SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Отчеты нового поколения

Отчеты нового поколения
07.08.2023

Михаил Пименов, аналитик Security Vision


Вступление

Одни из самых древних, обнаруженных антропологами, отчетов принадлежали инкам и представляли собой сложные верёвочные сплетения и узелки, изготовленные из шерсти альпака или ламы. За без малого пять тысяч лет человечество проделало долгий путь. Гаджеты стремительно ворвались в нашу жизнь, и теперь никого не удивит картина с человеком, изучающим диаграммы и таблицы на планшете, сидя в шезлонге на берегу моря. Давайте рассмотрим, какие же они — современные цифровые отчеты, какие новые возможности открывают, а также окунемся в специфику отчетности в сфере информационной безопасности и рассмотрим несколько реальных ситуаций с заказчиками.


Преимущества «цифры»

Электронные версии отчетов появились раньше, чем отпала необходимость в печати, и первым значительным преимуществом цифрового отчета была возможность предпросмотра. Данные можно было изучить и при необходимости подправить, прежде чем нести на стол начальнику. Но аппетит, как известно, приходит во время еды, и электронные носители стали сами подсказывать новые возможности.


К примеру, вы помните из исторических кинолент длиннющие свитки, по которым глашатаи зачитывали народу царскую волю? Такой вид документа был начисто лишен навигации: чтобы найти какое-то конкретное место в документе, надо было пробегать его глазами, ориентируясь только на собственную память и смысл написанного. Когда люди научились резать свитки на равные куски (формата А4) и нумеровать их, появились оглавление и возможность ссылаться на определенные фрагменты текста. Так родилась навигация в документах. Электронные документы стали ещё удобнее, потому что переход по гиперссылке мгновенно переносил вас к нужной части текста.


Цифровые отчеты пошли ещё дальше, отказавшись от двухмерности и обретя третье измерение — глубину. Теперь из любой круговой диаграммы можно всего парой кликов «проваливаться» к списку значений, а из него — в карточку объекта и обратно. Это позволило сделать отчеты гораздо лаконичней, выводя на первый план наиболее важную информацию в самом простом для восприятия формате.


Личный опыт

Различных отчетов существует великое множество. Для примера возьмем отчеты систем, в которых лучше всего разбираемся, — систем, относящихся к средствам защиты информации, таких как IRP/SOAR, DLP, CMDB, VM. Давайте для начала введем условную классификацию отчетов по назначению и принадлежности к тому или иному виду средств защиты информации (СЗИ) и далее рассмотрим каждый отдельный вид отчета.


Виды отчетов в зависимости от назначения и СЗИ:

- За период — формируются в системах управления активами (CMDB) или системах управления уязвимостями (VM). Отражают результат работы ПО или команды за определенный период.
- Мониторинг — формируются в DLP-системах. Отражают срезы по времени для подсвечивания критических моментов в работе.
- Проблема — формируются в системах класса TIP или SOC. Отражают существующую проблему и, как следствие, запрос действия у лиц, принимающих решения. Отчет выступает в роли своеобразного ТЗ.


Отчеты за период должны максимально просто и быстро донести до исполнителя ответы на три вопроса: что делать, где делать и как быстро. Отчеты старой формации, хоть и отвечают на эти вопросы, заставляют исполнителя сначала пролистать несколько страниц, затем, продравшись сквозь дебри сложносочиненных предложений, перечитать задачу несколько раз и только потом перейти к ее исполнению. В отчетах нового формата такой словесный шум должен быть убран до минимума, чтобы в итоге он мог быть прочтен за один подход, а в голове у человека выстроилась четкая схема «условие-действие-результат», без необходимости тратить время на самостоятельную разработку такой схемы.


Отчеты с функцией мониторинга (на примере отчетов, предоставляемых DLP-системами) должны представлять собой доказательную базу и говорить на языке фактов. Главную роль в таких отчетах играют именно приложения-доказательства, которые включаются в отчет в неизмененном виде, но также важно правильно оформить выводы, основанные на фактах, в чем и заключается работа оператора/аналитика. В таких отчетах на первый план выходит уже структура, позволяющая логично и кратко выстроить повествование об инциденте.


Отчеты, информирующие о проблеме, требующей реагирования, весьма разнообразны. Их результаты могут представлять собой как временные срезы, так и отдельные наборы информации о ресурсах (причем, в качестве «ресурсов» могут выступать и оборудование, и живые люди). Например, требуется доказать и отстоять выбор СЗИ в зависимости от результатов работы или сформировать на бизнес-языке потребности в новых средствах или ресурсах, основываясь на показателях эффективности. В таких случаях одних доказательств недостаточно, их нужно еще грамотно оформить и представить, чтобы сформировать у читающего отчет менеджера стройную цепочку аргументов, не позволяющих усомниться в достоверности данных. Обычно проблемой становится именно неспособность многих высококлассных исполнителей «перевести» свои вполне обоснованные опасения на язык финансовой целесообразности. На основе отчетов принимаются серьезные решения об объеме бюджета, расширении штата и прочих кадровых задачах. Исполнители отчитываются перед руководством и заказчиком, сотрудники взаимодействуют друг с другом при помощи универсального языка отчетов, и от того, насколько стройно и качественно, без лишней «воды», он будет выстроен, зависит эффективность работы многих процессов и людей.


Вопросы и решения

В теории всё звучит здорово, но реальные проекты иногда подкидывали проблемы и ситуации, которые было бы очень сложно предусмотреть заранее. Конечно, это вызывало вопросы, а вопросы подсказывали решение. Вот как это было.



А вам очень нужен титульный лист?

На самом деле, вопрос заказчику дословно так и звучал. Проблема была в том, что в большом аналитическом отчете всю первую страницу занимала информация о том, в каком городе, в каком году и кем был подготовлен отчет, а также название отчета, название и логотип компании. На второй странице шло содержание, далее — глоссарий, и содержательная часть отчета начиналась страницы с пятой. Люди работали с отчетом постоянно, но каждый раз работа с ним начиналась с ритуального перелистывания до пятой страницы.


Название компании мы убрали совсем: отчет был внутренний и люди в основном помнили, где они работают. Название отчета разместили по центру верхнего края первой страницы. Информацию о периоде отчета и составителе уменьшили и поместили в левый верхний угол, а логотип тоже уменьшили и убрали в правый верхний угол. Глоссарий и содержание перенесли на последние страницы отчета. Таким образом, полезная информация в отчете началась с первой страницы, и людям стало проще и приятней с ним работать. Это подвело нас к следующему вопросу.



Куда вы смотрите в первую очередь?

Когда мы попросили показать, как именно проходит работа с отчетом, оказалось, что заказчик сначала смотрит статистику происшествий, затем — текущие активы с изменениями за последний год, а только потом переходит к рекомендациям отдела защиты информации и их обоснованию. Мы просто поменяли разделы отчета местами, разместив их в порядке рассмотрения, добавили перекрестные ссылки и несколько диаграмм по основным показателям. В итоге эргономика отчета существенно улучшилась. Далее мы принялись не просто раскладывать и группировать информацию, а переводили набор понятий на язык бизнеса — так появился дополнительный уровень абстракции, называемый «Выводом». «Вывод» был разным: это могло быть и большое число, и красивые пересекающиеся графы (на которых иногда «удав съедал слона»), но одно у наших выводов было общим — беглый взгляд на значок, слово, абзац или картинку однозначно давал понимание, хорошо или плохо то, что мы сейчас видим. Однако всегда можно что-то улучшить, поэтому мы задали следующий вопрос.



Отчет точно должен быть черно-белым?

Оказалось, монохромность отчетов была пережитком прошлого: ранее в компании использовались лазерные принтеры без возможности цветной печати. Однако со временем их заменили на МФУ, а отчеты и вовсе перестали печатать. Готовились отчеты в соответствующем программном обеспечении, презентовались руководству на проекторе и дополнительно рассылались участникам встречи на почту. Заказчик не понимал, зачем делать отчет цветным: «И так всё видно, вся информация есть. Это же не комикс!». Тем не менее, мы добавили цветные отбивки к каждому разделу отчета — после этого ориентироваться в печатной версии стало значительно проще, даже не обращаясь к оглавлению. Мы сделали цветными сравнительные диаграммы, выделили цветом наиболее важные показатели. Отчет стал восприниматься совершенно по-другому, и через неделю заказчик уже не мог себе представить, как он жил без всего этого до сих пор.


Заключение

Если подытожить, то самое важное в подготовке макетов отчетности — всегда пользоваться аналитическим подходом и начинать с потребностей бизнеса. При этом чем глубже вы погрузитесь в суть вопроса, тем лучше будет результат. И всегда нужно идти в ногу со временем, чтобы использовать все последние достижения человечества, адаптируя работу заказчика под новые гаджеты, технологии и актуальные тенденции в оформлении и стилистике.

TIP Управление ИБ Управление уязвимостями DLP IRP SOAR Управление ИТ-активами Отчеты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют