3. Отличие дашборда от отчета
• Дашборд – это регулярно
обновляемое визуальное представление
наиболее важной информации,
сгруппированной на одном экране по
смыслу так, чтобы ее можно было легко
понимать и принимать на ее основе
правильные решения
• В дашборде первичен анализ данных, а не
их визуализация
!
4. Ключевые признаки дашборда
• Регулярное обновление (поэтому так
важна автоматизация)
• Группировка ключевых показателей,
позволяющая фокусироваться на нужных
данных
• Не единократное действие (принять), а
встраивание в процесс (принимать)
• Не визуализация сама по себе, а помощь в
принятии решения
!
13. Разница в восприятии топ-менеджмента
и аналитика
Аналитик
• Погружение в детали
• Нежелание расстаться
с собранными данными
• Данные ради данных
• Что? Где? Когда?
Топ-менеджмент
• Нужна общая картина
• Данные для принятия
решения
• Что будет? Что делать?
14. Создание дашборда шаг за шагом
1. КТО ваша целевая аудитория?
2. ЧТО нужно вашей целевой аудитории?
3. КАКОЕ решение должно быть принято?
4. На КАКИЕ вопросы нужно ответить?
5. КАКОЙ тип дашборда нужен?
6. КАКУЮ диаграмму/ы выбрать?
7. Создание макета
8. Создание прототипа
9. Итоговый дашборд
⛳
⛳
⛳
⛳
⛳
⛳
16. КТО?
!
Кто вы?
• Большая
организация со
своей
оргструктурой ИБ
и своими ролями
• Малая
организация – и
швец, и жнец, и на
дуде игрец
Кто ваша
аудитория?
• Кто ваша целевая
аудитория?
• CISO vs CxO
18. CISO: руководитель или
«рукамиводитель»?
• Сколько уровней между вами и CISO?
• CISO понимает, что от вас требует?
• «Сделайте мне красиво, понятно и чтобы я
мог перед предправления отчитаться»
• «Вы сами должны знать, что мне надо, я же
не зря вам плачу зарплату»
!
20. ЧТО?
• Что нужно вашей целевой аудитории?
Финансовому директору не интересны число и
релевантность ваших источников Threat Intelligence
CISO не интересно число уязвимостей в Web-сайте
компании
• Какие ключевые показатели ей
необходимо показать?
Знайте свой бизнес и потребности своей целевой
аудитории (да, это набивший оскомину тезис)
❓
21. КАКОЕ решение нужно принять?
• Запустить проект по повышению
осведомленности сотрудников?
• Увеличить инвестиции в проект по
приведению себя в соответствие с PCI DSS
или 382-П?
• Инвестировать в защиту Web-сайта от
прикладных атак?
• Обратиться к аутсорсингу ИБ вместо
содержания собственной службы ИБ?
!
Это уровень CISO – топ-менеджменту это неинтересно
А это вообще тема не
для дашборда, а для
отчета, так как речь
идет о разовом проекте
22. КАКОЕ решение нужно принять?
• Какой канал лучше позволяет привлекать
клиентов?
• Какие регионы/города России наиболее
перспективны для географической
экспансии?
• Как снизить издержки и повысить
доходность?
• Как поднять лояльность
сотрудников/клиентов/партнеров?
• Как снизить регулятивные риски?
!
Это уровень топ-менеджмента
23. Я про это уже говорил на Коде ИБ в
2016-м году
24. Что может быть интересно топ-
менеджменту в контексте ИБ (пример)?
• Бюджет на ИБ, в % от ИТ-бюджета
• Финансовые потери от инцидентов ИБ
Важно определиться с термином «Инцидент ИБ» в вашей
организации (выбросьте в топку ISO 27K и другие
стандарты)
Начните с оценки времени простоя сервисов
• Репутационный ущерб
• Стоимость инцидента (расследование и
восстановление)
!
26. Искать ли новые источники TI или
оставить используемые сейчас?
• Какое соотношение получаемых извне IoC с теми, которые
применялись в компании за отчетный период?
Ответ на этот вопрос помогает понять, насколько вообще внешние источники
помогают вашей организации в обнаружении атак и инцидентов?
• Какие источники TI наиболее релевантны для организации?
Это предыдущий показатель применительно к каждому внешнему источнику
• Число индикаторов, полученных от внешнего источника TI с
учетом их полезности для организации (полезно при
принятии финансовых решений о продлении контракта на TI)
!
27. Искать ли новые источники TI или
оставить используемые сейчас?
• Соотношение количества угроз, пришедших по каналам TI, и
не обнаруженных за счет внутренних возможностей
(фишинговые сайты, украденные логины/пароли, сайты-
клоны и т.п.)
• Какое количество получаемых извне IoC применялось в
компании?
Может оказаться вообще, что индикаторы компрометации вы получаете, но не
используете, потому что руки не доходят или не знаете, как автоматизировать
процесс интеграции внешних источников с вашими средствами защиты/анализа
• Сколько IoC, сформированных службой TI, помогло отразить
инциденты в организации (например, на МСЭ, IPS, рутерах и
т.п.)?
• Распределение полученных IoC по типам и соотношение их с
типами угроз внутри организации
!
28. Искать ли новые источники TI или
оставить используемые сейчас?
• Сколько playbook было создано/обновлено и использовано
группой по реагированию на инциденты на основе IoC,
сформированных службой TI?
• Динамика снижения числа ложных срабатываний средств
защиты после обогащения сигналов тревоги данными от
службы TI
• Снижение времени (ускорение) на расследование инцидента
и реагирование на него за счет обогащения данных об
инцидентах данными от службы TI
• Соотношение количества обнаруженных угроз средствами
защиты организации с данными от службы TI и без них
(например, голый IDS в сравнении с IDS + TI или IDS + TI +
SIEM)
!
29. Искать ли новые источники TI или
оставить используемые сейчас?
• Количество самостоятельно обнаруженных и отреверсенных
вредоносов по сравнению с традиционными антивирусными
программами (если это функция TI)
• Количество подготовленных бюллетеней по
акторам/угрозам/кампаниям, которые имели отношение к
предприятию; особенно тех бюллетеней, которые описывают
угрозы, направленные именно на само предприятие, а не
веерные угрозы
• Количество подготовленных бюллетеней, направленных в
ФинЦЕРТ/ГосСОПКУ/иным внешним лицам (если стоит
задача awareness и обучения отрасли/индустрии)
• Участие в стандартизации вопросов обмена информацией об
угрозах (если такая тема актуальна для организации).
!
30. Пример дашборда по TI в Cisco
Копировать чужие дашборды бессмысленно – вы должны ответить на вопрос:
«Что нужно именно вам?»
Скриншот не для публичного использования
32. Основные типы дашбордов
Стратегические
Аналитические
Оперативные
Для топ-менеджмента
Для руководителей среднего звена
Для исполнителей
Логи IDS, списки уязвимостей,
перечни непропатченных узлов
– это не дашборды и даже не
отчеты, но именно их нередко
выдают в качестве результата
Объем
информации
Масштаб
принимаемых
решений
33. Пример одного американского банка
This metric is used to monitor account access to critical applications and data thus focusing on the
Bank’s efforts to mitigate the potential risk associated with inappropriate access.
Quarter
Number of
Required
Reviews
Number of
Completed
Reviews
Q3 08 125 124 20 2
Q4 08 159 158 21 1
Q1 09 165 165 23 2
Q2 09 166 164 16 5
Q3 09 172 172 3 17
Requested Access
Changes Resulting
from Reviews
Removed Added
Critical Application and Data Access Review
Визуализация? Нет, не слышали
35. Дашборд для каждого проекта по
разработке в Cisco
Скриншот не для публичного использования
36. А вот это уже можно и топ-менеджменту
показывать
• Понятное
распределение багов
в продуктах с
привязкой к каждому
топ-менеджеру,
ответственному за
разработку того или
иного продукта
• Удобный инструмент
контроля и
«стимуляции»
Скриншот не для
публичного
использования
38. 4 основных вида анализа
Рейтинг
• Это самый
распространенный
вариант анализа, который
позволяет сравнивать
данные по принципу
больше/меньше. Число
незакрытых или
просроченных
инцидентов, число
непропатченных ПК,
размер ущерба, число
IoC, обработанные заявки
на доступ и т.п.
• Демонстрировать данный
анализ позволяют
линейчатые диаграммы и
гистограммы.
Динамика
• Это вид анализа, который
обычно демонстрируется
графиком или
гистограммой, показывает
тренд, сезонность,
изменение во времени
суток и т.п.
Структура
• Этот вид анализа
показывает часть, долю
целого. Например,
распределение затрат на
ИБ, распределение
инцидентов по типам или
источникам, соотношение
закрытых и просроченных
инцидентов и т.п.
• Единственным способом
отобразить данный вид
анализа позволяет
круговая диаграмма.
Взаимосвязи
• Это гораздо более
редкий, но все-таки
важный вид анализа,
который помогает
показать наличие или
отсутствие (а иногда и
характер) взаимосвязей
между несколькими
показателями.
39. Вам нужно всего 5 типов диаграмм
• Линейчатая диаграмма
• График
• Гистограмма
• Точечная/пузырьковая
диаграмма
• Круговая/кольцевая
диаграмма
41. Пример одного американского банка
254
Alerts
(validation step)
65
Client Notified Tickets
741
Events
(all events are investigated)
1,123
Events of Interest
66,743
Scans of FHFB devices
(Visibility, Verification, Vulnerability)
July 1, 2009 – September 30, 2009
This metric tracks the number of security events which are logged and the resulting number of alerts
sent to IS and IT. Alerts require action to be taken to ensure a security breach has not occurred.
FHLB = 0 Open Tickets
FHLB investigated and closed all tickets.
ev3 Service
42. Не увлекайтесь украшательством
• Приоритет должен быть отдан тому, ЧТО
показывать, а не КАК!
• Инфографика – это красиво, но при
принятии решений не очень помогает
43. Пример одного американского банка
Patching Status for all Workstations
Data gathered 10 days after release of patche and at the end of the month
326 330
295
313
272
318 328 340
278
319 331
350
21 16
52 28
50
16
24 12
69
28 14
2
54 55 54 61
74 66
55 55 61 63 61 55
1 1 3 3 8 4 0 0 2 0 3 2
4/ 24/ 09 4/ 30/ 09 5/ 22/ 09 5/ 29/ 09 6/ 22/ 09 6/ 30/ 09 7/ 24/ 09 7/ 31/ 09 8/ 21/ 09 8/ 31/ 09 9/ 18/ 09 9/ 29/ 09
Patched with Critical Patches M issing Critical Patches Patching Not Required Patching Deferred
This metric tracks the Bank’s progress in improving monitoring and patching to ensure that systems
are protected against known security vulnerabilities. This page provides information related to
workstation compliance.
Additional information regarding workstations classified as “Missing Critical Patches” in Q3 is provided on the next page,
Vulnerability Aging for Workstations.
Comment: IT implemented procedural changes in Q3 that resulted in almost 100% compliance for workstation patching in
September. The changes included requiring users with laptops at home to bring their laptops into the Bank for servicing on a
monthly basis. This has addressed a historical problem area in the patching process by improving the desktop support team’s
ability to ensure that all required laptop patches have been applied on these remote machines.
Bank PC and Laptop Inventory
Total Desktops: 303
Total Laptops: 106
Total Workstations: 409
Workstations were considered patched if they had received all of Microsoft’s applicable
critical Security patches released on or before September 8, 2009.
45. Как показать эффективность SOC?
• Насколько эффективно задействованы
сотрудники SOC?
• Все ли инциденты отрабатываются в срок?
• Какие инциденты больше всего отнимают
ресурсов?
☝
46. На какие вопросы нужно ответить?
• Количество инцидентов разных типов и
трудозатраты сотрудников SOC на
разбирательство с ними
• По каждому инциденту достаточно собрать
следующие данные
Сотрудник SOC, который работает с инцидентом
Тип инцидента (нужна классификация)
Источник инцидента
Статус инцидента (разрешен/просрочен)
Дата и время
☝
47. 4 блока аналитики для дашборда
Количество запросов
и трудозатрат по
сотрудникам SOC
Трудозатраты по
типам инцидентов
Динамика
инцидентов в течение
года
Количество
инцидентов по
источникам
Дашборд
49. Обратите внимание
• 3 уровня информации
Ключевые показатели
Аналитика
Детализация
• Правильный заголовок дашборда
• Меню/фильтры для возможности получения
выборки по нужным срезам (время,
департамент, регион и т.п.)
☝
50. Для аналитических дашбордов та же
идеология
Основные
показатели
Детальные
показатели
Пример: Cisco ISE (контроль сетевого доступа)
51. Для аналитических дашбордов та же
идеология
Основные
показатели
Детальные
показатели
Пример: Cisco Stealthwatch (мониторинг сетевых аномалий ИБ)
52. Не бойтесь рисовать
• Отрисовка макета
позволяет
«увидеть» то, как
будет выглядеть
ваш дашборд
• Занимает минут
10-15
• Не надо быть
Пикассо или
Верещагиным
53. Временные параметры тоже можно вынести
на дашборд (на другой дашборд)
Support business
outcomes
Enable business
change
Manage risk in line with business
needs
Optimize customer
experience
Show value
for moneyContinually improve
• Time-to-Detect (TTD)
• Time-to-Contain (TTC)
• Time-to-Remediate (TTR)
• Time-to-Response (TTR)
• Time-to-Mitigate (TTM)
TTD
TTC
TTR
Первая
активность Обнаружение Лечение Восстановление
TTM
55. Другие примеры показателей для
дашборда SOC
• Время между созданием и закрытием заявки (ticket) в SOC
• Процент инцидентов обнаруживаемых и нейтрализуемых
автоматически, без участия специалистов SOC
• Соотношение открытых и «закрытых» заявок
• Соотношение инцидентов и заявок
• Число повторных инцидентов
• Соотношение методов коммуникаций с SOC (e-mail / звонков /
портал)
• Число false positives (несуществующих инцидентов)
• Число изменений средств защиты по результатам
расследований инцидентов
• Соотношение инцидентов по их критичности
• Цена/длительность разрешения инцидента
• Число новых заявок
!
56. Еще пример макета: SOC для бизнеса
• Ключевые
показатели для SOC
в контексте бизнеса
• Оценка в контексте
работы SOC для
организации и для
ее клиентов разных
типов
• Оценка
удовлетворенности
58. Инциденты в ДБО
Число
инцидентов с
ДБО
Сумма
похищенных из
ДБО средств
Сумма
предотвращенных
потерь
Сумма
возвращенных
денежных
средств
Динамика инцидентов
Количество инцидентов по типам
клиентов
Ключевые
показатели
Аналитические
показатели
Если сумма похищенных средств в пределах риск-аппетита топ-менеджмента, то смысла
разрабатывать такой дашборд немного. Знайте свой бизнес!
А как эта сумма
соотносится с общим
объемом платежей
через ДБО?
59. Инциденты в АСУ ТП
Число
инцидентов с
АСУ ТП
Время простоя
Ущерб по
контрактным
обязательствам
Ключевые
показатели
Аналитические
показатели Динамика инцидентов
Количество инцидентов по
источникам
В качестве ключевых показателей также могут быть указаны число
пострадавших (люди/организации), уровень деградации процесса и
т.п.
60. Защита Web-сайта от DDoS-атак
Число
инцидентов с
Web-сайтом
Время
простоя
Число
потерянных
клиентов
Ключевые
показатели
Аналитические
показатели
Динамика
инцидентов
Объем
недополученной
выгоды
Снижение
репутации
Динамика оттока
клиентов
Динамика
негативных
публикаций в
прессе
Динамика потерь
Учитывайте вид деятельности, который обслуживает ваш сайт
61. Увольнение сотрудников
Число уволенных
сотрудников
Среднее время
простоя вакансии
Недополученная
прибыль на 1
сотрудника
Динамика увольнения Динамика потерь
Ключевые
показатели
Аналитические
показатели
Число
«обращенных»
сотрудников
Динамика «обращения»
сотрудников
62. Управление учетными записями
пользователей
Среднее число
учеток на
пользователя
Среднее время на
предоставление
доступа
Среднее время на
утверждение
изменений
Ключевые
показатели
Аналитические
показатели
Число учетных
записей без
пользователя
Число новых
учетных записей
Недополученная
прибыль
Время «простоя»
пользователя
Затраты на
управление
учетками
63. Повышение осведомленности
пользователей
Число сотрудников,
прошедших тренинг
Средняя стоимость
инцидента
Число инцидентов
Ключевые
показатели
Аналитические
показатели
Динамика числа
сотрудников,
прошедших
тренинги
Число сотрудников,
непрошедших
тренинги
Динамика
инцидентов
Динамика потерь
от инцидентов
64. Пример одного американского банка
64
An active information security awareness program can greatly reduce many risks that cannot be addressed through security
software and hardware devices. This metric focuses on the education of employees on different elements of information
security.
New Employees Who Receive Information Security Training
0
1
2
3
4
5
6
7
8
Q3 2008 Q4 2008 Q1 2009 Q2 2009 Q3 2009
New Hires Security Briefings
Security Awareness Activities
Q3 08
Q3 08 Q3 08
Q109
Q109
Q3 09
Q3 09
Q3 09
Q4 08
Q4 08
Q109
Q2 09
Q2 09
0
1
2
3
4
5
6
7
8
9
10
KnowYour Bank Email HomeBase Safetyoverviewwith
Boston Properties
Typeof Activity
65. Антиспам
Число почтовых
ящиков
Объем спама, % от
общего числа e-
mail
Потери
сотрудников от
«чтения» спама
Ключевые
показатели
Аналитические
показатели
Динамика объема спама
Динамика потерь
на хранение и
передачу спама
Динамика потерь сотрудников
от «чтения» спама
Затраты на
хранение и
передачу спама
66. Пример одного американского банка
This metric measures the currency of malicious code protection (a.k.a., anti-virus) on workstations and servers. Malicious code protection requires the
installation of “virus definitions” that enable the anti-virus software to recognize and protect the target machine against specific emerging threats. When
virus definitions are not kept current, the risk of a breach involving malicious code execution increases.
Windows Servers Anti-Virus Status
147 154
137
10 3
10
1
March'09
3/26
June'09
6/30
Sept '09
9/29
LowRisk Medium Risk HighRisk
Workstation Anit-Virus Status
333 333
15 21
334
2
6 2
March '09
3/26
June '09
6/30
Sept '09
9/29
LowRisk Medium Risk High Risk
67. Compliance
% выполнения НПА Дней до вступления НПА в силу
Ключевые
показатели
Аналитические
показатели
Динамика штрафов за
несоблюдение
Динамика
выданных
предписаний
Динамика судебных исков
69. Где и как брать данные?
Источники данных Адаптеры/коннекторы Множества данных Метрики Дашборды
70. Оценка антиспама: почему нужен API
% пользователей,
прошедших
тренинг по
использованию и
защите
электронной
почты
% пользователей,
сообщивших о
пропущенном
спаме/вредоносной
программе/
фишинге
Рейтинг
успешности
повышения
осведомленности
в области
использования и
защиты e-mail
Динамика обучения
Динамика спама / ВПО /
фишинга
Ключевые
показатели
Аналитические
показатели
% внутренних
нарушителей,
отправивших
спам/вредоносную
программу/
конфиденциальну
ю информацию
Динамика внутренних
нарушений
Нужна интеграция с
HRM
Нужна интеграция с
Case Management
Нужна интеграция с
Email Security
71. Где и как брать данные?
• Сырые данные необходимо брать либо от средств
защиты, либо от решений класса SIEM
• Для работы с топ-менеджментом понадобятся
обязательно данные от бизнес-систем (CRM, HRM,
SCM и т.п.)
• У абсолютного большинства современных систем
(исключая большинство средств защиты
отечественного производства) есть развитый API
• Для захвата и обработки данных можно
использовать Python / R или иные языки
программирования
• Можно попробовать «допилить» SIEM
☝
73. ИБ – это задача каждого в Cisco!
Владелец сервиса
Score Cards
*Pending
CIO
Unified
Security Metrics
*Время и тенденции
Топ-менеджер по сервису
Уязвимости и
производительность
*Тендеции
74. Cisco USM (Unified Security Metric)
• Термин «Уязвимость» в USM
отличается от привычного
понятия «уязвимость» в тех
же сканерах безопасности
• Это комплексный параметр
Уязвимость
Технологии
Приложения
(BAVA/DAVA)
Инфраструктура
Исключения
Процессы
Доступ
Архитектура
Люди
Культура
Навыки
PSA
75. Три компонента измерения
Люди
• Структура
• Обучение и
осведомленность
• Знания и опыт
Процессы
• Систематизация
инцидентов
• Отчеты об инцидентах
• Анализ инцидентов
• Закрытие инцидента
• Пост-инцидентная
обработка
• Обнаружение
уязвимостей
• Устранение уязвимостей
Технологии
• Готовность сетевой
инфраструктуры
• Сбор, корреляция и
анализ событий
• Мониторинг ИБ
• Контроль ИБ
• Управление логами
• Оценка уязвимостей
• Отслеживание
уязвимостей
• Threat Intelligence
76. Планы развития USM
• В следующих версия USM в них будут
включены помимо показателя
«Уязвимость» еще ряд показателей
• Угроза
• Ценность
• Цена/преимущества
84. Ключевые факторы успеха
• Вы должны понимать, что вы делаете в
области ИБ
• Вы должны понимать бизнес своего
предприятия
• Вы должны понимать свою целевую
аудиторию
• Вы должны уметь совмещать эти три
элемента вместе
• Вы должны знать, где лежат данные
• Вы должны уметь программировать
☝