Кожны год многія, я так думаю, ставяць перад сабой нейкія небудзь амбіцыйныя мэты, напрыклад, схуднець. Ой, што гэта я, мы ж пра бяспеку гаворым. Значыць ставяцца мэты па ІБ. Дапусцім знізіць лік інцыдэнтаў у дзень з 23 да 18 або на 17%. Быццам бы прыгожая і патрэбная мэта, але каб дасягнуць яе, неабходна вырабіць шэраг крокаў. І раз ужо я згадаў пахуданне, то паспрабуем параўнаць гэтыя два працэсы паміж сабой.
Такім чынам, мы хочам схуднець. Калі верыць шматлікім фітнэс-экспертам першым крок на гэтым шляху будзе падлік зжэрці калорый. Так, гэта непрыемна бачыць, што съетый на ноч бутэрброд з доктарскай каўбасой змяшчае ці ледзь не палову ўсёй дзённай нормы калорый. Лічыцца, што гэта не толькі фармуе ў нас звычку, але і гуляе псіхалагічную ролю, якая заключаецца ў тым, што бачачы мноства лішніх калорый, мы пачнем турбавацца пра гэта і імкнуцца знізіць іх лік. Але лічыць трэба.
Таже праблема і з метрыкай ІБ. Калі мы пачынаем лічыць усе нашы вушакі, прапушчаны спам, прапушчаны фішынг, непрапатчаным уразлівасці, дапушчаныя ўцечкі, прастоі, небяспечныя канструкцыі ў кодзе прыкладанняў, незачыненыя парты на МСЭ і да т.п., то ў нас пачынае фармавацца умоўны комплекс непаўнавартасьці. А калі яшчэ мы вырашым візуалізаваць ўсе інцыдэнты ў выглядзе дашбордов і справаздач па ІБ, то сітуацыя стане яшчэ горш. Па сутнасці мы распішамся ў сваёй прафнепрыдатнасці. І калі вынікі з прыкладання па кантролі за харчаваннем бачыце толькі вы (неяк мала людзі карыстаюцца функцыяй "падзяліцца" у такіх прыкладаннях), то справаздачы па ІБ бачыць ваша кіраўніцтва і яно пачынае задаваць пытанні, якіх мы спакваля баімся.
Думаю менавіта таму я не так часта бачу добра рэалізаваныя праекты па вымярэнні і візуалізацыі ІБ (ды і дрэнна таксама). А я за мінулы год паўдзельнічаў у дзесятцы праектаў па праектаванні або аўдытам SOCов (Cisco актыўна займаецца такімі праектамі). Не любяць у нас паказваць вынікі сваёй працы, якія ў ІБ не заўсёды такія ўжо і станоўчыя.
Але вернемся да вымярэнням свайго "дрэннага паводзінаў" (ў ежы Ці, або ў ІБ). Непрыемна ўсведамляць, што мы нешта робім не так, але трэба і менавіта з гэтага пачынаецца рэалізацыі праграмы вымярэння ІБ. Аднак, важна таксама ведаць што і як вымяраць. Вернемся да пахуданню. Вось мы лічым калорыі, але ці так гэта важна? Важна лічыць, што канкрэтна мы з'елі і наколькі гэтыя калорыі былі "дрэнныя" ці "добрыя". А таксама ўмовы, пры якіх мы гэта ўсё з'елі. Дапусцім, знізілі мы свой рацыён на 500 калорый. Добра? Вроде да. Можна запісаць гэта сабе ў актыў. А калі мы актыўнасць знізілі на тыя ж "500 калорый"? Атрымліваецца нічога па сутнасці і не змянілася. На графіцы-то яно будзе выглядаць прыгожа, але ў рэальнасці ... І гэта я яшчэ не бяру ў разлік сітуацыю, калі хто-то свядома маніпулюе лічбамі.
З інцыдэнтамі ўсё тое ж самае. Само па сабе зніжэнне колькасці інцыдэнтаў не гаворыць ні пра што. Прычынай гэтага можа быць:
- зніжэнне зоны пакрыцця маніторынгам
- перагляд паняцці інцыдэнту
- утойванне інцыдэнтаў.
А яшчэ ў вас можа быць зніжэнне агульнай колькасці інцыдэнтаў, але рост крытычных інцыдэнтаў. Ну і, нарэшце, вас могуць проста менш атакаваць, што кажа аб зніжэнне актыўнасці зламыснікаў, але не пра рост якасці вашай сістэмы абароны. І так, гэта можа быць вынік працы вашага і аўтсорсінгавага SOC, а таксама іншых падраздзяленняў кампаніі (напрыклад, ІТ). Таму проста адна лічба не значыць нічога - трэба разумець яе асяроддзе, а таксама супастаўляць яе з іншымі збіранымі або вылічаюць лічбамі.
І таму так важна вымяраць досыць шмат розных паказчыкаў, з якіх потым ужо выбіраць патрэбныя - пад розныя задачы, у розныя перыяды часу, для розных мэтавых аўдыторый. Бо метрыкі бываюць розныя - аперацыйныя, тактычныя і стратэгічныя. А ў шэрагу выпадкаў, пры вялікай колькасці узроўняў ІБ-іерархіі ў арганізацыі, могуць быць і executive-метрыкі і інш. Таму запускаючы праграму вымярэнняў ІБ трэба памятаць, што неабходна
- Вымяраць усё. потым
- Вымяраць правільныя рэчы. потым
- Вымяраць правільныя рэчы правільным чынам
Але пачынаць з вымярэння за ўсё (ну ці шмат чаго).
І вось тут я падступае да таго, для чаго пісалася гэтая доўгая нататка. Вырашыў я тут паддацца моднаму павер'і, званаму гитхабизации ІБ (па-руску), і запусціць новы Telegram-канал па метрыцы ІБ (Cyber Security Metrics). Буду штодня дзяліцца адной метрыкай ІБ з яе кароткім апісаннем, формула, крыніцамі дадзеных, абмежаваннямі і да т.п. На самай справе гэта, вядома, не гитхабизация, але як гэта назваць, я не ведаю. Спачатку я думаў заладзіць адразу каталог метрык і выкласці яго на Github, але часу на тое, каб зрабіць гэта адразу і ўсё, няма. А вось па частках мне здалося цалкам пад'ёмнай задачай. У дзень па метрыцы - да канца года атрымаецца 250 розных метрык з розных даменаў ІБ - рэагаванне на інцыдэнты, кіраванне ўразлівасцямі, Red Team, Privacy, кіраванне фінансамі, маніторынг ІБ, compliance і да т.п. У адрозненне ад свайго бягучага канала "Пост Лукацкого", у новага я ўключыў магчымасць каментароў і абмеркавання, каб можна абмяркоўваць кожную метрыку, дзяліцца вопытам і да т.п.
Так што сардэчна запрашаем у новы Telegram-канал, які будзе гэткай рэгулярна напаўняю каталогам метрык па ІБ.
Крыніца - Блог Аляксея Лукацкого "Бізнес без небяспекі".
Больш цікавага матэрыялу на cisoclub.ru. Падпісвайцеся на нас: Facebook | VK | Twitter | Instagram | Telegram | дзэн | мессенджер | ICQ New | YouTube | Pulse.