Varje år, många, tror jag det, ställer några ambitiösa mål, till exempel, att gå ner i vikt. Åh, det här är jag, vi pratar om säkerhet. Så målen på IB sätts. Antag att minska antalet incidenter per dag från 23 till 18 eller 17%. Det verkar vara ett vackert och nödvändigt mål, men för att uppnå det är det nödvändigt att göra ett antal steg. Och sedan jag nämnde viktminskning, låt oss försöka jämföra dessa två processer bland dem själva.
Så vi vill gå ner i vikt. Om du tror många träningsexperter kommer det första steget på den här vägen att beräknas kalorier. Ja, det är obehagligt att se att sandwich-äter smörgås med doktorander med nästan hälften av hela den dagliga kalorianordningen. Det antas att detta inte bara utgör vanan i oss, men spelar också en psykologisk roll, som verkar se de många extra kalorierna, vi kommer att börja oroa oss för det och försöka minska deras antal. Men det är nödvändigt.
Samma problem och mätvärden Ib. När vi börjar räkna alla våra shoals, missade spam, missade phishing, opastiserade sårbarheter, medgav läckage, stillestånd, farliga mönster i applikationskoden, upplåsta portar på ITU etc., då börjar vi bilda ett villkorligt komplex av underlägsenhet. Och om vi fortfarande bestämmer oss för att visualisera alla incidenter i form av instrumentpaneler och rapporter om IB, blir situationen ännu värre. I huvudsak kommer vi att bli ombedda i vår enhetlighet. Och om resultaten från applikationen för strömkontroll bara ser du (på något sätt använder funktionen "Dela" i sådana applikationer), IB-rapporter, se din guide och det börjar ställa frågor vi är väldigt rädda.
Jag tror det är därför jag inte ofta ser väl implementerade projekt för mätning och visualisering av IB (och dåligt också). Och förra året deltog jag i de tio bästa projekten för att designa eller revisera SOCOS (Cisco är aktivt engagerad i sådana projekt). De gillar inte att visa resultaten av sitt arbete, som i IB inte alltid är så positiva.
Men tillbaka till mätningarna av ditt "dåliga beteende" (om du äter eller i Ib). Det är obehagligt att inse att vi gör något fel, men det är nödvändigt och det är från detta att genomförandet av IB-mätprogrammet börjar. Det är dock också viktigt att veta vad och hur man mäter. Låt oss gå tillbaka till viktminskning. Här anser vi kalorier, men är det viktigt? Det är viktigt att anta det specifikt vi åt och hur mycket dessa kalorier var "dåliga" eller "bra". Och även de villkor under vilka vi ätit allt. Antag att vi minskade vår 500 kalori diet. Okej? Det verkar ja. Du kan skriva den till din tillgång. Och om vi har minskad aktivitet på samma "500 kalorier"? Det visar sig ingenting i huvudsak och har inte förändrats. På diagrammet kommer det att se vackert ut, men i verkligheten ... och jag tar inte situationen ännu i beräkningen när någon medvetet manipulerar siffrorna.
Med incidenter alla samma. I sig betyder nedgången i antalet incidenter ingenting. Anledningen till detta kan vara:
- Reducera beläggningszonens övervakning
- Revision av begreppet incident
- Gömma incidenter.
Och du kan också få en minskning av det totala antalet incidenter, men tillväxten av kritiska incidenter. Och äntligen kan du helt enkelt attackera dig, vilket indikerar nedgången i aktiviteten av angripare, men inte om kvaliteten på ditt skyddssystem. Och ja det kan vara resultatet av ditt arbete och outsourcing soc, liksom andra divisioner av företaget (till exempel). Därför betyder bara en siffra inte någonting - det är nödvändigt att förstå sin miljö, liksom jämföra det med andra samlade eller beräknade tal.
Och därför är det så viktigt att mäta tillräckligt många olika indikatorer, av vilka sedan väljer det önskade - för olika uppgifter, vid olika tidsperioder, för olika målgrupper. När allt kommer omkring är mätvärden olika - operativa, taktiska och strategiska. Och i vissa fall, med ett stort antal nivåer av IB-hierarkin i organisationen, kan det finnas verkställande metriker, etc. Därför måste lanseringen av IB-mätprogrammet komma ihåg att det är nödvändigt
- Mäta allt. Senare
- Mäta de rätta sakerna. Senare
- Ta rätt saker
Men börja med mätningen av allt (bra eller mycket).
Och här närmade jag tiden den tid den här långa anteckningen skrevs. Jag bestämde mig för att bukta för den trendiga referensen, kallad hithabization av IB (på ryska) och starta en ny telegramkanal av IB-mätvärden (Cyber Security Metrics). Jag kommer att dela en enda metrisk av IB varje dag med sin korta beskrivning, formler, datakällor, restriktioner etc. I själva verket är det självklart inte en guithitabization, men hur man kallar det, vet jag inte. Först tänkte jag omedelbart stänga den metriska katalogen och lägga den på GitHub, men tiden att göra det omedelbart och allt, nej. Men i delar tycktes jag mig ganska lyft uppgift. På dagen på metriska - i slutet av året kommer det att finnas 250 olika mätvärden från olika domäner IB - svar på incidenter, hantering av sårbarheter, röda lag, integritet, finansledning, IB-övervakning, överensstämmelse etc. Till skillnad från sin nuvarande kanal "Post Lukatsky" har det nya jag tagit möjlighet till kommentarer och diskussioner så att du kan diskutera alla metriska, dela erfarenheter etc.
Så välkommen till den nya telegramkanalen, som kommer att bli en regelbundet fylld metrisk katalog på IB.
Källa - Blog Alexei Lukatsky "Business utan fara."
Mer intressant material på cisoclub.ru. Prenumerera på oss: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ ny | YouTube | Puls.