Svake godine, mislim da je tako, postavio neke ambiciozne ciljeve, na primjer, da izgubite težinu. Oh, da je ovo ja, govorimo o sigurnosti. Tako da su ciljevi na IB stavljeni. Pretpostavimo smanjiti broj incidenata dnevno od 23 do 18 ili 17%. Čini se da je to lijep i potreban cilj, ali kako bi se to postiglo, potrebno je napraviti brojne korake. A budući da sam spomenuo mršavljenja, onda pokušajmo usporediti ta dva procesa među sobom.
Dakle, želimo izgubiti težinu. Ako vjerujete brojnim stručnjacima za fitness, prvi korak na ovom putu bit će izračunati kalorije. Da, to je neugodno vidjeti da sendvič s prehrani sendvič s doktorskom kobasicom sadrži gotovo polovicu cijele dnevne kalorijske norme. Vjeruje se da to ne samo da tvori naviku nas, već i igra psihološku ulogu, koja izgleda kao da vidi mnogo dodatnih kalorija, počet ćemo brinuti o tome i pokušati smanjiti njihov broj. Ali to je potrebno potrebno.
Isti problem i metrike IB. Kada počnemo računati sve naše pliće, propuštene neželjene pošte, propuštene phishing, nepokvirene ranjivosti, priznali curenje, zastoje, opasne dizajne u aplikacijskom kodu, otključane luke na ITU-u, itd., Onda počinjemo formirati uvjetni kompleks inferiornosti. A ako još uvijek odlučimo vizualizirati sve incidente u obliku nadzornih ploča i izvješća o IB, onda će se situacija postati još gore. U biti, bit ćemo u pitanju u našoj uniformnosti. A ako su rezultati zahtjeva za kontrolu snage vide samo vi (nekako nekoliko ljudi koristi funkciju "Share" u takvim aplikacijama), IB izvješćuje da vidite svoj vodič i počinje postavljati pitanja koja se jako bojimo.
Mislim da je to razlog zašto često ne vidim dobro provedene projekte za mjerenje i vizualizaciju IB (i loše). I prošle godine sudjelovao sam u prvih deset projekata za projektiranje ili reviziju Socos (Cisco je aktivno uključen u takve projekte). Oni ne vole pokazati rezultate njihovog rada, koji u IB nisu uvijek tako pozitivni.
Ali natrag na mjerenja vašeg "lošeg ponašanja" (u jedu, ili u IB). To je neugodno shvatiti da učinimo nešto pogrešno, ali to je potrebno i to je od toga da započne provedba IB mjernog programa. Međutim, također je važno znati što i kako izmjeriti. Vratimo se na mršavljenja. Ovdje razmatramo kalorije, ali je li to važno? Važno je pretpostaviti da smo to posebno jeli i koliko su te kalorije "loše" ili "dobro". I također uvjeti pod kojima je sve jeo. Pretpostavimo da smo smanjili 500 kalorijskih dijeta. U redu? Čini se da. Možete ga napisati vašem imovinu. A ako imamo smanjenje aktivnosti na istom "500 kalorija"? Ne ispada ništa u suštini i nije se promijenilo. Na grafikonu će izgledati lijepo, ali u stvarnosti ... i ne uzimam situaciju još u izračunu kada netko svjesno manipulira brojevima.
S incidentima svejedno. Samo po sebi pad broja incidenata ne znači ništa. Razlog za to može biti:
- Smanjenje praćenja zona oblaganja
- Revizija koncepta incidenta
- Skrivanje incidenata.
A možete također imati smanjenje ukupnog broja incidenata, ali rast kritičnih incidenata. I na kraju, možete jednostavno napasti, što ukazuje na pad aktivnosti napadača, ali ne i o kvaliteti vašeg sustava zaštite. I da, to može biti rezultat vašeg rada i outsourcinga SOC-a, kao i druge podjele tvrtke (na primjer, IT). Stoga, samo jedna znamenka ne znači ništa - potrebno je razumjeti njezino okruženje, kao i usporediti s drugim prikupljenim ili izračunatim brojevima.
Stoga je toliko važno mjeriti dovoljno mnogo različitih pokazatelja, od kojih, zatim odabrati željeni - za različite zadatke, u različitim vremenskim razdobljima, za različite ciljne publike. Uostalom, metrici su različiti - operativni, taktički i strateški. Au nekim slučajevima, s velikim brojem razina IB hijerarhije u organizaciji, mogu biti izvršne metrike, itd. Stoga se pokretanje IB mjernog programa mora pamtiti da je potrebno
- Izmjerite sve. Kasnije
- Izmjerite prave stvari. Kasnije
- Uzmi prave stvari
Ali počnite s mjerenjem svega (dobro, ili mnogo).
I ovdje sam se približio vremenu za koje je napisana ova duga nota. Odlučio sam podleći trendy referencu, nazvao je hitabilizaciju IB-a (na ruskom) i pokrenuti novi telegramski kanal od strane IB metrike (Cyber Security Metrike). Svakodnevno ću dijeliti jednu metriku IB-a s kratkim opisom, formulama, izvorima podataka, ograničenja itd. Zapravo, to je, naravno, ne gutatizacija, već kako to nazvati, ne znam. Isprva sam pomislio da zatvorim metrički katalog odmah i položio ga na Githubu, ali vrijeme da to učinim odmah i sve, ne. Ali u dijelovima mi se činilo prilično podizanje zadatka. Na dan na metriku - do kraja godine bit će 250 različitih metrika iz različitih domena IB - odgovor na incidente, upravljanje ranjivosti, Crveni tim, privatnost, upravljanje financijama, IB praćenje, usklađenost itd. Za razliku od trenutnog kanala "Post Lukatsky", novi sam uključivao priliku za komentare i rasprave, tako da možete razgovarati o svakom metriku, dijeliti iskustva itd.
Tako dobrodošli u novi telegramski kanal, koji će biti redovito ispunjen metrički katalog na IB.
Izvor - Blog Alexei Lukatsky "Business bez opasnosti."
Zanimljiviji materijal na cisoklolub.ru. Pretplatite se na nas: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Novo | Youtube | Puls.