Svake godine, mnogi, mislim da je tako, postavio neke ambiciozne ciljeve, na primjer, da smršavim. Oh, da sam to ja, govorimo o sigurnosti. Dakle, ciljevi na IB-u su stavljeni. Pretpostavimo da smanji broj incidenata dnevno od 23 do 18 ili 17%. Čini se da je to lijep i potreban cilj, ali da bi se to postiglo, potrebno je napraviti niz koraka. A pošto sam spomenuo gubitak kilograma, pokušajmo da uporedimo ove dvije procese među sobom.
Dakle, želimo smršaviti. Ako vjerujete u brojne fitnes stručnjake, prvi korak na ovom putu bit će izračunati kalorije. Da, neugodno je vidjeti da sendvič sa sendvičem sa doktorskom kobasicom sadrži gotovo polovinu cjelokupne dnevne norme kalorije. Vjeruje se da to ne čini samo naviku nas, već igra i psihološku ulogu, što čini da vidi mnogo dodatnih kalorija, počet ćemo se brinuti o tome i pokušati smanjiti njihov broj. Ali potrebno je nužno.
Isti problem i metrike IB. Kada počnemo računati sve naše cipele, propuštene neželjene pošte, propuštene krađe, neplamzirane ranjivosti, priznate curenja, prekida, opasne dizajne u kodu za prijavu, otključane portove na ITU-u itd., Tada počinjemo da formiramo uslovnu kompleks inferiornosti. A ako se još uvijek odlučimo vizualizirati sve incidente u obliku nadzornih ploča i izvještaja o IB-u, tada će situacija postati još gore. U suštini, bit će nas u jednoj uniformi. A ako su rezultati aplikacije za kontrolu električne energije samo vi (nekako malo ljudi koriste funkciju "Dijelite" u takvim aplikacijama), IB izvještaji pogledajte vaš vodič i započinje postavljati pitanja koja se vrlo plašimo.
Mislim da zbog toga često ne vidim često implementirane projekte za mjerenje i vizualizaciju IB-a (i loše). I prošle godine sam učestvovao u prvih deset projekata za dizajn ili reviziju SOC-a (Cisco se aktivno bavi takvim projektima). Ne vole pokazivati rezultate svog rada, koji u IB nisu uvijek tako pozitivni.
Ali natrag na mjerenja vašeg "lošeg ponašanja" (u jedu ili u IB-u). Neugodno je shvatiti da nešto pogrešno radimo, ali potrebno je i iz toga počinje provedba IB mjernog programa. Međutim, važno je i znati i kako izmjeriti. Vratimo se gubitku kilograma. Ovdje smatramo kalorije, ali je li važno? Važno je pretpostaviti da smo posebno pojeli i koliko su ti kalorije "loše" ili "dobro". A isto tako i uslovi pod kojima smo jeli sve. Pretpostavimo da smo smanjili našu 500 kalorijsku prehranu. U redu? Čini se da. Možete ga napisati u svoju imovinu. A ako imamo smanjenu aktivnost na istom "500 kalorija"? Ispada ništa u suštini i nije se promijenio. Na grafikonu će izgledati prelijepo, ali u stvarnosti ... i ne uzimam situaciju još u izračunu kada neko svjesno manipulira brojevima.
Sa incidentima sve iste. Sama po sebi pad broja incidenata ne znači ništa. Razlog za to može biti:
- Smanjenje nadgledanja zona premaza
- Revizija koncepta incidenta
- Sakrivanje incidenata.
A možete imati i pad od ukupnog broja incidenata, ali rast kritičnih incidenata. I na kraju, možda ćete jednostavno napasti, što ukazuje na pad aktivnosti napadača, ali ne o kvaliteti vašeg zaštitnog sistema. I da, možda je rezultat vašeg rada i outsourcinga SoC-a, kao i ostale podjele kompanije (na primjer, to). Stoga samo jedna cifra ne znači ništa - potrebno je razumjeti njegovo okruženje, kao i uporediti s drugim prikupljenim ili izračunatim brojevima.
I zato je toliko važno mjeriti dovoljno različitih pokazatelja, od kojih, a zatim odabrati željenu - za različite zadatke, u različitim vremenskim periodima, za različita ciljna publika. Uostalom, metrike su različite - operativne, taktičke i strateške. I u nekim slučajevima, s velikim brojem nivoa IB hijerarhije u organizaciji, može postojati izvršne metrike itd. Stoga, pokretanje IB mjernog programa mora biti zapamćen da je potrebno
- Izmerite sve. Kasnije
- Izmerite ispravne stvari. Kasnije
- Uzmi prave stvari
Ali započnite s mjerenjem svega (dobro ili mnogo).
I evo mi se približavao vremenu za koje je ta duga napomena napisana. Odlučio sam podleći trendi referenci, koja se naziva hitabizacijom IB (na ruskom) i pokrenuti novi telegram kanal putem IB metrika (ciber sigurnosne mjere). Dijelit ću jednostruki metriku IB-a sa kratkim opisom, formulama, izvorima podataka, ograničenjima itd. U stvari, to je, naravno, ne shvaćanja, ali kako to nazvati, ne znam. U početku sam se mislio da se metrički katalog odmah zatvorim i položim ga na GitHub, ali vrijeme za to odmah i sve, ne. Ali u dijelovima mi se činilo prilično dizanje zadatka. Na dan na metrici - do kraja godine bit će 250 različitih metrika iz različitih domena IB - odgovor na incidente, upravljanje ranjivostima, crvenom timu, privatnost, upravljanje finansijama, IB praćenje, usklađenost itd. Za razliku od svog trenutnog kanala "Post Lukatsky", novi sam uključio priliku za komentare i diskusije kako biste mogli razgovarati o svakom metriku, dijeljenju iskustava itd.
Tako dobrodošla na novi telegram kanal, koji će biti redovno ispunjen metrički katalog na IB-u.
Izvor - Blog Aleksei Lukatsky "Posao bez opasnosti."
Zanimljiviji materijal na cisoclub.ru. Pretplatite se na nas: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NOVO | YouTube | Puls.