SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Визуализация: лучшие практики

Визуализация: лучшие практики
30.11.2023

Ева Беляева, Руководитель отдела развития производственного департамента Security Vision


Максим Лунев, Аналитик отдела аналитики производственного департамента Security Vision

 

Что это и зачем


В случае, когда требуется оперативно (и вдумчиво) оценить ситуацию в целом и ответить на сложные комплексные вопросы, на помощь приходит визуализация. В нашем случае речь пойдет о метриках эффективности по большей части в области ИБ, но на самом деле все нижесказанное применимо и к бизнес-сегменту, так как логика настройки BI-решений схожая.


Визуализация результатов работы позволяет как дать оценку работы систем или людей, так и проиллюстрировать необходимость запроса, к примеру, потребность отдела в новых вакансиях или отказ от того или иного средства защиты.


В нашей статье мы рассмотрим, какие варианты обычно предлагаются из коробок, на какие вопросы они отвечают, и к каким лучшим практикам в итоге пришли мы, наследуя их от продукта к продукту.


Каковы потребности?


Современный мир похож на калейдоскоп: все меняется с невероятной быстротой и то, что было вот только что актуальным, через мгновение считается устаревшим. Более того, количество информации в единицу времени стало таким плотным, что не запутаться в ней становится отдельным вызовом. А при ведении бизнеса ошибки в трактовке данных могут стоить очень дорого.


В таких обстоятельствах ценность визуальной аналитики возрастает кратно. Выражение «лучше один раз увидеть» по-прежнему актуально. Остается сделать так, чтобы то, что мы видим, было понятно, информативно и позволяло быстро делать выводы.


Прежде чем создавать визуальную аналитику, давайте ответим на несколько простых, но ключевых вопросов:


Для кого это нужно? 


Посмотрите на бизнес глазами ваших клиентов – и полдела сделано. Руководитель группы начинает каждое утро с анализа ключевых показателей своей команды, а топ-менеджер организации сможет уделить внимание дашборду два раза в год. Сотрудник за пультом управления и вовсе постоянно бросает взгляд то на одну, то на другую диаграмму. 


С такими простыми вводными сразу вырисовывается несколько категорий целевой аудитории, и для каждой из них необходим свой набор аналитики.


Для чего это нужно? 


Создавая аналитические инструменты, всегда нужно помнить, что любой дашборд, график или отчет должны отвечать на какой-то вопрос. Правильно сформулируйте этот вопрос – и вот уже вырисовывается набор метрик, которые нам необходимы. К примеру, работа по сменам требует понимания эффективности каждой смены – и рождается отчет, взглянув на который, становится понятно, кто как работал. 


Что предлагают другие


Многообразие классов решений по ИБ на рынке также пестрит широким набором встроенных в продукт метрик, дашбордов, отчётов. Что встречается чаще всего?


Все включено


В некоторых продуктах производитель уже подумал за нас и заложил всё, по его мнению, самое нужное и важное. Из коробки будут доступны десятки, если не сотни, преднастроенных визуальных макетов с ограниченным скоупом метрик.


Это достаточно удобно в случае, когда хочется взять систему и сразу начать работу без траты времени на кастомизацию. Или, когда нет собственных аналитических макетов, к которым привыкла команда, что удобно отображают предметную область и метрики именно вашей компании.


Такие отчёты или дашборды поменять зачастую нельзя (иногда можно поиграть с представлениями: как-то иначе скомпоновать, выполнить несложные фильтрации и выбор визуального отображения данных). Но обычно вендора учитывают наиболее распространенные запросы рынка, и всё настроенное в общем случае оказывается нужным и актуальным.


Правда, в этой парадигме встречаются случаи, когда производитель придерживается логики «один запрос – один отчёт», а визуально в режиме реального времени даёт только лишь технические показатели самой системы.


Не спорим, в каких-то случаях, если речь идёт об IT, процессах или мониторинге, такой подход оправдан, но в случае с SOC обязательно потребуется кастомизация.


Сделай сам


Главное, чтобы с этой кастомизацией не переборщили. Будет сложно работать, если вдруг окажется, что у вас нет ничего, настроенного из коробки (или почти ничего).


За визуализацию отвечает подробный и детальный конструктор, нужно только, чтобы он не был слишком монструозным, тяжёлым и сложным как для запросов, так и для отрисовки. И это здорово, если вы встроили в него обычный html и вам не приходится буквально программировать интерфейс, для чего понадобится знание не только, к примеру, SQL-запросов, но и некоторых языков программирования. Порог входа специалиста по настройке визуала сразу возрастает, а время, которое заказчики обычно тратят, чтобы подогнать инфографику под себя, умножается в разы. Такие квалифицированные кадры, зато, смогут не только «сделать красиво», но и наполнить метрики сложной и актуальной аналитикой; в ряде компаний существуют целые отделы BI- и не только специалистов, создающие отчеты в рамках оказания консалтинговых услуг. Со временем, конечно, при таком подходе можно воплотить практически всё, что угодно.


Именно такой подход встречается у опенсорс-решений, заточенных изначально под несколько иной функционал, но сейчас не редкость и то, что у некоторых вендоров мира ИБ-подход оказывается несколько схожим.


Например, ряд решений класса BI построен именно так: пользователю дается большой запас математических формул, запросов в какую угодно систему, а под капотом – движок, поддерживающий чаще всего python или java, или что-то более экзотическое; гибкость таких систем не сравнится ни с чем, любой блок или кнопка в таком случае ограничены лишь фантазией.


Приятное с полезным


Существует также и комплексный подход – немного сложных и не очень готовых примеров из коробки, настроенных под «среднего по больнице» заказчика.


Конструктор, как мы заметили из опыта, в этом случае не такой низкоуровневый – он представляет собой no-code набор визуальных представлений, для тюнинга которых нужны знания только из профессиональной области (и хороший аналитик). Преднастроенные отчёты и дашборды могут подойти большинству с небольшими правками, остальные же с лёгкостью быстро настроят отрисовку недостающих метрик.


На рынке сейчас несколько производителей, практикующих такой подход, даже отечественных. Мы из этих.


Наши лучшие практики


Итак, осталось ответить на еще один вопрос:


Как это осуществить?


На основании накопленного опыта в создании IT-продуктов у нас выработался эффективный подход к созданию целевых аналитических инструментов.


Главным и, одновременно, самым сложным остается выбор ключевых метрик для каждого конкретного процесса. Они должны быть максимально простыми и однозначно трактоваться (Помните о принципе Эдварда Тафта «немного чернил на небольшом пространстве»?). Лучше дать возможность пользователю «провалиться» в диаграмму (drill-down), чем усложнять ее нагромождением данных. 


Также нужно правильно выбрать период анализа данных: нужна нам информация за всю историю, за конкретный период времени или срез данных на текущий момент.


И не забыть про мелочи, в которых кроется тот самый дьявол: правильные названия диаграмм и графиков, подписанные оси (с единицами измерения), понятная легенда – все это обеспечит понятность, четкость и недвусмысленность нашей аналитики.


Учитывая все вышесказанное, мы в наших решениях создаем набор встроенных отчетов и дашбордов с возможностью применения ролевой модели, чтобы каждый сотрудник видел только актуальные для себя метрики.


Примеры наших дашбордов:

· Операционный дашборд описывает все, что происходит прямо сейчас в вашей организации. Сотруднику будет достаточно нескольких секунд, чтобы оценить происходящее и, при необходимости, принять нужные меры

· Аналитический дашборд предоставляет данные для более размеренного и вдумчивого анализа, который поможет выявить скрытые закономерности и паттерны и внести соответствующие коррективы в бизнес-процессы


2.png


· Стратегический дашборд позволяет взглянуть на ключевые показатели за длительный период времени, удостоверится, что компания идет в правильном направлении, при необходимости подправить курс или выработать дополнительную стратегию развития

· Для области ИБ актуальны многие метрики, связанные с географическим расположением (откуда идет атака, какой офис атакуется и так далее), поэтому мы не забыли про интерактивную карту


3.png


Примеры наших отчетов:

· Сводные комплексные отчеты за конкретный период (неделя, месяц), которые наполнены большим количеством виджетов. Такие отчеты удобно генерировать по расписанию, чтобы в определенное время они приходили на электронную почту определенному сотруднику

· Небольшие отчеты по принципу «один запрос – один отчет». Такие отчеты позволяют максимально быстро получить информацию о конкретной метрике

· В каждом нашем решении мы также предусматриваем возможность в любой момент времени выгрузить непосредственно из интерфейса отчет по конкретному объекту. Это позволяет получить «моментальный снимок» текущего состояния любой сущности.



Также, помимо классических примеров подачи информации, мы взяли за правило наполнять и сами карточки объектов полезной инфографикой, будь то статистика связей или даже полноценный Kill Chain атаки.


Такие мини-дашборды зарекомендовали себя как полезный инструмент как в расследовании, так и в представлении результатов своей работы помимо основной отчетности.


5.png

Важно помнить, что в любой из преднастроенных аналитических инструментов можно вносить любые правки, максимально адаптируя их под свои нужды, не обладая при этом специфическими навыками. А если «коробочные вариант» совсем не покрывает какие-либо специфические случаи, то на помощь придет наш конструктор, с помощью которого можно быстро создать необходимое аналитическое представление.


Заключение


Подводя итоги, скажем, что запросы в качественной визуализации постоянно растут, поэтому мы не стоим на месте, постоянно расширяем набор наших аналитических инструментов, а также не забываем про дизайн и оформление.

Дашборды ИБ Практика ИБ Метрики ИБ

Рекомендуем

Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
False или не false?
False или не false?
Практическая защита персональных данных
Практическая защита персональных данных
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5

Рекомендуем

Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
False или не false?
False или не false?
Практическая защита персональных данных
Практическая защита персональных данных
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5

Похожие статьи

Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы

Похожие статьи

Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы