Каждый год многие, я так думаю, ставят перед собой какие-нибудь амбициозные цели, например, похудеть. Ой, что это я, мы же про безопасность говорим. Значит ставятся цели по ИБ. Допустим снизить число инцидентов в день с 23 до 18 или на 17%. Вроде бы красивая и нужная цель, но чтобы достичь ее, необходимо произвести ряд шагов. И раз уж я упомянул похудение, то попробуем сравнить эти два процесса между собой.
Итак, мы хотим похудеть. Если верить многочисленным фитнесс-экспертам первым шаг на этом пути будет подсчет сожранных калорий. Да, это неприятно видеть, что съетый на ночь бутерброд с докторской колбасой содержит чуть ли не половину всей дневной нормы калорий. Считается, что это не только формирует у нас привычку, но и играет психологическую роль, заключающуюся в том, что видя множество лишних калорий, мы начнем беспокоиться об этом и стараться снизить их число. Но считать надо.
Таже проблема и с метриками ИБ. Когда мы начинаем считать все наши факапы косяки, пропущенный спам, пропущенный фишинг, непропатченные уязвимости, допущенные утечки, простои, опасные конструкции в коде приложений, незакрытые порты на МСЭ и т.п., то у нас начинает формироваться условный комплекс неполноценности. А если еще мы решим визуализировать все инциденты в виде дашбордов и отчетов по ИБ, то ситуация станет еще хуже. По сути мы распишемся в своей профнепригодности. И если результаты из приложения по контролю за питанием видите только вы (как-то мало люди пользуются функцией «поделиться» в таких приложениях), то отчеты по ИБ видит ваше руководство и оно начинает задавать вопросы, которых мы исподволь боимся.
Думаю именно поэтому я не так часто вижу хорошо реализованные проекты по измерению и визуализации ИБ (да и плохо тоже). А я за прошлый год поучаствовал в десятке проектов по проектированию или аудиту SOCов (Cisco активно занимается такими проектами). Не любят у нас показывать результаты своей работы, которые в ИБ не всегда такие уж и положительные.
Но вернемся к измерениям своего «плохого поведения» (в еде ли, или в ИБ). Неприятно осознавать, что мы что-то делаем не так, но надо и именно с этого начинается реализации программы измерения ИБ. Однако, важно также знать что и как измерять. Вернемся к похудению. Вот мы считаем калории, но так ли это важно? Важно считать, что конкретно мы съели и насколько эти калории были «плохие» или «хорошие». А также условия, при которых мы это все съели. Допустим, снизили мы свой рацион на 500 калорий. Хорошо? Вроде да. Можно записать это себе в актив. А если мы активность снизили на те же «500 калорий»? Получается ничего по сути и не изменилось. На графике-то оно будет выглядеть красиво, но в реальности… И это я еще не беру в расчет ситуацию, когда кто-то осознанно манипулирует цифрами.
С инцидентами все тоже самое. Само по себе снижение числа инцидентов не говорит ни о чем. Причиной этого может быть:
- снижение зоны покрытия мониторингом
- пересмотр понятия инцидента
- скрытие инцидентов.
А еще у вас может быть снижение общего числа инцидентов, но рост критичных инцидентов. Ну и, наконец, вас могут просто меньше атаковать, что говорит о снижение активности злоумышленников, но не о росте качества вашей системы защиты. И да, это может быть результат работы вашего и аутсорсингового SOC, а также иных подразделений компании (например, ИТ). Поэтому просто одна цифра не значит ничего — надо понимать ее окружение, а также сопоставлять ее с другими собираемыми или вычисляемыми цифрами.
И поэтому так важно измерять достаточно много разных показателей, из которых потом уже выбирать нужные — под разные задачи, в разные периоды времени, для разных целевых аудиторий. Ведь метрики бывают разные — операционные, тактические и стратегические. А в ряде случаев, при большом количестве уровней ИБ-иерархии в организации, могут быть и executive-метрики и др. Поэтому запуская программу измерений ИБ надо помнить, что необходимо
- Измерять все. Потом
- Измерять правильные вещи. Потом
- Измерять правильные вещи правильным образом
Но начинать с измерения всего (ну или многого).
И вот тут я подступаю к тому, для чего писалась эта длинная заметка. Решил я тут поддаться модному поверью, называемому гитхабизации ИБ (на русском), и запустить новый Telegram-канал по метрикам ИБ (Cyber Security Metrics). Буду ежедневно делиться одной метрикой ИБ с ее кратким описанием, формулей, источниками данных, ограничениями и т.п. На самом деле это, конечно, не гитхабизация, но как это назвать, я не знаю. Сначала я думал заделать сразу каталог метрик и выложить его на Github, но времени на то, чтобы сделать это сразу и все, нет. А вот по частям мне показалось вполне подъемной задачей. В день по метрике — к концу года получится 250 разных метрик из разных доменов ИБ — реагирование на инциденты, управление уязвимостями, Red Team, Privacy, управление финансами, мониторинг ИБ, compliance и т.п. В отличие от своего текущего канала «Пост Лукацкого«, у нового я включил возможность комментариев и обсуждения, чтобы можно обсуждать каждую метрику, делиться опытом и т.п.
Так что добро пожаловать в новый Telegram-канал, который будет этаким регулярно наполняемым каталогом метрик по ИБ.
Отличная идея!
К сожалению, комментарии не доступны.
В смысле? Вроде там были комментарии
Этот комментарий был удален администратором блога.