Güvenlik ekipleri geleneksel olarak Tamir zamanı (MTTR), güvenlik olaylarını ne kadar etkili bir şekilde ele aldıklarını ölçmenin bir yolu olarak. Bununla birlikte, Verica’da baş araştırma analisti ve Açık Olay Veritabanı (VOID) raporunun ana yazarı olan Courtney Nash, olay ciddiyeti, ekip çevikliği ve sistem karmaşıklığındaki farklılıkların bu güvenlik ölçütünü daha az kullanışlı hale getirebileceğini söylüyor.
MTTR, üretim organizasyonlarından kaynaklanmıştır ve arızalı bir fiziksel bileşeni veya cihazı onarmak için gereken ortalama sürenin bir ölçüsüdür. Bu cihazlar, kendilerini makul ölçüde standart ve tutarlı MTTR tahminlerine uygun hale getiren aşınma ve yıpranma ile daha basit, öngörülebilir işlemlere sahipti. Zamanla MTTR’nin kullanımı yazılım sistemlerine genişledi ve yazılım şirketleri bunu sistem güvenilirliğinin ve ekip çevikliğinin veya etkinliğinin bir göstergesi olarak kullanmaya başladı.
Ne yazık ki, diyor Nash, değişkenliği, MTTR’nin ya yanlış güvene yol açabileceği ya da gereksiz endişeye neden olabileceği anlamına geliyor.
Nash, “Kısmen süre verilerinin çarpık dağılımı ve bu tür sistemlerdeki arızaların zaman içinde tekdüze bir şekilde gelmemesi nedeniyle, karmaşık yazılım sistemleri için uygun bir ölçü değildir” diyor. “Fiziksel üretim cihazlarındaki sorunların aksine, her arıza doğası gereği farklıdır.”
MTTR’den Uzaklaşmak
“[MTTR] olaya dahil olan kişi ve ekiplerin sayısı, stres düzeyi, sorunu düzeltmek için teknik ve organizasyonel olarak neye ihtiyaç duyulduğu ve ekibin olaydan ne öğrendiği açısından büyük farklılıklar gösterebilen bir olayın kuruluş için gerçekte nasıl olduğu hakkında bize çok az şey söyler. sonuç,” diyor Nash.
Jeli’nin CEO’su ve kurucu ortağı Nora Jones, MTTR’nin ortalama bir süre hesapladığı için olayların aşırı basitleştirilmesinin kurbanı olduğunu söylüyor. Raporlanan sürelerin bu tek ortalamasını basitçe ölçmek (ve bu rapor edilen sürelerin de ilk etapta güvenilir olmadığı kanıtlanmıştır), kuruluşların altyapıda neler olup bittiğini, bu tekrar eden olaya neyin katkıda bulunduğunu ve insanların nasıl olduğunu görmesini ve ele almasını engeller. olaylara cevap vermek.
Jones, “Olayların her şekli ve boyutu vardır; bunların önem derecesi, müşteriler üzerindeki etkisi ve çözüm karmaşıklığı açısından tek bir kuruluş içinde tüm yelpazeyi kapsadığını göreceksiniz,” diye açıklıyor Jones. “Gerçekten insanlara ve araçlara birlikte bakmalı ve olay analizine niteliksel bir yaklaşım getirmelisiniz.”
Ancak Nash, MTTR’den uzaklaşmanın bir gecelik bir vardiya olmadığını söylüyor – bir metriği diğeriyle değiştirmek kadar basit değil.
“Günün sonunda, katkıda bulunan faktörler ve insanların çözüm bulmada oynadıkları rol konusunda dürüst olmak,” diyor. “Kulağa basit geliyor ama zaman alıyor ve bunlar daha iyi ölçümler oluşturacak somut faaliyetler.”
Metrik Kullanımını Genişletmek
Nash, olayları analiz etmenin ve bunlardan öğrenmenin daha anlayışlı veri ve ölçümler bulmanın ideal yolu olduğunu söylüyor. Bir ekip, bir olaya bizzat dahil olan kişilerin sayısı gibi şeyleri toplayabilir; kaç benzersiz ekip dahil edildi; insanların kullandığı araçlar; kaç sohbet kanalı vardı; ve eşzamanlı olaylar olsaydı.
Bir kuruluş olay incelemelerini yürütme ve onlardan öğrenme konusunda daha iyi hale geldikçe, olay sonrası inceleme toplantılarına katılan kişi sayısı, olay sonrası raporların daha fazla okunması ve paylaşılması ve bu raporların şeylerde kullanılması gibi konularda ilgi görmeye başlayacaktır. kod incelemeleri, eğitim ve katılım gibi.
Cyentia Enstitüsü’nde kıdemli güvenlik veri bilimcisi olan David Severski, Cyentia’nın Verizon DBIR üzerinde çalışırken bir olayı ölçmek için kullanılan metrik türlerini genişletmek için Olay Raporlama ve Olay Paylaşımı Sözlüğü’nü oluşturup yayınladığını söylüyor.
“Güvenlik olayları hakkında toplamanın önemli olduğunu düşündüğümüz veri noktalarını tanımlar” diyor. “Bu temel şablonu, örneğin kullanılan ATT&CK TTP’lerini belirleme gibi bazı güncellemelerle birlikte Cyentia araştırmasında hala kullanıyoruz.”
Bir olayı ölçmeye yönelik metrikler, kuruluş boyutları ve türleri genelinde herkese uyan tek bir ölçü değildir. Jones, “Ekipler bugün nerede olduklarını anlıyor, mevcut kısıtlamaları dahilinde önceliklerinin nerede olduğunu değerlendiriyor ve odak ölçümlerinin organizasyonları gelişip ölçeklendikçe zaman içinde gelişebileceğini bile anlıyor” diyor.
Ek olarak, odaklanmayı öğrenmeye kaydırmak ve ardından bu öğrenmelere dayalı olarak sürekli iyileştirme yapmakla ilgilidir; örneğin, tek-zamanlı metriklerin aksine, trendleri ve işlerin zaman içinde doğru yönde ilerleyip ilerlemediğini değerlendirmeye geçmek.