Дашборды по ИБ для руководства: КТО, ЧТО и КАКОЕ

Дашборды по ИБ для руководства: КТО, ЧТО и КАКОЕ
Достаточно часто сталкиваюсь с вопросом, который звучит "Как должен выглядеть отчет/дашбоард по ИБ для руководства?" Это немного другая сторона медали, связанной с выходом ИБ на уровень бизнеса, о которой я достаточно часто говорю в последние годы (хотя и не так часто как хотелось бы). Многие вопрошающие считают, что существует некий магический пример отчета или дашборда (разница между этими понятиями не столь большая), который можно скопировать и наступит счастье в общении с руководством, которое сразу должно понять, что безопасность не зря ест свой хлеб и не зря на нее тратят десятки и сотни миллионов рублей. Нередко заданный в начале вопрос сопровождается дополнением - "У нас уже есть SIEM/SOC и нам осталось только правильно расположить виджеты, чтобы получить нужный результат. У вас же в Cisco это сделано. Покажите как?"

Вот об этой проблеме мы сегодня поговорим, но как это часто бывает - никакой серебряной пули не существует и никакого магического отчета нет. Все ситуации уникальны, а потому уникальны будут и дашборды/отчеты, которые могут показать эффективность (или неэффективность) работы службы ИБ или отдельных ее подразделений. Но это не значит, что нет общих рецептов, которым надо следовать, чтобы добиться нужного результата. Для начала стоит понять, в чем корень проблем с визуализацией бизнес-представления ИБ? В разном восприятии. Человек, готовящий отчет (предположим, что он понимает, чем он занимается), слишком погружен в детали. Он считает все данные в отчете или на дашборде важными. Еще бы - он ведь их сам собирал по крупицам и поэтому не может отказаться от чего-то, на что он, возможно, потратил не одну неделю. Руководителю (и не важно какого уровня), в отличие от аналитика, нужны не детали, а общая картина, наглядность. Аналитика волнуют ответы на вопросы классической игры "Что? Где? Когда?", а руководителю нужны ответы на вопросы "Что будет? Что делать?" Отсюда и все проблемы, для устранения которых надо ответить на ряд простых на первый взгляд вопросов, а точнее просто произвести декомпозицию исходной задачи.


Первое с чего стоит начать, с ответа на вопрос "КТО?", который разбивается на две составные части - кто вы и кто ваша целевая аудитория? Первая часть не столь актуальна в небольших организациях, в которых вся ИБ - это 2-5 человек без жесткой иерархии подчинения. В такой ситуации совсем не важно, кто вы; главное, что вы занимаетесь ИБ и вам поручили подготовить отчет или сделать дашборд для руководства. В крупных организациях, в которых служба ИБ насчитывает сотни или даже тысячи человек эта часть вопросам становится уже гораздо важнее. Врядли руководитель отдела СКЗИ или антифрода сможет адекватно подготовить дашборд по деятельности всей службы ИБ - у него своей фронт работ, по которому он и может говорить предметно. Поэтому если вам поручили задачу сделать отчет/дашборд "обо всем" лучше сразу расставить все точки над i. В противном случае вы точно окажетесь виноватым.


Вот вторая часть вопроса "КТО" гораздо важнее. Кто ваш заказчик? Кто будет смотреть на ваш отчет или дашборд? CISO? CSO? CEO? COO? CFO? Иной CxO? С CISO ситуация не так просто как кажется на первый взгляд. Это в небольших организациях руководитель ИБ обычно в курсе всего, что творится у его подчиненных. В крупных, уровня Газпрома или РЖД или Сбербанка, сложно ожидать, что CISO знает все, что находится на 2-3-4 уровня иерархии ниже. Это физически невозможно. Поэтому, получая задачу подготовки дашборда или отчета от своего руководителя ИБ все-таки уточните задачу и получите как можно больше деталей. Мне доводилось слышать такую постановку задачу "Сделайте мне красиво, понятно и чтобы я мог перед предправления отчитаться". Или вот такую: "Вы сами должны знать, что мне надо, я же не зря вам плачу зарплату". Увы, в последних двух случаях вероятность сделать что-то устраивающее вашего "рукамиводителя" невысока. При столь нечеткой постановке задачи это равносильно "пойди туда, не знаю куда, принеси то, не знаю что".

Второй важнейший вопрос - ЧТО. Что нужно вашей целевой аудитории? Какие ключевые показатели ей необходимо показать? Ответ на этот вопрос зависит от ответов на предыдущий вопрос. Понятно, что финансовому директору не интересно число уязвимостей в Web-сайте компании (да и никому не интересно). И среднее время реагирования на инциденты (кстати, среднее арифметическое или медианное?) тоже неинтересно. И эффективность источников Threat Intelligence тоже. Все это внутренняя кухня ИБ, которая в лучшем случае интересна CISO.

Для ответа на вопрос ЧТО, вы должны ответить на третий вопрос - КАКОЕ решение должна принять ваша целевая аудитория? Запустить проект по повышению осведомленности сотрудников? Увеличить инвестиции в проект по приведению себя в соответствие с PCI DSS или 382-П? Инвестировать в защиту Web-сайта от прикладных атак? Обратиться к аутсорсингу ИБ вместо содержания собственной службы ИБ? Увы. Все эти решения не имеют никакого отношения к бизнесу. Это в лучшем случае уровень CISO. Бизнес волнуют совершенно иные вещи и вопросы. Какой канал лучше позволяет привлекать клиентов? Какие регионы/города России наиболее перспективны для географической экспансии? Как снизить издержки и повысить доходность? Как поднять лояльность сотрудников/клиентов/партнеров? Как снизить регулятивные риски? Могут ли ваши дашборды/отчеты помочь ответить на эти вопросы? Скорее всего нет. Но это не значит, что вам не надо общаться с бизнесом и пытаться понять его чаяния. Именно о том, что нужно бизнесу в контексте ИБ и как ИБ влиться в общие бизнес-процессы, будет посвящено два мастер-класса на Магнитогорском форуме по банковской ИБ, которые буду вести я и Дмитрий Мананников уже в следующий вторник. Это важнейшая часть работы ИБ (общение с бизнесом), но выходящая за рамки сегодняшней заметки. В любом случае, независимо от уровня вашей целевой аудитории (CEO или CISO) вы должны понимать, какое решение она должна принять. Отсюда вы поймете, что ей нужно для принятия решения и какие данные вам помогут облегчить принятие решения.

Например, перед вашим CISO стоит задача - искать ли новые источники Threat Intelligence или оставить используемые сейчас? Чтобы принять решение ему нужно ответить на ряд вопросов:
  • Какое соотношение получаемых извне IoC с теми, которые применялись в компании за отчетный период? Ответ на этот вопрос помогает понять, насколько вообще внешние источники помогают вашей организации в обнаружении атак и инцидентов?
  • Какие источники TI наиболее релевантны для организации? Это предыдущий показатель применительно к каждому внешнему источнику.
  • Число индикаторов, полученных от внешнего источника TI с учетом их полезности для организации (полезно при принятии финансовых решений о продлении контракта на TI). 
  • Соотношение количества угроз, пришедших по каналам TI, и не обнаруженных за счет внутренних возможностей (фишинговые сайты, украденные логины/пароли, сайты-клоны и т.п.).
  • Какое количество получаемых извне IoC применялось в компании? Может оказаться вообще, что индикаторы компрометации вы получаете, но не используете, потому что руки не доходят или не знаете, как автоматизировать процесс интеграции внешних источников с вашими средствами защиты/анализа.
Кстати, при оценке деятельности подразделения Threat Intelligence с точки зрения руководителя ИБ, было бы неплохо задать следующие вопросы:
  • Сколько IoC, сформированных службой TI, помогло отразить инциденты в организации (например, на МСЭ, IPS, рутерах и т.п.)?
  • Сколько playbook было создано/обновлено и использовано группой по реагированию на инциденты на основе IoC, сформированных службой TI? 
  • Распределение полученных IoC по типам и соотношение их с типами угроз внутри организации.
  • Динамика снижения числа ложных срабатываний средств защиты после обогащения сигналов тревоги данными от службы TI.
  • Снижение времени (ускорение) на расследование инцидента и реагирование на него за счет обогащения данных об инцидентах данными от службы TI.
  • Соотношение количества обнаруженных угроз средствами защиты организации с данными от службы TI и без них (например, голый IDS в сравнении с IDS + TI или IDS + TI + SIEM).
  • Количество самостоятельно обнаруженных и отреверсенных вредоносов по сравнению с традиционными антивирусными программами (если это функция TI).
  • Количество подготовленных бюллетеней по акторам/угрозам/кампаниям, которые имели отношение к предприятию; особенно тех бюллетеней, которые описывают угрозы, направленные именно на само предприятие, а не веерные угрозы.
  • Количество подготовленных бюллетеней, направленных в ФинЦЕРТ/ГосСОПКУ/иным внешним лицам (если стоит задача awareness и обучения отрасли/индустрии).
  • Участие в стандартизации вопросов обмена информацией об угрозах (если такая тема актуальна для организации).
Ответив на эти три вопроса - КТО ваша целевая аудитория, ЧТО им нужно и КАКОЕ решение они должны принять - вы решите, нет, не 50%, а 80% задачи по созданию правильного дашборда/отчета по ИБ. Про остальные 20% мы поговорим уже завтра.

Кстати, по поводу отличий между дашбордами и отчетами. Дашборд - это регулярно обновляемое визуальное представление наиболее важной информации, сгруппированной на одном экране по смыслу так, чтобы ее можно было легко понимать и принимать на ее основе правильные решения. Я выделил ключевые элементы, присущие именно дашборду:
  • регулярное обновление (поэтому так важна автоматизация)
  • группировка ключевых показателей, позволяющая фокусироваться на нужных данных
  • не единократное действие (принять), а встраивание в процесс (принимать)
  • не визуализация сама по себе, а помощь в принятии решения.
Отсюда, собственно, и видна разница. Дашборд - это почти всегда отчет, но не каждый отчет - это дашборд. Для превращения отчета в дашборд необходимо приложить немало усилий, отвечая на три вопроса, которые описаны в данной заметке. 

ЗЫ. Когда писал заметку, думал нашпиговать ее красивыми примерами дашбордов, но уже в процесс написания отказался от этой идеи. Правильные примеры явяются таковыми только в конкретной ситуации, в конкретной организации, после ответа на поставленные вопросы. Они могут не копироваться в других компаниях при других условиях ункционирования службы ИБ. Да и, положа руку на сердце, таких примеров-то и немного. А вот дурацких примеров в Интернете полно - достаточно ввести в Гугле поиск картинка по ключевым словам report|dashboard security|cybersecurity и вы получили красивые, но абсолютно бесполезные в реальной жизни диаграммы, графики, светофоры, индикаторы и т.п. 
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.