Всяка година много, мисля, че са поставили някои амбициозни цели, например да отслабнете. О, това е аз, ние говорим за сигурността. Така че целите на IB са поставени. Да предположим, че намаляват броя на инцидентите на ден от 23 до 18 или 17%. Изглежда, че е красива и необходима цел, но за да се постигне, е необходимо да се направят редица стъпки. И тъй като споменах загуба на тегло, тогава нека се опитаме да сравним тези два процеса помежду си.
Така че, искаме да отслабнем. Ако вярвате на многобройни фитнес експерти, първата стъпка по този път ще бъде изчислена калории. Да, това е неприятно да се види, че сандвичът за хранене на сандвич с докторски колбаси съдържа почти половината от цялата дневна калорична норма. Смята се, че това не само формира навика на нас, но и играе психологическа роля, която изглежда вижда многото допълнителни калории, ще започнем да се тревожим за това и да се опитаме да намалим техния брой. Но е необходимо необходимо.
Същия проблем и метрики IB. Когато започнем да броим всичките си плитчини, пропуснати спам, пропуснати фишинг, неправен уязвимости, признахме течове, престой, опасни дизайни в кода на приложението, отключени портове на ITU и т.н., след това започваме да формираме условен комплекс от малоценност. И ако все още решаваме да визуализираме всички инциденти под формата на табла и доклади на IB, тогава ситуацията ще стане още по-лоша. По същество ще бъдем попитани в нашата еднаквост. И ако резултатите от приложението за управление на захранването вижте само вие (по някакъв начин малко хора използват функцията "Share" в такива приложения), IB докладите ви виждат ръководството ви и започва да задават въпроси, които се страхуваме.
Мисля, че затова често не виждам добре изпълнени проекти за измерване и визуализация на IB (и лошо). И миналата година участвах в първите десет проекта за проектиране или одит на SOCOS (Cisco активно се занимава с такива проекти). Те не обичат да показват резултатите от работата си, които в IB не винаги са такива положителни.
Но обратно към измерванията на вашето "лошо поведение" (в това дали яденето или в IB). Неприятно е да осъзнаем, че правим нещо нередно, но е необходимо и от това започва изпълнението на програмата за измерване на IB. Също така е важно да знаете какво и как да се измери. Нека се върнем към загуба на тегло. Тук разглеждаме калориите, но е важно? Важно е да се предположи, че конкретно ядохме и колко калории са "лоши" или "добри". Както и условията, при които сме изяли всичко. Да предположим, че намаляваме нашата 500 калорични диета. Добре? Изглежда да. Можете да го напишете на вашия актив. И ако имаме намалена активност на същите "500 калории"? Тя не се оказва нищо по същество и не се е променила. На графиката тя ще изглежда красива, но в действителност ... и не приемам ситуацията все още в изчислението, когато някой съзнателно манипулира числата.
С инциденти все пак. Само по себе си спадът в броя на инцидентите не означава нищо. Причината за това може да бъде:
- Намаляване на наблюдението на зоната на покритието
- Преразглеждане на концепцията за инцидент
- Скриване на инциденти.
И можете също да имате намаление на общия брой инциденти, но растежът на критичните инциденти. И накрая, можете просто да ви атакувате, което показва намаляването на дейността на нападателите, но не за качеството на вашата защита на защитата. И да, това може да е резултат от работата и аутсорсинга на SOC, както и други дивизии на компанията (например). Ето защо, само една цифра не означава нищо - необходимо е да се разбере нейната среда, както и с други събрани или изчислени числа.
И затова е толкова важно да се измерват достатъчно много различни показатели, от които, след това да изберете желаното - за различни задачи, в различни периоди от време, за различни целеви аудитории. В крайна сметка, показателите са различни - оперативни, тактически и стратегически. И в някои случаи, с голям брой нива на йерархията на МБ в организацията, може да има изпълнителни показатели и т.н. Следователно стартирането на програмата за измерване на IB трябва да се помни, че е необходимо
- Измерете всичко. По късно
- Измерване на правилните неща. По късно
- Вземете правилните неща
Но започнете с измерването на всичко (добре или много).
И тук се приближих до времето, за което беше написана тази дълга бележка. Реших да се поддал на модерната справка, наречена Hithabization на IB (на руски език) и да стартира нов телеграмен канал от IB Metrics (Metrics Cyber Security). Ще споделя един метрик на IB всеки ден с краткото си описание, формули, източници на данни, ограничения и др. Всъщност, това е, разбира се, не с гумизацията, но как да го наречем, не знам. Първоначално мислех да затворя метричния каталог веднага и го поставя на Github, но времето да го направя веднага и всичко, не. Но в части ми се стори доста повдигаща задача. В деня на метриката - до края на годината ще има 250 различни показатели от различни домейни IB - отговор на инциденти, управление на уязвимости, червен екип, поверителност, управление на финансите, IB мониторинг, съответствие и др. За разлика от сегашния си канал "Post Lukatsky", новият аз включих възможността за коментари и дискусии, така че да можете да обсъдите всеки метричен опит и т.н.
Така че добре дошли в новия телеграмен канал, който ще бъде редовно попълнен метричен каталог на IB.
Източник - блог Алексей Лукацки "бизнес без опасност."
По-интересен материал на cisoclub.ru. Абонирайте се за нас: Facebook | VK | Twitter | Instagram | Телеграма | Zen | Messenger | ICQ нов |. \ T YouTube | Импулс.