SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Отчеты нового поколения

Отчеты нового поколения
07.08.2023

Михаил Пименов, аналитик Security Vision


Вступление

Одни из самых древних, обнаруженных антропологами, отчетов принадлежали инкам и представляли собой сложные верёвочные сплетения и узелки, изготовленные из шерсти альпака или ламы. За без малого пять тысяч лет человечество проделало долгий путь. Гаджеты стремительно ворвались в нашу жизнь, и теперь никого не удивит картина с человеком, изучающим диаграммы и таблицы на планшете, сидя в шезлонге на берегу моря. Давайте рассмотрим, какие же они — современные цифровые отчеты, какие новые возможности открывают, а также окунемся в специфику отчетности в сфере информационной безопасности и рассмотрим несколько реальных ситуаций с заказчиками.


Преимущества «цифры»

Электронные версии отчетов появились раньше, чем отпала необходимость в печати, и первым значительным преимуществом цифрового отчета была возможность предпросмотра. Данные можно было изучить и при необходимости подправить, прежде чем нести на стол начальнику. Но аппетит, как известно, приходит во время еды, и электронные носители стали сами подсказывать новые возможности.


К примеру, вы помните из исторических кинолент длиннющие свитки, по которым глашатаи зачитывали народу царскую волю? Такой вид документа был начисто лишен навигации: чтобы найти какое-то конкретное место в документе, надо было пробегать его глазами, ориентируясь только на собственную память и смысл написанного. Когда люди научились резать свитки на равные куски (формата А4) и нумеровать их, появились оглавление и возможность ссылаться на определенные фрагменты текста. Так родилась навигация в документах. Электронные документы стали ещё удобнее, потому что переход по гиперссылке мгновенно переносил вас к нужной части текста.


Цифровые отчеты пошли ещё дальше, отказавшись от двухмерности и обретя третье измерение — глубину. Теперь из любой круговой диаграммы можно всего парой кликов «проваливаться» к списку значений, а из него — в карточку объекта и обратно. Это позволило сделать отчеты гораздо лаконичней, выводя на первый план наиболее важную информацию в самом простом для восприятия формате.


Личный опыт

Различных отчетов существует великое множество. Для примера возьмем отчеты систем, в которых лучше всего разбираемся, — систем, относящихся к средствам защиты информации, таких как IRP/SOAR, DLP, CMDB, VM. Давайте для начала введем условную классификацию отчетов по назначению и принадлежности к тому или иному виду средств защиты информации (СЗИ) и далее рассмотрим каждый отдельный вид отчета.


Виды отчетов в зависимости от назначения и СЗИ:

- За период — формируются в системах управления активами (CMDB) или системах управления уязвимостями (VM). Отражают результат работы ПО или команды за определенный период.
- Мониторинг — формируются в DLP-системах. Отражают срезы по времени для подсвечивания критических моментов в работе.
- Проблема — формируются в системах класса TIP или SOC. Отражают существующую проблему и, как следствие, запрос действия у лиц, принимающих решения. Отчет выступает в роли своеобразного ТЗ.


Отчеты за период должны максимально просто и быстро донести до исполнителя ответы на три вопроса: что делать, где делать и как быстро. Отчеты старой формации, хоть и отвечают на эти вопросы, заставляют исполнителя сначала пролистать несколько страниц, затем, продравшись сквозь дебри сложносочиненных предложений, перечитать задачу несколько раз и только потом перейти к ее исполнению. В отчетах нового формата такой словесный шум должен быть убран до минимума, чтобы в итоге он мог быть прочтен за один подход, а в голове у человека выстроилась четкая схема «условие-действие-результат», без необходимости тратить время на самостоятельную разработку такой схемы.


Отчеты с функцией мониторинга (на примере отчетов, предоставляемых DLP-системами) должны представлять собой доказательную базу и говорить на языке фактов. Главную роль в таких отчетах играют именно приложения-доказательства, которые включаются в отчет в неизмененном виде, но также важно правильно оформить выводы, основанные на фактах, в чем и заключается работа оператора/аналитика. В таких отчетах на первый план выходит уже структура, позволяющая логично и кратко выстроить повествование об инциденте.


Отчеты, информирующие о проблеме, требующей реагирования, весьма разнообразны. Их результаты могут представлять собой как временные срезы, так и отдельные наборы информации о ресурсах (причем, в качестве «ресурсов» могут выступать и оборудование, и живые люди). Например, требуется доказать и отстоять выбор СЗИ в зависимости от результатов работы или сформировать на бизнес-языке потребности в новых средствах или ресурсах, основываясь на показателях эффективности. В таких случаях одних доказательств недостаточно, их нужно еще грамотно оформить и представить, чтобы сформировать у читающего отчет менеджера стройную цепочку аргументов, не позволяющих усомниться в достоверности данных. Обычно проблемой становится именно неспособность многих высококлассных исполнителей «перевести» свои вполне обоснованные опасения на язык финансовой целесообразности. На основе отчетов принимаются серьезные решения об объеме бюджета, расширении штата и прочих кадровых задачах. Исполнители отчитываются перед руководством и заказчиком, сотрудники взаимодействуют друг с другом при помощи универсального языка отчетов, и от того, насколько стройно и качественно, без лишней «воды», он будет выстроен, зависит эффективность работы многих процессов и людей.


Вопросы и решения

В теории всё звучит здорово, но реальные проекты иногда подкидывали проблемы и ситуации, которые было бы очень сложно предусмотреть заранее. Конечно, это вызывало вопросы, а вопросы подсказывали решение. Вот как это было.



А вам очень нужен титульный лист? 

На самом деле, вопрос заказчику дословно так и звучал. Проблема была в том, что в большом аналитическом отчете всю первую страницу занимала информация о том, в каком городе, в каком году и кем был подготовлен отчет, а также название отчета, название и логотип компании. На второй странице шло содержание, далее — глоссарий, и содержательная часть отчета начиналась страницы с пятой. Люди работали с отчетом постоянно, но каждый раз работа с ним начиналась с ритуального перелистывания до пятой страницы.


Название компании мы убрали совсем: отчет был внутренний и люди в основном помнили, где они работают. Название отчета разместили по центру верхнего края первой страницы. Информацию о периоде отчета и составителе уменьшили и поместили в левый верхний угол, а логотип тоже уменьшили и убрали в правый верхний угол. Глоссарий и содержание перенесли на последние страницы отчета. Таким образом, полезная информация в отчете началась с первой страницы, и людям стало проще и приятней с ним работать. Это подвело нас к следующему вопросу.



Куда вы смотрите в первую очередь? 

Когда мы попросили показать, как именно проходит работа с отчетом, оказалось, что заказчик сначала смотрит статистику происшествий, затем — текущие активы с изменениями за последний год, а только потом переходит к рекомендациям отдела защиты информации и их обоснованию. Мы просто поменяли разделы отчета местами, разместив их в порядке рассмотрения, добавили перекрестные ссылки и несколько диаграмм по основным показателям. В итоге эргономика отчета существенно улучшилась. Далее мы принялись не просто раскладывать и группировать информацию, а переводили набор понятий на язык бизнеса — так появился дополнительный уровень абстракции, называемый «Выводом». «Вывод» был разным: это могло быть и большое число, и красивые пересекающиеся графы (на которых иногда «удав съедал слона»), но одно у наших выводов было общим — беглый взгляд на значок, слово, абзац или картинку однозначно давал понимание, хорошо или плохо то, что мы сейчас видим. Однако всегда можно что-то улучшить, поэтому мы задали следующий вопрос.



Отчет точно должен быть черно-белым? 

Оказалось, монохромность отчетов была пережитком прошлого: ранее в компании использовались лазерные принтеры без возможности цветной печати. Однако со временем их заменили на МФУ, а отчеты и вовсе перестали печатать. Готовились отчеты в соответствующем программном обеспечении, презентовались руководству на проекторе и дополнительно рассылались участникам встречи на почту. Заказчик не понимал, зачем делать отчет цветным: «И так всё видно, вся информация есть. Это же не комикс!». Тем не менее, мы добавили цветные отбивки к каждому разделу отчета — после этого ориентироваться в печатной версии стало значительно проще, даже не обращаясь к оглавлению. Мы сделали цветными сравнительные диаграммы, выделили цветом наиболее важные показатели. Отчет стал восприниматься совершенно по-другому, и через неделю заказчик уже не мог себе представить, как он жил без всего этого до сих пор.


Заключение

Если подытожить, то самое важное в подготовке макетов отчетности — всегда пользоваться аналитическим подходом и начинать с потребностей бизнеса. При этом чем глубже вы погрузитесь в суть вопроса, тем лучше будет результат. И всегда нужно идти в ногу со временем, чтобы использовать все последние достижения человечества, адаптируя работу заказчика под новые гаджеты, технологии и актуальные тенденции в оформлении и стилистике.

TIP Управление ИБ Управление уязвимостями DLP IRP SOAR Управление ИТ-активами Отчеты ИБ

Рекомендуем

Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
IRP/SOAR по закону. КИИ
IRP/SOAR по закону. КИИ
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба

Рекомендуем

Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
IRP/SOAR по закону. КИИ
IRP/SOAR по закону. КИИ
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Вебинары о конструкторах рабочих процессов и коннекторов на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба

Похожие статьи

Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика

Похожие статьи

Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика