Každý rok, mnoho, myslím si, že nastavil nejaké ambiciózne ciele, napríklad schudnúť. Oh, že toto je ja, hovoríme o bezpečnosti. Takže ciele na IB sú. Predpokladajme, že znížte počet incidentov za deň od 23 do 18 alebo 17%. Zdá sa, že je to krásny a potrebný cieľ, ale aby ste ho dosiahli, je potrebné vykonať niekoľko krokov. A keďže som spomenul chudnutie, potom sa snažme porovnať tieto dva procesy medzi sebou.
Takže chceme schudnúť. Ak si myslíte, že mnoho expertov fitness, prvý krok na tejto ceste bude vypočítané kalórie. Áno, je to nepríjemné vidieť, že sendvič s jedlom s doktnutou klobásou obsahuje takmer polovicu celej dennej kalorickej normy. Predpokladá sa, že to nielen tvorí zvyk z nás, ale tiež hrá psychologickú úlohu, ktorá sa zdá, že vidí mnoho ďalších kalórií, začneme sa o to starať a pokúsiť sa znížiť ich číslo. Je však potrebné.
Rovnaký problém a metriky IB. Keď začneme počítať všetky naše húfy, zmeškané spam, zmeškané phishing, nezraniteľné chyby, prijaté úniky, prestoje, nebezpečné návrhy v aplikačnom kóde, odomknuté prístavy na ITU, atď. Potom začneme tvoriť podmienený komplex menejcennosti. A ak sa stále rozhodneme vizualizovať všetky incidenty vo forme riadiacich dosiek a správ o IB, potom sa situácia stane ešte horšou. V podstate budeme pýtame v našej jednotnosti. A ak výsledky z aplikácie pre kontrolu napájania vidíte len vy (nejako málo ľudí používať funkciu "Share" v takýchto aplikáciách), IB prehľady pozri váš sprievodca a začne sa klásť otázky, ktoré sme sa veľmi báli.
Myslím si, že preto nemám často dobre implementované projekty na meranie a vizualizáciu IB (a zlé). A minulý rok som sa zúčastnil top desiatich projektov na navrhovanie alebo auditovanie SOCOS (Cisco sa aktívne zapája do takýchto projektov). Nemajú radi ukazovať výsledky svojej práce, ktoré v IB nie sú vždy takéto pozitívne.
Ale späť na merania vášho "zlého správania" (v či je jedenie alebo v IB). Je nepríjemné si uvedomiť, že robíme niečo zlé, ale je to potrebné, a to je z toho, že realizácia programu merania IB začína. Je však dôležité vedieť, čo a ako merať. Vráťme sa na chudnutie. Tu považujeme za kalórie, ale je to dôležité? Je dôležité predpokladať, že konkrétne sme jedli a koľko týchto kalórií boli "zlé" alebo "dobré". A tiež podmienky, v ktorých sme to všetko jedli. Predpokladajme, že sme znížili náš 500 kalórií. Dobre? Zdá sa, že áno. Môžete ho napísať do vášho aktíva. A ak sme znížili aktivitu na tých istých "500 kalórií"? Zdôrazňuje nič v podstate a nezmenilo sa. Na grafe bude vyzerať krásne, ale v reality ... a neberiem túto situáciu v výpočte, keď niekto vedome manipuluje s číslami.
S incidentmi. Samozrejme, pokles počtu incidentov neznamená nič. Dôvodom môže byť:
- Zníženie monitorovania poťahovania zóny
- Revízia pojmu incidentu
- Skrytie incidentov.
A môžete mať tiež zníženie celkového počtu incidentov, ale rast kritických incidentov. A konečne, môžete vás jednoducho zaútočiť, čo naznačuje pokles aktivity útočníkov, ale nie o kvalite vášho systému ochrany. A áno, môže to byť výsledok vašej práce a outsourcingu SOC, ako aj iných divízií spoločnosti (napríklad). Preto len jedna číslica neznamená nič - je potrebné pochopiť jeho životné prostredie, ako aj ho porovnať s inými zozbieranými alebo vypočítanými číslami.
A preto je dôležité, aby sa dostatočne merať dostatočne mnoho rôznych ukazovateľov, z ktorých potom vyberte požadované - pre rôzne úlohy, v rôznych časových obdobiach, pre rôzne cieľové publikum. Koniec koncov, metriky sú odlišné - prevádzkové, taktické a strategické. A v niektorých prípadoch, s veľkým počtom úrovní hierarchie IB v organizácii, môžu existovať výkonné metriky atď. Preto je potrebné spomínanie programu merania IB, je potrebné pripomenúť, že je to potrebné
- Zmerať všetko. Neskôr
- Merať správne veci. Neskôr
- Vezmite správne veci
Ale začať s meraním všetkého (dobre alebo veľa).
A tu som sa priblížil na čas, počas ktorého bola táto dlhá poznámka napísaná. Rozhodol som sa podľahnúť módnemu odkazu, nazývanému Hithabizácii IB (v ruštine) a spustil nový telegram kanál IB metrikou (Cyber Security Metriče). Každý deň budem zdieľať jednu metriku IB so svojím stručným popisom, vzorcami, zdrojmi údajov, obmedzenia atď. V skutočnosti to je, samozrejme, nie garithizácia, ale ako to nazvať, neviem. Spočiatku som si myslel, že okamžite zatvorí metrický katalóg a položte ho na github, ale čas na to okamžite a všetko, nie. Ale v častiach sa mi zdalo, že mi pomerne zdvíhanie. V deň na metrike - do konca roka bude 250 rôznych metrík z rôznych domén IB - reakcia na incidenty, riadenie zraniteľností, červeného tímu, súkromia, riadenia financií, monitorovanie IB, súlad atď. Na rozdiel od svojho aktuálneho kanálu "Post Lukatsky", nový som zaradil príležitosť na pripomienky a diskusie, aby ste mohli diskutovať každý metrický, zdieľať skúsenosti atď.
Takže vítaní v novom telegramovom kanáli, ktorý bude pravidelne naplnený metrickým katalógom na IB.
Zdroj - Blog Alexei Lukatsky "Business bez nebezpečenstva."
Zaujímavejší materiál na cisoclub.ru. Prihlásiť sa na nás: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NOVÉ | YouTube | Pulz.