08.12.2004

»спользование отчетов —«» при общении с руководством

¬ам нужны деньги на новую систему защиты? ¬ам нужны финансы на поддержку существующей? ¬ы хотите выбить деньги на свое обучение? ≈сли вы просто придете и попросите денег, то веро€тнее всего вам откажут. ѕоэтому вы должны обосновать трату денег. » вам не обойтись без правильно составленных отчетов, которые л€гут на стол руководителю и послужат аргументом в вашу пользу.  ак составить отчет и как он повли€ет на руководство? Ётому и посв€щена мо€ стать€.

»спользование отчетов —«» при общении с руководством

—начала отыщите факты, а потом непринужденно
манипулируйте ими так, как считаете нужным.

ћарк “вен

¬ам нужны деньги на новую систему защиты? ¬ам нужны финансы на поддержку существующей? ¬ы хотите выбить деньги на свое обучение? ≈сли вы просто придете и попросите денег, то веро€тнее всего вам откажут. ѕоэтому вы должны обосновать трату денег. » вам не обойтись без правильно составленных отчетов, которые л€гут на стол руководителю и послужат аргументом в вашу пользу.  ак составить отчет и как он повли€ет на руководство? Ётому и посв€щена мо€ стать€.

–уководство и отчеты

∆урналы регистрации (в просторечье логи) можно анализировать:

  • дл€ составлени€ представлени€ о текущей ситуации с безопасностью в компании или на отдельных ее участках (эта цель останетс€ за рамками текущей статьи, хот€ € о ней пару слов и скажу)
  • дл€ представлени€ руководству и выбивани€ из него "чего-нибудь" полезного.

¬ любом случае анализ логов и генераци€ на их основе отчетов производ€тс€ только с одной целью Ц совершение некоторого действи€. Ќастройка —«», сканирование сети в поисках дыр, прищучить "продвинутого юзера", выбить деньги на новую —«» или обновление существующей, составление служебной записки с рекомендаци€ми и т.п. Ѕез действи€ генераци€ отчетов будет бессмысленной тратой времени; если, конечно вы не пишите диссертацию (в моей практике были и такие случаи).

 ак должен выгл€деть отчет, который л€жет на стол руководителю? „то он может и должен содержать? Ќи в коем случае не дес€тки страниц, на которых в виде таблицы перечислены IP-адреса, с которых фиксировались атаки. ќтчет должен передавать основную мысль сразу Ц начальник не должен думать, что вы хотели сказать своими глубокомысленными фразами. —тарайтесь избегать синдрома Ђнестерпимого желани€ продемонстрировать свою значимость и свои знани€ї, когда докладчик стараетс€ вложить в короткий отчет всю доступную информацию, не забот€сь о том, что из этого может извлечь слушатель и читатели. —концентрируйтесь на чем-то одном, - не забывайте о русской пословице о двух зайцах. ѕлохо подготовленный и оформленный отчет, представленный руководству, не только не решает проблему, но и перечеркивает все ваши старани€. ќтчет дл€ руководства должен быть

  • легко читаемым
  • легко пон€тным
  • коротким.

≈сли информации много и ужать ее невозможно (хот€ это трудно себе представить), то приложите к отчету по€снительную записку на одну страницу Ц квинтесенцию (резюме) информации, содержащейс€ в отчете. „ерез руководство проход€т большие потоки и объемы информации и им нужна точна€, четка€, пон€тна€ и кратка€ информаци€, суть которой можно разместить на одной странице.

Ћюбой руководитель, который вынужден часами просиживать на различных заседани€х и привык к графическому представлению статистики. ј посему все, что можно поместить на графики и диаграммы, должно быть туда помещено. ѕодача информации в таком виде прибавл€ет веса докладчику и избавл€ет его от необходимости придумывать способ подачи логов, содержащих дес€тки тыс€ч записей. ¬ любом случае помните, что руководителю все равно, с какого адреса идет атака Ц с 192.168.1.2 или с 192.168.2.1. ≈му важно увидеть тенденцию и угрозу дл€ бизнеса.

¬ любом учебнике по менеджменту написано ЂЌе приносите руководству проблему Ц принесите ее решениеї. “оже применимо и к информационной безопасности. ¬ отчете руководству нужно не просто констатировать факт взлома, состо€ни€ безопасности или уровень защищенности, но и что-то просить Ц денег на —«», увольнени€ проштрафившегос€ администратора, поддержки в борьбе с другими подразделени€ми, обучени€ и т.п.

„тобы не св€зывать ни себе, ни руководству руки, предложите ему в отчете несколько возможных альтернатив и опишите плюсы и минусы каждой из них. ѕусть руководство само поучаствует в выборе. Ёто даст ему почувствовать свою значимость. ј чтобы руководитель не ушел в сторону от нужного вам результата, подготовьте заранее все аргументы. Ќо не перегружайте ими отчет Ц это может убить интерес к нему. ѕросто будьте готовы в нужный момент вынуть туза из рукава.

ƒл€ придани€ отчету веса и значимости в отчет можно включить следующие фразы:

  • Ђтекущее состо€ние средств безопасности не обеспечивает достаточной защиты бизнес-ресурсов, в т.ч. и недавно внедренной ERP-системыї
  • Ђинформаци€, хран€ща€с€ в ERP-системе, подвергаетс€ значительному риску несанкционированного раскрыти€, изменени€ и уничтожени€ї
  • Ђтекущее положение дел в области информационной безопасности в компании возникло в результате следующих причин: недостаточное обучение, недостаточный штат, отсутствие утвержденной политики безопасности, нехватка средств на —«» и ...ї
  • Ђнеобходимо срочно прин€ть неотложные меры по устранению возникшей ситуации и снижению уровн€ риска ERP-системы. ѕредлагаю ...ї

ќчковтирательство или что такое неправильно подготовленный отчет

—ейчас по ћоскве развешаны рекламные щиты ћ¬ƒ, на которых они отчитываютс€ (перед кем, непон€тно) о проделанной за 2003 год и первую половину 2004 года работе. ¬ частности, одним из достижений (а иначе, зачем рекламировать) называетс€ число раскрытых автомобильных угонов - 27 тыс€ч с небольшим (аналогична€ статистика недавно по€вилась и по компьютерным преступлени€м). Ёто €ркий пример очковтирательства, когда цифры выгл€д€т солидно, но не говор€т ни о чем. „то такое 27 тыс€ч?  ак изменилось это число по сравнению с прошлым годом? ј сколько всего было угнано машин? ћожет 27 тыс€ч - это капл€ в море? ј сколько машин возвращено владельцам? —огласитесь, что автовладельца интересует возврат железного друга, а не установление личности угонщика (хот€ последнее тоже немаловажно). јналогична€ ситуаци€ и с отчетами, генерируемыми средствами защиты на основе собираемых логов, Ц правильное их использование может очень сильно помочь вам в вашем нелегком труде, а вот неправильное применение отчетов может навредить состо€нию информационной безопасности компании.

Ќо создать правильный отчет - дело непростое. — одной стороны он должен иллюстрировать работу системы защиты, а с другой - быть пон€тным дл€ руководства, непогруженного в технические детали. Ќапример, мне не раз (да и вам, наверное, тоже) приходилось слышать такую фразу: "—истема зафиксировала 5342 атаки". » что? »з фразы мало что пон€тно.  роме того, вопросов после нее возникает гораздо больше.  аких атак? «а какой период? ќткуда исход€т атаки?  уда они направлены? ¬се эти вопросы очень важны и надо быть готовыми ответить на них. ¬друг ваш начальник, увидев отчет, в котором будет написано про 5432 атаки, спросит вас ЂЌаправлены ли они на только что внедренную ERP-систему?ї

" ак € могу создавать отчеты, если у мен€ нет —«»?" “ак возьмите ее! ¬ »нтернет полно свободно распростран€емых решений, которые позвол€т вам собрать неплохую статистику дл€ представл€емых руководству отчетов. ƒа и почти люба€ компани€, работающа€ на рынке »Ѕ, не будет возражать, если вы попросите у нее версию с ограниченным сроком действи€. ¬ такой ситуации выгода обоюдна€. ѕроизводитель получает нового потенциального клиента, а вы используете предлагаемое им средство защиты дл€ решени€ своих задач.

Ќадо сразу сказать, что даваемые ниже рекомендации применимы и к обычным отчетам, направленным не на выбивание средств, а подготавливаемым с целью информировани€ руководства о состо€нии уровн€ защищенности корпоративной сети или дл€ решени€ оперативных задач.

ѕримеры отчетов и их анализ

- ѕетька, приборы!
- “риста.
- „то "триста"?
- ј что "приборы"?

јнекдот

ќтчет є1. —истема обнаружени€ вторжений зафиксировала 5342 атаки.

ќтчет, содержащий такую информацию, не то, что не поможет выбить деньги. ќн может ухудшить ситуацию, т.к. проиллюстрирует вашу неспособность донести до руководства информацию, что в конечном итоге может сказатьс€ и на вашей карьере. ¬спомните, какой параметр чаще всего используетс€ при построении графиков? ¬рем€. »менно этот параметр делает документ нормальным отчетом, но одного его недостаточно дл€ целей безопасности.

ќтчет є2. —истема зафиксировала 5342 атаки с 1-го по 30 но€бр€.

» этот отчет тоже никому не нужен и ни о чем не говорит. ’от€ он и более грамотен с точки зрени€ построени€ отчетов. ј каково число атак в предыдущем мес€це? ј в этот же мес€ц в прошлый год? ј куда направлены атаки и откуда? ј какие выводы из него можно сделать, а следовательно, чего вы хотите добитьс€? ¬идите, ввод временного параметра сам по себе еще ничего не решает.

ќтчет є3. „исло атак, зафиксированных системой в но€бре, возросло на 35% по сравнению с но€брем прошлого года

Ѕолее интересен отчет, показывающий рост (или спад) числа атак, т.е. сравнивающий число атак в разные моменты времени. Ётот отчет уже показывает динамику и более нагл€дно иллюстрирует текущую ситуацию с безопасностью корпоративной сети. –азумеетс€, вы должны предоставить данные, демонстрирующие динамику.

Ћучше всего это сделать, использу€ процентное отношение, хорошо пон€тное любому руководителю. »так, отчет может быть таким - "„исло атак за прошедший мес€ц возросло на 35% по сравнению с аналогичным периодом прошлого года". »спользу€ относительные значени€, вы также уходите от необходимости указани€ точных цифр, которые могут и не впечатлить ваше руководство. Ётот отчет уже позвол€ет вам обосновывать увеличени€ финансировани€, св€занное с ростом хакерской активности.

Ќо и этот отчет может вводить в заблуждение, т.к. эта информаци€ не св€зана с р€дом других не менее важных, чем врем€, параметров. Ќапример, с числом источников атак, их приоритетом, целью и т.д. ћожет оказатьс€, что хоть число атак и возросло, но они нос€т хаотический характер (что, кстати, все равно не снимает необходимости защиты от них), направлены на второстепенные узлы или вообще абсолютно не несут никакой угрозы (например, обычное сканирование портов, также €вл€ющеес€ атакой).

ќтчет є4. —истема зафиксировала дыры в сети

јналогична€ ситуаци€ и с логами, содержащими информацию об обнаруженных дырах. Ѕольшой интерес представл€ет отчет, показывающий рост числа дыр, т.е. сравнивающий число дыр в разные моменты времени.

≈сли число растет, то возможны следующие ситуации:

  • обновили программное обеспечение в сети за которым и последовал рост числа дыр, включа€ слабости в настройке
  • в сканируемом сегменте увеличилось число узлов
  • Ђпродвинутыеї пользователи самовольно изменили конфигурацию своих компьютеров, что и повлекло за собой снижение их защищенности и рост числа дыр
  • администраторы ничего не делают и зр€ ед€т свой хлеб
  • и т.д.

¬ качестве действий, следующих за этим отчетом, можно назвать:

  • увольнение администраторов-дармоедов
  • обучени€ администраторов
  • оплаты поддержки ѕќ с целью своевременного получении патчей и других обновлений
  • оплаты систем управлени€ патчами
  • проведение аудита сети.

Ќо даже если число дыр растет, то надо также смотреть, увеличиваетс€ ли число узлов, на которых эти дыры обнаруживаетс€. ≈сли растет теми же темпами, что и дыры, то может быть ничего серьезного и не происходит.

ѕоэтому на этом этапе необходимо выбрать дальнейшую детализацию. ¬озможно, что вы решите, что надо в отчет-рекомендацию включить несколько диаграмм, иллюстрирующих различные аспекты одной и той же проблемы.   таким диаграммам можно отнести:

  • число критичных атак за прошедший мес€ц возросло на 35% по сравнению с аналогичным периодом прошлого года.
  • число внутренних атак за прошедший мес€ц возросло на 35% по сравнению с аналогичным периодом прошлого года.
  • по сравнению с аналогичным периодом прошлого года число атак на ERP-систему возросло за прошедший мес€ц на 35%.

ѕоследний отчет с большей веро€тностью, чем остальные, позволит вам убедить руководство в необходимости реализации тех или иных шагов. ќсобенно если ERP-система €вл€етс€ любимой игрушкой вашего босса или ее внедрение входит в основные бизнес-цели компании на ближайший период. —в€жите необходимость реализации защитных мер и выделени€ на них финансовых средств с бизнес-целью компании и считайте, что вы схватили синюю птицу за хвост.

»спользование информации об источниках атак в отчетах

»так, если за основу вз€ты источники атак, то необходимо обратить внимание на следующее. ≈сли число источников не мен€етс€ при росте атак, то это плохо и означает, что некто (этот некто определ€етс€ в результате процедуры реагировани€ на инциденты) увеличивает свою активность и пытаетс€ проникнуть в вашу сеть или вывести из стро€ ваши ресурсы. ј вот если число источников растет вместе с ростом атак, то и тенденции ухудшени€ ситуации нет (если какой-либо график не опережает другой). Ќапример, посто€нно используемый на многих выступлени€х (€ сам его регул€рно демонстрирую) график, иллюстрирующий экспоненциальный рост числа взломанных сайтов, на самом деле ни о чем не говорит. ќн имеет смысл только тогда, когда число самих сайтов растет неэкспоненциально. “огда действительно динамика очевидна. ¬ противном случае, отношение числа взломанных сайтов к общему числу сайтов не мен€етс€ и рост числа атак €вл€етс€ следствием роста числа узлов в »нтернет.

»спользование информации о природе атак в отчетах

“акже важна природа источника атак - внутренний и внешний (по отношению к атакуемому узлу). ѕоэтому важен отчет о числе внешних и внутренних атак и их тенденци€м. ≈сли соотношение внутренних атак к внешним растет, то что-то неладно в ƒатском королевстве и надо концентрироватьс€ на внутренней угрозе, а из руководства можно выбивать деньги на новые средства внутренней защиты (хот€ можно попробовать обойтись и встроенными в коммутаторы механизмами защиты) и обучение персонала. ≈сли большинство атак приходит снаружи, то надо концентрировать внимание руководства на защите периметра (хот€ в современных сет€х пон€тие периметр давно стал нечетким и расплывчатым).

”спешные и неуспешные атаки

√ораздо более важно знать, сколько атак завершилось Ђуспешної и с каких адресов. ¬озможно окажетс€, что все успешные атаки произошли изнутри, а все внешние нападени€ отражены или блокированы. Ќадо заметить, что систем, которые в состо€нии определить Ђуспешностьї атаки практически не существует. Ќужна коопераци€ нескольких систем, например, сканеров безопасности и систем обнаружени€ атак или систем обнаружени€ атак и межсетевых экранов и т.п. ј дл€ этого необходимо применение систем более высокого уровн€, умеющих коррелировать событи€ от разнородных средств защиты. “акие системы есть (например, CiscoWorks SIMS, Intelligent Vision и т.п.) и к ним применимы те же самые рекомендации при подготовке отчетов.

ќтчет є5. —истема зафиксировала некоторую атаку внутри сети

» этот отчет тоже ни о чем не говорит, даже если в нем указано, что это за атака и куда направлена. Ѕолее интересен отчет, сравнивающий записи системы обнаружени€ атак и межсетевого экрана. ≈сли в логах ћ—Ё нет записи об атаке, но ее источник внешний, то:

  • ћ—Ё не способен контролировать трафик и его надо мен€ть
  • ћ—Ё плохо настроен и необходимо зан€тьс€ его конфигурацией.

“акой отчет, который можно получить из системы коррел€ции или составить собственноручно, позвол€ет требовать:

  • увольнени€ администратора ћ—Ё
  • обучени€ администратора ћ—Ё
  • оплаты поддержки ћ—Ё
  • замены существующего ћ—Ё на новый
  • покупки системы обнаружени€ атак.

–екомендации по использованию диаграмм и графиков

ƒанный раздел уже не имеет отношени€ ни к теме статьи, ни вообще к информационной безопасности. Ќо € решил его включить, т.к. он напр€мую относитс€ к тому, как правильно создавать отчеты. “ем более, что вам вр€д ли удастс€ автоматизировать процесс создани€ отчетов дл€ руководства. ¬ существующих на рынке системах защиты эти вопросы не учитываютс€. ј уже упом€нутые системы коррел€ции не всем по карману. —амое главное в использовании этих элементов оформлени€ Ц иде€, т.е. понимание того, что вы хотите сказать диаграммой.

¬се ваши идеи могут быть описаны всего п€тью типами анализа:

  • ѕокомпонентный, при котором дол€ каждого сравниваемого компонента показываетс€ в процентах от целого. Ќапример, дол€ атак на ERP-систему составл€ет всего 15% от всех нападений на информационные ресурсы.
  • ѕозиционный, при котором показываетс€, как сравниваемые объекты соотнос€тс€ друг с другом (одинаковы, больше или меньше). Ќапример, число атак на ERP-систему превысило число атак на внешний Web-сервер.
  • ¬ременный, при котором показываетс€ изменение одного или нескольких объектов во времени. Ќапример, число атак на ERP-систему растет каждый мес€ц.
  • „астотный, при котором показываетс€, сколько сравниваемых объектов попадает в определенные последовательные области значений. »ными словами, данный вариант позвол€ет обобщить накопленные системами защиты данные. Ќапример, число атак в рабочее дообеденное врем€ Ц 15%, рабочее послеобеденное врем€ Ц 35%, нерабочее врем€ Ц 50%. Ётот тип анализа обычно используетс€ дл€ предсказани€ рисков, веро€тности или возможности осуществлени€ какой-либо угрозы, либо дл€ показа некоторой значимой взаимосв€зи.
  •  орелл€ционный, при котором показываетс€ наличие или отсутствие св€зи между сравниваемыми переменными. Ќапример, рост зарплаты сотрудников напр€мую св€зан с уменьшением числа атак на ERP-систему (в данном отчете главное не показывать длительную тенденцию, иначе окажетс€, что это взаимосв€зь действует всего в течение 2-3-х мес€цев после повышени€ зарплаты ;-) ƒругой пример использовани€ данного типа анализа Ц показ числа атак до и после установки межсетевого экрана или системы предотвращени€ атак.

“ип диаграммы определ€ют не данные, а иде€, т.е. тот смысл, который вы вкладываете в диаграмму. “аких типов существует всего 5:

  •  ругова€ Ц используетс€ при покомпонентном сравнении.
  • Ћинейчата€ Ц используетс€ при позиционном и коррел€ционном сравнении. ¬ последнем случае используетс€, если значений мало.
  • √истограмма Ц используетс€ при временном и частотном сравнении (при числе значений не более 6-7).
  • √рафик Ц аналог гистограммы, но дл€ числа значений, превышающих 6-7.
  • “очечна€ Ц используетс€ при коррел€ционном сравнении большого числа значений (в противовес линейчатой диаграмме).

  сожалению, тема эффективного использовани€ графиков и диаграмм достаточно обширна (ей посв€щаютс€ даже целые книги) и рассмотреть все ее аспекты в одной статье невозможно. √лавное, не довер€ть создание отчетов, которые л€гут на стол руководству, системе защиты. Ћучше потратить денек на Ђручнуюї работу, но достичь результата, чем автоматизировать эту задачу, потер€в надежду на достижение цели.

«аключение

ѕрошли те времена, когда гонцу с плохой вестью отрубали голову. ¬злом вашей сети Ц это конечно плохо, но при правильном подходе это может сыграть вам на руку. ѕрид€ с повинной к руководству и заранее грамотно составив отчет и подготовив аргументы, вы можете выйти из кабинета начальника победителем. Ќо помните, что используемые вами логи нужны только в контексте прин€ти€ решени€. Ќа их основе должно строитьс€ конкретное решение, вывод или действие. Ќе надо ставить информацию во главу угла - она нужна только дл€ подтверждени€ вашего вывода или доказательства предлагаемого решени€. »ногда бывает достаточно одностраничного отчета всего с одной диаграммой, чтобы руководство поверило вам и не стало требовать исходных данных, подтверждающих ваши выкладки.

» не забывайте, что в ваших отчетах, в которых идет речь о деньгах, необходимо добиватьс€, чтобы их прочтение вызвало у руководства понимание всей опасности и возможные последстви€. “олько в этом случае, отчет будет работать на вас.

ќб авторе:

јлексей Ћукацкий, Cisco Systems

alukatsk@cisco.com

или введите им€

CAPTCHA