מהו "dwell time" ?למה ערך זה משנה?
בפוסט זה נדון במשמעות של dwell time כמדד אבטחת מידע, כיצד עסקים אמורים להתייחס לערך זה וכיצד אנחנו בבינת מתייחסים ומצמצמים את זמן השהייה במסגרת שירותי אבט"מ שלנו.
כיצד יודעים מומחי אבט"מ שהם מצליחים להגן על הנתונים? יש מס' רב של מדדים לבדיקת אפקטיביות של שירותי אבט"מ אך אחד במיוחד שרבים בתוך בינת "מתלהבים" ממנו – ערך זה נקרא dwell time או בעברית – זמן שהייה.
במילים פשוטות- זמן השהיה הוא משך הזמן שבו קיימת גישה בלתי מזוהה ברשת ועד להסרה מלאה של אותה הגישה. אצל רוב חברות האבט"מ , זמן השהייה הממוצע נמדד בימים, זמן השהייה הממוצע משתנה בהתאם למי "ששואלים אותו" ומי שעבר אירוע אבט"מ. מבחינת הממוצעים שאנו מכירים, זמן השהייה הממוצע הינו בין 45- 150 ימים.
בעוד ש- dwell time יורד משנה לשנה, הערכים המתקבלים עדיין בלתי סבירים. בעידן של היום, תוקפים מיומנים יכולים בתוך דקות בודדות לגרום להשבתת שירותים עם מתקפת DDOS או מס' ימים בודדים כדי לחדור לרשת הארגון ולגרום נזקים לנתונים.
סוגים מסוימים של תוכנות זדוניות והתקפות סייבר נזקקות לזמן רב של שהיה ברשת כדי להשיג נתונים ולסנן את המידע הרב שמתקבל (לדוגמא פריצה אל תוך קופות רושמות – https://tech.walla.co.il/item/3507206) ולכן אם עסקים יכולים "להרוג" את האיום בשלבים מוקדמים, הנזק יכול להיות מינימלי / זניח.
אנחנו מתגאים בכך שקבענו dwell time קצר מאוד – של דקות בודדות. עבור רוב המתקפות, חלון הזדמנויות שכזה הוא פשוט קצר מכדי להשלים מתקפה.
לכן , עבור עסקים , זמני שהייה קצרים פירושם סיכון מופחת להשחתה/גניבה של הנתונים , סיכוי נמוך יותר להשבתה, קנסות על אי-ציות לרגולציה וצמצום האפשרות לתביעות משפטיות כבדות הנובעות מאירועי אבט"מ.