SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Анатомия визуализации. Часть первая: от задачи к исполнению

Анатомия визуализации. Часть первая: от задачи к исполнению
09.05.2024

Борис Захир

Инженер-разработчик, Отдел развития Производственного департамента Security Vision

Ева Беляева

Руководитель отдела развития Производственного департамента Security Vision

 

 

«Усложнять просто, упрощать сложно»

Закон Мейера

Введение

Часто ли вы задумываетесь о том, как вы воспринимаете ту или иную информацию? Почему одни статьи или книги идут легче, а другие - тяжелее? Бывало ли у вас такое, что вы раз за разом скользили взглядом по абзацу текста и не могли понять, что вы только что прочитали?

 

Визуальное представление данных - очень большая часть нашей жизни, и это влияет на разные ее сферы: обучение, работу, развлечения.

 

Что если мы скажем, что на практически любой вопрос можно дать ответ таким образом, что скорость восприятия получаемой информации возрастёт, а понимание будет гарантированным?

 

Например, к черту весь этот текст, вот вам картинка:

 

image001.png

 


Утрированная версия восприятия сложной информации


Иногда, конечно, визуализация бывает бессильна или попросту бесполезна, да и текст тексту рознь. Это мы тоже рассмотрим.

 

Выделим три задачи, для которых можно прибегнуть к отображению информации в виде не текста, а набора графических объектов:


●  Аналитика - чтобы найти в данных подтверждение того или иного суждения, чаще всего эффективнее будет отобразить данные с соответствующего «ракурса» в виде графиков, а не выверять сложные формулы расчетов.

●  Коммуникация - передача результата аналитики своим коллегам или руководству лучше всего проводится в наглядном и красочном формате благодаря тому, что он задействует и подсознательные механизмы восприятия информации.

●  Иллюстрация - это инфографика, и, в отличие от коммуникации, наибольший упор в ней сделан на доступность изложения, так как любой человек должен быть способен читать ее.

 

image003.png

 


Зависимость сложности, полноты и контекста от формата представления данных


Дальше в этой статье мы рассмотрим коммуникативное использование визуализаций. Будь то обоснование своей позиции или попытка узнать, чем занимаются сотрудники в отделе - на все найдется свой собственный виджет или полноценный дашборд.

 

Как в принципе устроено взаимодействие формата «вопрос-ответ» в визуальном формате?

Канал передачи информации

Визуализация, как и текст - способ донести определенную мысль от того, кто ее создал, до того, кто ее пользуется. Можно сказать, что какой-либо график - своего рода сигнал (который пользователь должен считать), упакованный в наиболее многообразную и богатую форму - графическую.

 

image005.png

 


Источник сигнала - автор/разработчик визуализации.


Среда передачи сигнала - множество графических образов, включая цвета, формы, направления, расположения и прочее.


Приемник визуализации - пользователь, которым может выступать как коллега автора, его начальник, совершенно непосвященный человек или даже он сам.

 

Например, вы вводите новый график работы для своих сотрудников, чьи ежедневные задачи заключаются в том, чтобы отвечать на вопросы пользователей. Вам интересно - как именно повлияло на производительность ваше нововведение? В таком случае, самое просто решение - построить график закрытия заявок с вопросами по времени. Из него сразу же можно будет сделать вывод, в какую сторону изменилась эта метрика. А если изменений нет - результат подтолкнет к размышлениям о том, что еще можно было бы улучшить.

 

Можно было бы подать ту же информацию в виде сухих цифр в таблице или описать ее словами, но:

-   Таблицу, данные в которой выведены за несколько месяцев или лет, тяжело прочитать;

-   Фраза или даже абзац «все стало лучше/хуже/так же» не подкреплены реальными данными.


Что дает визуализация и кто ее использует

У всякого процесса должны быть цель и смысл, и визуализация не исключение.


●  Вопросы

Самый распространенный сценарий - это получение ответа на вопрос. Будь то желание продемонстрировать результаты своей работы или быстро, не читая сотни страниц текста, вычленить из него основную мысль. Какое экранное время было у любимого актера в фильме? Насколько хорошим было решение перейти на нового облачного провайдера? Идея в том, чтобы разово с помощью работы над данными представить подкрепленную фактами мини-аннотацию и дать четкий ответ, на основе которого получатель сможет выбрать стратегию своего дальнейшего поведения.


●  Обучение

Нередко на полках магазинов помимо обычных учебников и прочих материалов можно увидеть шпаргалки-подсказки или полноценные плакаты по той или иной дисциплине, которые систематизируют и упорядочивают учебный материал. Также, если речь идет о конспектировании данных, люди чаще всего стараются вести свои записи по той или иной схеме (иногда доходит и до studycore – полноценной культуры ведения лекционных записей), чтобы в процессе лучше понять информацию, а впоследствии при подготовке как можно быстрее найти ответ на свой вопрос.


●  Презентации

Когда происходит питчинг, обучение или выступление перед аудиторией, в ход идут презентации. Даже в данном материале большая часть изображений - готовые слайды для отображения наших мыслей. Специфика данного формата в том, что половину информации, если не больше, выступающий проговаривает словами, оставляя на картинке так называемые «опорные точки» для своей памяти. Визуально это очень похоже на раскрывающийся список; на картинке - заголовки, а в голове у человека - абзацы текста по каждому пункту.

Кому нужна визуализация?

В общей массе людей можно попробовать выделить тех, кому на самом деле такой подход будет актуален. Ведь есть и те, кто в силу своих предпочтений и опыта никоим образом не воспринимает формат «с картинками».

 

Мы же решили обратить внимание именно на тот пласт людей, которым визуализация нужна непосредственно в работе.

Корпоративные получатели

Различные категории сотрудников компании воспринимают информацию по-разному. В ИБ-компании аналитикам безопасности, операторам центров реагирования более важны технические особенности, детализация закономерностей изменений данных, они ориентированы извлекать из данных информацию о текущей ситуации в системах, входящих в их зону ответственности. Руководителям же важнее обобщенный спектр сведений, с ростом ответственности растет сила усиливается фокус на экономические показатели результатов деятельности подчиненных, ориентир использования визуализации для них - выводы о будущей стратегии компании. Из-за повышения точки обзора им также важна легкая подача материала, так что и здесь визуализация с ее интуитивной понятностью подходит как нельзя лучше.

 

Предположим, сотрудников можно разделить на три категории: оперативные, тактические и стратегические. В контексте информационной безопасности в их задачи входит:

     ●  У оперативных - назовем их исполнителями - управление инцидентами, совершенствование процесса выявления инцидентов и реагирования на них. Это инженеры и аналитики, постоянно производящие какой-либо объем данных, работающие непосредственно с самими сущностями, которым требуется перевод в визуал.

     ●  У тактических - тимлидов и линейных руководителей - оценка эффективности подотчетных ресурсов, утверждение мероприятий, менеджмент оперативных сотрудников и принятие решений по развитию.

     ●  У стратегических - оценка эффективности вложений в безопасность или что угодно другое, с чем работают оперативные сотрудники. Чаще всего эту категорию называют одним словом «бизнес» те, кто находится в производстве.

 

image007.png

 

На самом деле, такая классификация актуальна не только в разрезе информационной безопасности. Важен сам подход, который можно будет распространить на все сферы деятельности, от медицины до гейминга.

 

Есть несколько сценариев коммуникации с помощью визуализации между такими сотрудниками:

 

image009.png

 

При оформлении того или иного отчета, графика или картинки следует учитывать направление информации и того, кто с ней будет работать. Чем выше уровень человека во введенной нами иерархии, тем проще и быстрее должен считываться результат и наоборот. Поговорим об этом подробнее.

Особенности восприятия

Немного про законы визуального внимания/восприятия


image011.png 

 

В палитре доступных графиков, возможностей кастомизации вкупе с собственным представлением картины так и тянет сделать самый яркий и красивый график. В попытках добиться того образа, который изначально появился в голове, можно также уйти в очень необычные и экзотические формы, продемонстрировав информационные акцент как-то по-своему.

 

В итоге может оказаться, что визуальная логика графика так сложна, что требует отдельных пояснений. Дабы избежать подобных неудобств, можно следовать определенным правилам, по которым наше подсознание воспринимает визуальные стимулы. Этот вид человеческого внимания называют субсенсорным, или подпороговым.


В этих правилах нет ничего сложного. Например, для людей, привыкших читать на западных языках, характерно воспринимать структурированную информацию слева направо, а далее сверху вниз. Что стоит учитывать, располагая элементы своей «графической истории» именно в таком порядке.


     ●  Рост каких-либо показателей интуитивно ожидается снизу-вверх.

     ●  При отображении временной зависимости на графике отметки времени должны увеличиваться слева направо. Иными словами, будущее справа, прошлое слева.

     ●  Для обозначения похожих и различных сущностей лучше всего подойдет их взаимное расположение в какой-то понятной системе координат.

     ●  Размеры отдельных графических примитивов (кругов, квадратов и т.д.) очень хорошо работают для выделения важных объектов из общей массы. Чем больше, тем важнее.

     ●  Важно не забывать и про цвет. Человеку свойственно сперва обращать внимание на объекты темных цветов и в последнюю очередь на бледные/светлые. Тоже помогает выделять акценты.

     ●  Определенное психологическое влияние оказывают и цвета сами по себе. Красный - плохо, зеленый - хорошо, желтый может выступать как цвет предупреждения. Данный вид индикации хорошо подойдет для передачи смысла акцента.

     ●  Интенсивность цвета тоже может быть индикатором значительности акцента, но в сравнении со всеми перечисленным разницу в оттенках человек обрабатывает хуже всего, так что сильно полагаться на нее не стоит.

 

Немаловажно еще и осознавать, что перечисленные визуальные индикаторы могут усиливать эффекты друг друга, отображая один и тот же параметр. Например, если на столбчатом графике, обозначающем количество инцидентов на разных устройствах, какие-то столбцы будут не только выше, но и четче, а какие-то не только ниже, но и прозрачнее (хотя, конечно, не полностью прозрачны), то это поможет сориентироваться в их большом количестве (так как устройств может быть много).

 

Однако так же, как важен формат представления данных, важна и сама подача готовых графиков и «пирогов». Результат можно по-разному адаптировать под индивидуальные особенности человека.

Персональные особенности

Люди воспринимают визуальную информацию по-разному. Некоторые в основном органами зрения, и больше расположены к визуальному представлению. Есть те, для кого предпочтительнее звуковое восприятие, для которых эффективнее объяснять информацию голосом - аудиалы. Существует тип, при котором восприятие происходит через логическое осмысление, с помощью цифр, знаков, логических доводов - одним словом, не иллюстрированный текст.

 

image013.png

 


Причины для адаптации визуальной части

 

У некоторых людей существуют физические ограничения восприятия информации - цветов и размеров графических объектов, текста. Чтобы сделать графики читаемыми для максимально широкой аудитории, стоит избегать использовать сочетания красного и зеленого, сопровождать цветовые заливки текстурными узорами (параллельные наклонные линии, точки и т.д.), по возможности повысить контрастность фигур на изображении.

 

image015.png

 


Предыдущая картинка, но подстроенная под особенности восприятия

 

Личный опыт, связанный с определенными цветами, символами или фигурами, тоже может существенно повлиять на интерпретацию и восприятие данных. Например, определенный цвет может вызывать негативные или позитивные ассоциации, что, в свою очередь, влияет на восприятие графических объектов. Например, человек может подсознательно не любить синий цвет, так как в детстве все учебники по самым нелюбимым предметам в школе были синими.

 

Важно учитывать, что восприятие также меняется с возрастом. С течением жизни общее состояние организма все сильнее влияет на способность воспринимать большие объемы информации и сложные концепции, делая более простые и ясные визуализации предпочтительнее.

 

Кроме того, должностное положение и профессиональный фон также влияют на стиль мышления. Например, руководители, управляющие большим количеством сотрудников, часто предпочитают упрощенные и наглядные представления данных, чтобы быстро усваивать ключевую информацию. В то же время специалисты, занимающиеся анализом данных, могут предпочитать более детальные и комплексные визуализации.

 

Эти различия в восприятии подчеркивают необходимость гибкости в подходах к визуализации данных. Создавая визуальные представления, необходимо учитывать разнообразие аудитории, ее уникальные потребности и предпочтения. Такой подход обеспечивает более эффективное взаимодействие и понимание информации, увеличивая ее ценность для различных групп пользователей.

Магия превращения

При переходе от текста к картинке главное - не потерять основной смысл, погнавшись за красотой. Здесь нужен баланс того, какое количество информации помещается на рисунок, и того, что мы оставляем в сопровождение.

 

К примеру, если мы оформили всю статью в формате «презентации без рассказчика», от сносок, уточнений и прочих определений уже на трети рябило бы в глазах. В обратную же сторону, если мы возьмем отсюда все изображения и не оставим контекста - никто не поймет, что мы имели в виду, кроме нас самих (но это не точно).

 

Задачей докладчика чаще всего становится такой результат, при котором тот, кому данная информация презентуется, одновременно мог бы:

-  Понять всё

-  Сделать это быстро

Баланс между полнотой и доступностью информации


 

image017.png

 


Текстовый вид - максимальная полнота и минимальная доступность (т. е. очень высокие затраты внимания пользователя).


Визуальный вид - уменьшенная полнота и увеличенная доступность (т. е. уменьшенные затраты внимания пользователя).

Что не стоит визуализировать?

Когда речь заходит о технической литературе и обучении, возникает обратный вопрос: стоит ли это преобразовывать в графический вид? Иногда смысл послания теряется, если, например, сложные формулы перерисовать в «кашу» из треугольников и кругов.

 

Для некоторых людей картинка вместо текста - бестолково и только отнимет время на понимание изображения, в силу непривычки или нехватки контекста.

 

Вот еще анти-категории для визуализации:

   1. Сложные концепции. Чрезмерное упрощение или информационный шум приводят к недостоверной передаче смысла. В целом, об этом мы и говорили в «Магии превращения» чуть раньше.

   2. Слишком много подробностей. Захламление графиков кучей данных приводит к усложнению понимания, а это противоположно нашей первоначальной цели. Например, данный нумерованный список лучше таким и оставить, не переводя в картинку.

   3. Узкоспециализированный текст, например, трактовка законов в юриспруденции. Хотя их и можно перевести в понятный обывателю алгоритм, велик риск переврать информацию, что чревато последствиями.

   4. Очень длинные и пространные инструкции. Хоть ИКЕА и смогла в формате комикса объяснить нам, как собрать шкаф, некоторые действия (работа с базой данных, написание кода, запуск ядерного реактора) все равно могут потребовать полноценного текстового объяснения.

   5. Чувствительные или конфиденциальные данные. Эту информацию вообще лучше ни во что не преобразовывать, предварительно не обфусцировав, или анонимизировать. Даже если вам очень хочется выложить в мир статистику ненадежных паролей своих сотрудников, никогда не выносите это в график на всеобщее обозрение.

Влияние времени создания на визуализацию

 

image019.png

 


Чем дольше мы рисуем виджет, тем больше хороших идей нас посещает в процессе. Мы оптимизируем некоторые элементы картинки, переформатируем легенду и шкалы измерения - и все это, чтобы упростить человеку, который будет на это смотреть, понимание вопроса.


Прогресс виджета во времени можно разложить на разные ветви эволюции, в конце концов автор графика может осознать себя автором инфографики (божественный каламбур) и полноценной аналитики, которая выросла из простой таблички.

Что мы получим в итоге

Форматы готовой визуализации из набора форм

Реализаций визуального представления данных достаточно много. Для каждой сферы деятельности, задачи или человека есть свой собственный мир графиков, кнопок и картинок. Вот наиболее известные из них:



image021.png 

 

Вывод

Удивительно, как такой, казалось бы, странный ход - упрощение подачи - одновременно зависит от многих факторов и влияет на эффективность передачи ключевой информации другим людям. Как один простой график может заменить полноценное совещание, а серьезный вопрос может быть решен после демонстрации цветных кругов с подписями.


Эта тема гораздо шире, чем просто картинки - немаловажно знать, как устроен наш мозг и каковы наши возможности и инструменты.

 

В этой статье мы затронули основные принципы и предпосылки работы с визуалом для большого числа форматов. Многое мы оставили за кадром - например, выбор палитры, сложные структуры данных и многое другое. Для того чтобы раскрыть их более подробно, придется взяться за полноценный цикл статей. Не переключайтесь!

Дашборды ИБ Практика ИБ Управление ИБ

Рекомендуем

Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2

Рекомендуем

Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2