşırtıcı durumlara dair basit özetlere uygun olmayan açık, somut anlamlar veriyor gibi görünüyorlar. Ancak, süreyi ölçmek gerçekten yararlı değildir.
Nash, “Bir olayın süresi, olayla ilgili dahili olarak eyleme geçirilebilir çok az bilgi verir ve ciddiyet, aynı ekipte bile, genellikle farklı şekillerde müzakere edilir” diyor.
Önem derecesi, müşteri etkisi veya diğer durumlarda, düzeltme veya aciliyet için gereken mühendislik çabası için bir vekil olarak kullanılabilir. “Bir olaya dikkat çekmek veya olay için yardım almak, olay sonrası bir incelemeyi tetiklemek veya tetiklemekten kaçınmak veya istenen finansman, personel sayısı vb. ” diyor Nash.
Rapora göre, olayların süresi ve ciddiyeti arasında bir ilişki yok. Şirketler, çok küçük, varoluşsal olarak kritik ve aradaki hemen hemen her kombinasyonu içeren uzun veya kısa olaylara sahip olabilir.
Nash, “Süre veya ciddiyet, bir ekibe ne kadar güvenilir veya etkili olduklarını söyleyemez, aynı zamanda olayın etkisi veya olayla başa çıkmak için gereken çaba hakkında yararlı hiçbir şey ifade etmez” diyor.
Geçmiş Olayları Analiz Edin
“MTTR bir ölçü olarak kullanışlı olmasa da, hiç kimse olaylarının gereğinden fazla devam etmesini istemez” diyor. “Daha iyi yanıt verebilmek için şirketlerin önce geçmişte nasıl yanıt verdiklerini daha derinlemesine analizle incelemesi gerekir; bu onlara hem teknik hem de organizasyonel olarak daha önce öngörülemeyen bir dizi faktör hakkında bilgi verecektir.”
Jones, bir organizasyonun kültürünün ekiplerin olayları nasıl ve ne ölçüde etiketleyeceği konusunda da rol oynayacağını ekliyor.
“Bütün bunlar, bir kuruluştaki insanlara geri dönüyor – altyapıyı inşa eden, altyapıyı koruyan, olayları çözen ve ardından bunları gözden geçiren insanlar” diyor. “Bütün bunlar insanlar tarafından yapılıyor.”
Onun bakış açısına göre, teknolojimiz ne kadar otomatikleşirse gelişsin, insanlar hala sistemin en uyumlu parçası ve sürekli başarının nedeni.
Jones, “İşte bu nedenle, bu sosyo-teknik sistemleri tam olarak böyle kabul etmeli ve ardından olay analizinize aynı anlayışla yaklaşmalısınız” diyor.
Severski, Cyentia’nın Bilgi Riski Öngörüleri Çalışmasında (IRIS) büyük veri kümelerini analiz etmeye devam ettiğini belirterek, güvenlik endüstrisinin işleri iyileştirmek için ne yapılması gerektiğine dair fikirlerle dolu olduğunu söylüyor. Araştırma.
“Önerilerimizi gerçek başarısızlıklara ve bundan çıkarılan derslere dayandırmak çok daha etkili bir yaklaşımdır” diyor. “Gerçek dünya olaylarını incelemeye büyük değer veriyoruz.”
