Elk jaar denk ik dat, waarvan ik, een aantal ambitieuze doelen stellen, bijvoorbeeld om af te vallen. Oh, dat is ik, we hebben het over beveiliging. Dus de doelen op IB worden gezet. Veronderstel om het aantal incidenten per dag van 23 tot 18 of 17% te verminderen. Het lijkt een mooi en noodzakelijk doel te zijn, maar om het te bereiken, is het noodzakelijk om een aantal stappen te maken. En aangezien ik gewichtsverlies noemde, laten we deze twee processen onderling proberen te vergelijken.
Dus we willen afvallen. Als u talloze fitnessexperts gelooft, wordt de eerste stap op dit pad berekend calorieën. Ja, het is onaangenaam om te zien dat de sandwich-etende sandwich met doctorale worst bijna de helft van de hele dagelijkse calorie-norm bevat. Er wordt aangenomen dat dit niet alleen de gewoonte van ons vormt, maar speelt ook een psychologische rol, die de vele extra calorieën lijkt te zien, zullen we ons zorgen maken en proberen hun nummer te verminderen. Maar het is noodzakelijk.
Hetzelfde probleem en metrics IB. Wanneer we beginnen met het tellen van al onze scholen, gemiste spam, gemiste phishing, ongepaste kwetsbaarheden, toegelaten lekken, downtime, gevaarlijke ontwerpen in de toepassingscode, ontgrendeld poorten op ITU, enz., Dan beginnen we een voorwaardelijk complex van minderwaardigheid te vormen. En als we nog steeds besluiten om alle incidenten in de vorm van dashboards en rapporten over IB te visualiseren, zal de situatie nog erger worden. In wezen zullen we in onze uniformiteit worden gevraagd. En als de resultaten van de applicatie voor Power Control alleen u zien (sommige mensen gebruiken enkele mensen de functie "Deel" in dergelijke toepassingen), IB-rapporten zien uw gids en het begint vragen te stellen vragen We zijn erg bang.
Ik denk dat dat is waarom ik niet vaak goed geïmplementeerde projecten zie voor de meting en visualisatie van IB (en ook slecht). En vorig jaar nam ik deel aan de top tien projecten voor het ontwerpen of auditing SOCO's (Cisco is actief bezig met dergelijke projecten). Ze houden er niet van om de resultaten van hun werk te laten zien, wat in IB niet altijd zo positief is.
Maar terug naar de metingen van je 'slecht gedrag' (of het nu gaat om eten, of in IB). Het is onaangenaam om te beseffen dat we iets verkeerd doen, maar het is noodzakelijk en het is hierop dat de implementatie van het IB-meetprogramma begint. Het is echter ook belangrijk om te weten wat en hoe te meten. Laten we teruggaan naar gewichtsverlies. Hier beschouwen we calorieën, maar is het belangrijk? Het is belangrijk om aan te nemen dat specifiek we aten en hoeveel deze calorieën "slecht" of "goed" waren. En ook de omstandigheden waaronder we het allemaal hebben opgegeten. Stel dat we ons 500 calorie-dieet hebben verminderd. Oke? Het lijkt ja. Je kunt het op je actief schrijven. En als we een verminderde activiteit hebben op dezelfde "500 calorieën"? Het blijkt niets in essentie en is niet veranderd. Op de kaart ziet het er mooi uit, maar in werkelijkheid ... en ik neem de situatie nog niet in de berekening wanneer iemand bewust de cijfers manipuleert.
Met incidenten allemaal hetzelfde. Op zich betekent de daling van het aantal incidenten niets. De reden hiervoor kan zijn:
- Het bewaken van de bekledingszone-monitoring
- Herziening van het concept van incident
- Incidenten verbergen.
En u kunt ook een afname hebben in het totale aantal incidenten, maar de groei van kritieke incidenten. En tot slot, kunt u eenvoudig u aanvallen, wat de daling van de activiteit van aanvallers aangeeft, maar niet over de kwaliteit van uw beveiligingssysteem. En ja, het kan het gevolg zijn van uw werk en outsourcing SOC, evenals andere divisies van het bedrijf (bijvoorbeeld het). Daarom betekent slechts één cijfer niets - het is noodzakelijk om zijn omgeving te begrijpen, evenals het vergelijken met andere verzamelde of berekende nummers.
En daarom is het zo belangrijk om voldoende veel verschillende indicatoren te meten, waarvan, dan de gewenste - voor verschillende taken, op verschillende tijdsperioden kiezen voor verschillende doelgroepen. Tenslotte zijn statistieken anders - operationeel, tactisch en strategisch. En in sommige gevallen, met een groot aantal niveaus van de IB-hiërarchie in de organisatie, kunnen er een uitvoerende statistieken zijn, enz. Daarom moet de lancering van het IB-meetprogramma worden herinnerd dat het noodzakelijk is
- Meet alles. Later
- Meet de juiste dingen. Later
- Neem de juiste dingen
Maar begin met de meting van alles (goed of veel).
En hier benaderde ik de tijd waarvoor deze lange noot werd geschreven. Ik besloot om te bezwijken voor de trendy referentie, de hithabisatie van IB (in het Russisch) genaamd en een nieuw telegram-kanaal door IB-metrics (Cyber Security Metrics) lanceert. Ik zal elke dag een enkele metriek van IB delen met zijn korte beschrijving, formules, gegevensbronnen, beperkingen, enz. In feite is dit natuurlijk geen guithabisatie, maar hoe het te noemen, ik weet het niet. In het begin dacht ik de metrische catalogus onmiddellijk te sluiten en op Github te leggen, maar de tijd om het onmiddellijk en alles te doen, nee. Maar in delen leek het me een behoorlijke taak. Op de dag op de metrische - aan het einde van het jaar zullen er 250 verschillende statistieken zijn van verschillende domeinen IB - reactie op incidenten, beheer van kwetsbaarheden, rood team, privacy, financiële management, IB-monitoring, naleving, enz. In tegenstelling tot het huidige kanaal "Post Lukatsky", heb ik de mogelijkheid gegeven aan opmerkingen en discussies, zodat u elke metriek kunt bespreken, ervaringen delen, enz.
Zo welkom in het nieuwe telegramkanaal, dat een regelmatig gevulde metrische catalogus op IB zal zijn.
Bron - Blog Alexei Lukatsky "Zakelijk zonder gevaar."
Meer interessant materiaal op cisoclub.ru. Abonneer u op ons: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NIEUW | YouTube | Puls.