Дашборды по ИБ для руководства: как создать макет?

Дашборды по ИБ для руководства: как создать макет?
Продолжая тему, начатую в предыдущих двух публикациях ( тут и тут ), обратимся к вопросу создания макета дашборда по ИБ для руководства. Напомню, что это седьмой шаг в создании дашборда после определения вашей целевой аудитории, ее нужд, определения принимаего решения, идентификации типа дашборда и вида диаграммы.

Макет позволяет нам понять, какие блоки информации нам нужно отобразить, чтобы дать целевой аудитории ответы на их вопросы и помочь ей принять нужное решение. Возьмем к примеру тему SOC, столь модную в последнее время. Допустим, руководитель всея ИБ компании только-только создал центр мониторинга и хочет получить ответы на три вопроса:
  • Насколько эффективно задействованы его сотрудники? Ответ на этот вопрос позволит принять обоснованное решение в пользу расширения численности сотрудников SOC или в пользу более оптимального использования текущего человеческого ресурса или в пользу автоматизации некоторых рутинных задач.
  • Все ли инциденты отрабатываются в срок? Этот вопрос помогает нам понять, насколько эффективны в своей работе аналитики SOC, правильно ли у нас выставлены KPI для них, насколько эффективно выстроен процесс разбора инцидентов?
  • Какие инциденты отнимают больше всего ресурсов? Ответ на этот вопрос позволяет понять, не надо ли аналитиков послать на обучение по отдельным видам инцидентов или возможно стоит выделить немного денег на решения по автоматизации и, тем самым, ускорению обработки отдельных видов инцидентов?
Чтобы ответить на эти вопросы нам по каждому инциденту нужно собрать следующие данные:
  • аналитик SOC, работающий с инцидентом
  • тип инцидента
  • источник инцидента
  • статус инцидента (разрешен/просрочен)
  • дата и время.
В итоге на дашборде у меня 4 ключевых показателя и 4 диаграммы, отображающие аналитику, поясняющую ключевые показатели, позволяющие ответить на 3 исходных вопроса.



Разумеется это еще не макет дашборда - это скорее набросок той информации, которая должна быть на дашборде. А вот макет будет выглядеть так:


На его отрисовку у меня ушло всего 10-15 минут. Да, не Пикассо. С этим к руководству не пойдешь. Но и задача такая не стоит на этом этапе. Зато мы видим, как будет выглядеть дашборд, какие диаграммы и какие ключевые показатели будут отображаться на нем.

Единственный ли это вариант дашборда для SOC? Конечно нет. В зависимости от стоящих целей и исходных вопросов, мы можем вынести на дашбор и другие ключевые показатели, под которые выбирать соответствующие диаграммы:

  • Время между созданием и закрытием заявки (ticket) в SOC
  • Процент инцидентов обнаруживаемых и нейтрализуемых автоматически, без участия специалистов SOC
  • Соотношение открытых и «закрытых» заявок
  • Соотношение инцидентов и заявок
  • Число повторных инцидентов
  • Соотношение методов коммуникаций с SOC (e-mail / звонков / портал)
  • Число false positives (несуществующих инцидентов)
  • Число изменений средств защиты по результатам расследований инцидентов
  • Соотношение инцидентов по их критичности
  • Цена/длительность разрешения инцидента
  • Число новых заявок.
В идеале же мы должны всегда помнить, что ИБ нужна не ради ИБ, а для достижения целей бизнеса, и поэтому важно уметь привязывать деятельность SOC к финансовым показателям (это еще не весь бизнес, но уже большой шаг в правильном направлении). Если уйти от данных, которые есть только в SOC, и попробовать научиться общаться с бизнесом, то у него можно получить данные, которые можно сопоставить с деятельностью по ИБ. Например, можно оценить потери компании от реализованных инцидентов (в зависимости от бизнеса это может быть просто или не очень). А еще можно попробовать оценить предотвращенные потери - свои и (или) клиентов, а также оценить стоимость расследования каждого инцидента. В итоге макет дашборда может выглядеть таким образом:



Финальную заметку я посвящу вопросу создания прототипа и финального варианта дашборда, для чего нам понадобятся различные средства автоматизации - от Excel или MS PowerBI до Canopy или Splunk.
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.