Každý rok, mnoho, myslím, že ano, nastavit některé ambiciózní cíle, například zhubnout. Oh, že je to já, mluvíme o bezpečnosti. Takže cíle na IB jsou dány. Předpokládejme, že sníží počet incidentů za den od 23 do 18 nebo 17%. Zdá se, že je to krásný a potřebný cíl, ale k jeho dosažení, je nutné provést řadu kroků. A protože jsem zmínil o hubnutí, pak se pokusíme porovnávat tyto dva procesy mezi sebou.
Takže chceme zhubnout. Pokud věříte četným expertům fitness, bude první krok na této cestě vypočítat kalorie. Ano, je nepříjemné vidět, že sendvič sendvič-jíst sendvič s doktorskou klobásou obsahuje téměř polovinu celé denní normální normy. Předpokládá se, že to nejenže tvoří zvyk nás, ale také hraje psychologickou roli, která se zdá, že vidí mnoho extra kalorií, začneme se o to starat a pokusit se snížit jejich číslo. Je však nezbytné.
Stejný problém a metriky IB. Když začneme počítat všechny naše hejna, zmeškané spam, zmeškané phishing, propastizované zranitelnosti, připustil úniky, prostoje, nebezpečné návrhy v aplikačním kódu, odemknutých portů na ITU atd., Pak začneme podmíněným komplexem méněcennosti. A pokud se stále rozhodnete vizualizovat všechny incidenty ve formě řídicích panelů a zpráv o IB, pak se situace bude ještě horší. V podstatě budeme požádáni v naší jednotnosti. A pokud výsledky z aplikace pro řízení napájení vidí pouze vy (nějak jen několik lidí používají funkci "Sdílení" v takových aplikacích), IB hlásí uvidí vaši příručku a začíná se zeptat na otázky, které se velmi bojíme.
Myslím si, že proto nemám často vidět dobře realizované projekty pro měření a vizualizaci IB (a špatné). A v loňském roce jsem se zúčastnil deseti projektů pro projektování nebo auditování SOCOS (Cisco se aktivně angažuje v těchto projektech). Nechtějí ukázat výsledky jejich práce, které v IB nejsou vždy takové pozitivní.
Ale zpět k měření vašeho "špatného chování" (v tom, zda stravování nebo v IB). Je nepříjemné, aby si uvědomil, že děláme něco špatného, ale je to nezbytné a z toho, že implementace programu měření IB začíná. Je však také důležité vědět, co a jak měřit. Vraťme se zpět do hubnutí. Zde považujeme za kalorií, ale je to důležité? Je důležité předpokládat, že konkrétně jsme jedli a kolik kalorií byly "špatné" nebo "dobré". A také podmínky, za kterých jsme jedli vše. Předpokládejme, že snížili jsme naši 500 kalorický dietu. Dobře? Zdá se, že ano. Můžete jej napsat do svého aktiva. A pokud máme sníženou aktivitu na stejné "500 kalorií"? Ukazuje nic v podstatě a nezměnilo se. Na grafu bude vypadat krásně, ale ve skutečnosti ... a já si nic neberu v výpočtu, když někdo vědomě manipuluje s čísly.
S incidenty. Samo o sobě pokles počtu incidentů nic neznamená. Důvodem může být:
- Snížení monitorování nátěrové zóny
- Revize konceptu incidentu
- Skrývající incidenty.
A můžete také snížení celkového počtu incidentů, ale růst kritických incidentů. A nakonec vás můžete jednoduše zaútočit, což naznačuje pokles činnosti útočníků, ale ne o kvalitě systému ochrany. A ano, to může být výsledek vaší práce a outsourcing SOC, stejně jako další divize společnosti (např. IT). Proto jen jedna číslice nic neznamená - je nutné pochopit jeho prostředí, stejně jako porovnat s jinými shromážděnými nebo vypočtenými čísly.
A proto je tak důležité měřit dostatečně mnoho různých ukazatelů, z nichž pak zvolit požadované - pro různé úkoly v různých časových úsecích, pro různé cílové publikum. Koneckonců, metriky jsou různé - provozní, taktické a strategické. A v některých případech, s velkým počtem úrovní hierarchie IB v organizaci, může být výkonná metrika atd. Proto musí být spuštění programu měření IB pamatováno, že je nutné
- Měřit všechno. Později
- Měří správné věci. Později
- Vezměte si správné věci
Ale začněte s měřením všeho (dobře nebo moc).
A tady jsem se přiblížil čas, pro kterou byla tato dlouhá poznámka napsána. Rozhodl jsem se podlehnout módní reference, nazvaný tvalizaci IB (v ruštině), a zahájit nový telegramový kanál IB metriky (metriky kybernetické bezpečnosti). Budu sdílet jednu metriku IB každý den s jeho stručný popis, vzorce, zdroje dat, omezeními atd. Ve skutečnosti to je samozřejmě, ne guitabization, ale jak to nazvat, nevím. Zpočátku jsem si myslel, že budu zavřít metrický katalog okamžitě a položit ho na GitHub, ale čas na to okamžitě a všechno, ne. Ale v částech se mi zdálo docela zvedací úkol. V den na metriku - do konce roku bude 250 různých metrik z různých domén IB - reakce na incidenty, řízení zranitelností, červený tým, soukromí, řízení financí, monitorování IB, shoda atd. Na rozdíl od jeho aktuálního kanálu "Post Lukatsky", nový jsem zahrnuli příležitost pro komentáře a diskuse, abyste mohli diskutovat o každém metriku, sdílet zkušenosti atd.
Tak vítejte v novém telegramovém kanálu, který bude pravidelně naplněn metrický katalog na IB.
Zdroj - blog alexei lukatsky "podnikání bez nebezpečí."
Zajímavější materiál na cisoclub.ru. Přihlásit se k nám: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ New | YouTube | Puls.