Warum die mittlere Reparaturzeit nicht immer eine nützliche Sicherheitsmetrik ist

Sicherheitsteams nach sich ziehen traditionell verwendet mittlere Reparaturzeit (MTTR), um zu messen, wie effektiv sie mit Sicherheitsvorfällen umgehen. Unterschiede in jener Schwere des Vorfalls, jener Teamagilität und jener Systemkomplexität können welche Sicherheitsmetrik jedoch weniger nützlich zeugen, sagt Courtney Nash, leitende Forschungsanalystin c/o Verica und Hauptautorin des Berichts Open Incident Database (VOID).

MTTR stammt ursprünglich aus Fertigungsunternehmen und war ein Maßstab zu Händen die durchschnittliche Zeit, die zu Händen die Reparatur einer ausgefallenen physischen Komponente oder eines Geräts erforderlich war. Ebendiese Geräte hatten verschmelzen einfacheren, vorhersehbaren Werk mit Verschleiß, jener sich zu Händen ganz standardmäßige und konsistente Schätzungen jener MTTR eignete. Im Laufe jener Zeit hat sich die Verwendung von MTTR hinauf Softwaresysteme ausgeweitet, und Softwareunternehmen begannen, es qua Indikator zu Händen Systemzuverlässigkeit und Teamagilität oder -effektivität zu verwenden.

Leider, sagt Nash, bedeutet seine Variabilität, dass MTTR entweder zu falschem Vertrauen münden oder unnötige Ungewissheit hervorrufen könnte.

„Es ist keine geeignete Metrik zu Händen komplexe Softwaresysteme, zum Teil wegen jener schiefen Verteilung jener Dauerdaten und weil Ausfälle in solchen Systemen im Laufe jener Zeit nicht in gleichen Abständen in Erscheinung treten“, sagt Nash. „Jeder Fehler ist von Natur aus voneinander abweichend, im Streitfrage zu Problemen mit physischen Fertigungsgeräten.“

Weg von jener MTTR

“[MTTR] sagt uns wenig darüber aus, wie ein Zwischenfall wirklich zu Händen die Organisation ist, welches stark variieren kann in Bezug hinauf die Reihe jener beteiligten Personen und Teams, dies Stressniveau, welches technisch und organisatorisch erforderlich ist, um ihn zu beheben, und welches dies Team gelernt hat ein Ergebnis”, sagt Nash.

MTTR fällt jener übermäßigen Vereinfachung von Vorfällen zum Todesopfer, weil es verschmelzen Durchschnitt berechnet – die durchschnittliche Zeit, sagt Nora Jones, Vorsitzender des Vorstands und Mitbegründerin von Jeli. Dasjenige einfache Messung dieses einzelnen Durchschnitts jener gemeldeten Zeiten (und welche gemeldeten Zeiten nach sich ziehen sich wenn schon von vornherein qua nicht zuverlässig erwiesen) hindert Organisationen daran, zu sehen und zu beheben, welches in jener Unterbau vor sich geht, welches zu diesem wiederkehrenden Zwischenfall beiträgt und wie es den Menschen geht hinauf Vorfälle reagieren.

„Incidents treten in allen Gießen und Größen hinauf – Sie werden sehen, dass sie die gesamte Spanne an Schweregrad, Auswirkungen hinauf Kunden und Lösungskomplexität intrinsisch einer Organisation herunternehmen“, erklärt Jones. „Man muss wirklich die Menschen und Tools verbinden betrachten und verschmelzen qualitativen Methode zu Händen die Vorfallanalyse verfolgen.“

Nash sagt jedoch, dass die Abkehr von jener MTTR keine Umstellung extra Nacht ist – es ist nicht so trivial, nur eine Metrik gegen eine andere auszutauschen.

„Am Finale des Tages geht es drum, ehrlich zu den beitragenden Faktoren und jener Rolle zu sein, die die Menschen c/o jener Fortgang von Lösungen spielen“, sagt sie. “Es klingt trivial, hinwieder es braucht Zeit, und dies sind die konkreten Aktivitäten, die bessere Metriken erstellen werden.”

Verlängerung jener Verwendung von Metriken

Laut Nash ist dies Auswerten und Lernen aus Vorfällen jener ideale Weg, um aufschlussreichere Fakten und Metriken zu finden. Ein Team kann Zeug wie die Reihe jener an einem Zwischenfall beteiligten Personen zusammenfassen; wie viele einzigartige Teams beteiligt waren; welche Werkzeuge nicht frisch wurden; wie viele Chatkanäle es gab; und wenn es gleichzeitige Vorfälle gab.

Wenn eine Organisation besser darin wird, Vorfallüberprüfungen durchzuführen und daraus zu lernen, wird sie beginnen, in Dingen wie jener Reihe jener Personen, die an Besprechungen zur Kontrolle nachdem dem Zwischenfall teilnehmen, dem vermehrten Vorlesung halten und Teilen von Berichten nachdem dem Zwischenfall und jener Verwendung dieser Berichte in Dingen Wirkung zu sehen wie Codeüberprüfungen, Schulungen und Onboarding.

David Severski, Senior Security Data Scientist am Cyentia Institute, sagt, dass Cyentia c/o jener Arbeit an Verizon DBIR dies Vocabulary for Event Reporting and Incident Sharing erstellt und veröffentlicht hat, um die Arten von Metriken zu erweitern, die zur Messung eines Vorfalls verwendet werden.

„Es definiert Datenpunkte, die wir c/o Sicherheitsvorfällen zu Händen wichtig halten“, sagt er. „Wir verwenden welche grundlegende Vorlage in jener Cyentia-Wissenschaft immer noch mit einigen Aktualisierungen, zum Leitvorstellung zur Identifizierung von verwendeten ATT&CK-TTPs.“

Die Metriken zur Messung eines Vorfalls sind keine Einheitsgröße zu Händen jeglicher Größen und Arten von Organisationen. „Teams verstehen, wo sie heute stillstehen, wertschätzen, wo ihre Prioritäten intrinsisch ihrer aktuellen Einschränkungen liegen, und verstehen, dass sich ihre Fokusmetriken im Laufe jener Zeit sogar weiterentwickeln können, wenn sich ihre Organisation entwickelt und skaliert“, sagt Jones.

Darüber hinaus geht es drum, den Hauptaugenmerk hinauf Erkenntnisse zu verlagern und sich dann basierend hinauf diesen Erkenntnissen kontinuierlich zu verbessern, z. B. hinauf die Priorisierung von Trends zu verlagern und festzustellen, ob sich die Zeug im Laufe jener Zeit in die richtige Richtung prosperieren, im Streitfrage zu Einzelmesswerten zu einem bestimmten Zeitpunkt.