Архив рубрики: У Камина

Войны блогеров по ИБ

Когда воюют блогеры, комментариев в избытке (с) мое

Сегодня произошло странное, о чем и хотелось бы сказать, чтобы расставить все точки. В чем суть? Сегодня была настоящая война блогеров со мной. Весь топ блогинга поибэ ринулся защищать свои интересы от моих мнимых нападок.

5753_900

Началось все со второй части моего отчета о CISO-Forum, где в одном предложении был упомянут Алексей Лукацкий. Упомянут был в контексте того, что Алексей неважно модерировал пленарное заседание, на котором была джинса от ISACA, съевшая 30 минут из 40 всей пленарки.

Через 2 минуты после заброса в фейсбук я получил комментарий от Алексея. Удивительно, какая скорость. Думаю, фильтр какой-то на собственную фамилию поставил, или что-то в этом роде. Хотя еще недавно Алексей заявлял, что репутации в России не существует, а ему конкретно – все равно, что о нем пишут, уже столько написали.

Алексею показалось, что я говорил о его секции, на которой меня якобы не было (Алексей, я там был. Я в тот день был почти на всех секциях, за исключение круглых столов, т.к. сам вел один). Но не суть, говорил-то я о пленарном заседании, а не о секции Лукацкого. Как видно, фейл на лицо. Ну, с кем не бывает. Утром я указал на ошибку, и забыл.

Приехал на PHD, зашел на секцию публичности в ИБ. Сижу, никого не трогаю, и тут Алексей с поддержкой начинает шпильки мне кидать… я так понимаю, это что-то личное, Алексей еще на CISO-forum желал мне провала. И тут подошла тяжелая артиллерия. Закончилось все тем, что Алексей высказал мысль, что у нас нет качественного контента в принципе. На мое уточнение, «и среди сидящих за кафедрой?», Алексей выкрикнул мне персональное разрешение с предложением написать это в фейсбуке.

Было крайне неожиданно узнать, что я, оказывается, залез на священную землю блогов по иб и топчу ее бесправно. Что сам я пишу хуйню (чего не скрываю), грамотную аналитику не даю, а выезжаю за счет скандальных тем и критики. Ну, а потом все перешло в фейсбук, где Лукацкий оставил полсотни комментариев, а когда я уже признал свою тупость и ограниченность, продолжил доказывать свою правоту каждому, кто отписался у меня на стене.

Лично для Алексея. Алексей, то, что конкретно этот блог молод – не значит ничего. У меня есть еще 4 более или менее популярных блога. Один из них я начал вести, когда вы 10 лет назад еще и не думали открывать свой. Я прекрасно осведомлен о методике проведения срачей как в интернете, так и в реале. Которые к тому же длятся месяцами, а не пару часов. Вы позволили себе перейти на личности, что ж – ваше право. Мне же этот метод не интересен.

Вы — личность публичная. Отличный теоретик. Я, можно сказать, рос как специалист на ваших постах, но сегодня вы потеряли лицо. Спорить с каким-то ноунеймом (кстати, это уже не первый раз) по пустяковому поводу так, что теперь об этом знают все. Зачем? Ладно, хватит об этом. Тему закрыли. Обещаю, что впредь не буду упоминать вас всуе, разве что по какому-то большому поводу.

Для читателей. Друзья, этот блог не про информационную безопасность, и никогда о ней не был. Топ блогинга может спать спокойно. С помощью блога у меня нет цели распиариться, монетизироваться, найти новых клиентов и т.п. По одной простой причине – я не занимаюсь информационной безопасностью. Цель у блога лишь одна – писать. То, что вы это читаете, для меня большая удача. На один из моих блогов подписан 1 человек. Мне этого достаточно. Я просто надеюсь, что мой взгляд на вещи кого-то побудит к разговору. А уж что писать – про ИБ, рассказы или стихи, все равно. Вы бы бросили меня читать, если бы я тут постил свои рассказы? Или заметки?

ilive

У Камина: Про презентации с Рустемом

Хотел сегодня написать по экономическую оценку, но Рустем Хайретдинов не хочет уходить и продвинул свою тему (и до кучи product placement Infowatch и Appercut). Поэтому сегодня опять мягкое потрескивание дров и виски в пузатых стаканах (надеюсь в следующий раз Рустем будет со своим).

fireplace_main

Как делать презентации

Вообще, про презентации я могу говорить долго и вдумчиво. Но тут Рустем сделал пост (убираю всякой под кат – оставляю суть):

 

 

Зачитать целиком

Вчера принимали работу нашей команды по маркетингу, готовящей презентации к весеннему рад-шоу и по ходу я придумал новый конкурсы для создателей презентаций. Можно играть на конференциях или в профильных клубах.

Довольно часто бывает так, что сначала ты делаешь презентацию для какого-то выступления, а потом тебя просят написать статью «по мотивам». Обратное встречается гораздо реже — чтобы кто-то из организаторов конференций сказал: «вот ты написал статью там-то, не можешь сделать на эту же тему выступление». В моей личной практике — ни одного случая на сотню статей. Возможно это потому, что организаторы конференций не читают профильную прессу, за исключением своей собственной.

 

 

Итак, конкурсы:

1. Базовый конкурс а-ля «Домашнее задание» — за день до старта участникам раздаётся одна и та же аналитическая статья на отвлечённую тему, не знакомую ни одному из участников (например, в ИБ-среде о животноводстве), а на конкурсе жюри слушает, сравнивает и оценивает презентации участников по мотивам этой статьи.

Уровень «стажёр» — копи-пейст абзацев.
Уровень «менеджер» — пересказ статьи вслух близко к тексту под соотвествующие весёлые картинки на экране.
Уровень «колдун» — оригинальная презентация, доносящая мысли статьи.

Последнее очень круто — понять смысл и аргументы статьи и сделать совершенно самостоятельное произведение с понимаем преимуществ визуального формата. Мы вообще редко сталкиваемся с адекватным переводом в визуальный язык (кино) хороших текстов (книг) — вспомните, сколько раз после фильма-экранизации известной книги у вас язык не поворачивался сказать «книга лучше»(с).

2. Продвинутый конкурс — дуэль «обратный перевод». Два участника пишут презентации, потом по ним эссе и обмениваются ими, не предъявляя оригинал презентации. Затем повторяются условия предыдущего конкурса и жюри сравнивает оригинальную презентацию участника с «обратным переводом» эссе в презентацию, сделанным его соперником и наоборот.

 

В комментариях я упомянул, что у нас две основные школы, каждая из которых порвет другую школу в одном конкурсе и безжалостно сольет в другом. Рустем поймал меня на горячем и захотел подробностей. Как вы знаете, всегда есть два вида людей – западники и почвенники, с пистолетом и без, быстрые и мертвые. Применительно к презентациям – текстовики и говоруны.

2_man

Понятно, что чистых адептов каждой из школ не бывает, они мимикрируют то в одну, то в другую сторону. Но основные признаки тяготеют к одному из полюсов.

Текстовики

Тут все довольно просто. Это люди, загоняющие текст в слайды. Много текста. Еще больше текста! Больше текста, больше текста!!

text

Количество слайдов у текстовика прямо пропорционально времени, которое ему отведено на презентацию. Дадут час – будет 100 слайдов. Эти презентации очень хорошо читать после мероприятия, тем более если тебя там не было. Они информативны и подробны. Но часто текстовики используют 10 и меньший шрифт, дабы все уместилось.

Слайды – фактическое отражение произносимого.

Коронная фраза – «Я тут пролистаю, потом вышлю презентацию».

Можно быть уверенным, что, пропустив первую часть презентации на мероприятии А, вы сможете восполнить пробел, послушав ее на мероприятии Б.

Ярым представителем является Алексей Лукацкий. Признаюсь, я не видел его последние творения, но помню курс по 382-П. Алексей прислал презентацию на 100 с лишним мегабайт и 300+ листов. Она до сих пор у меня хранится, и я в нее часто заглядывал в свое время. Сюда же можно добавить отчеты чиновников и т.п.

Именно отсюда происходят все эти корпоративные замашки – «а давайте сделаем общую презентацию по теме», «подготовь мне презентацию мне завтра читать» и т.п. Текстовую презентацию – может прочитать любой, кто в теме. Не верите? Посмотрите на презентации в наших учебных центрах, я несколько раз сталкивался, с заменой преподавателей, которые читали по «общей презе».

Текстовики, понятно, смотрят на говорунов, как на говно.

Говоруны

Другая крайность — рассказывать презентацию. Тут тусуются адепты Минто (всем рекомендую почитать ее книгу «Принцип пирамиды Минто» – вступайте в нашу секту!!) и схожих деятелей.

tell

Презентации именно рассказываются, слайды используются, как вспомогательный материал. Минимум текста, несколько картинок. Количество слайдов ни как не зависит от количества времени. Как-то я проводил серию обучений для школ и детских садов по персональным данным – два часа я рассказывал про 17 слайдов.

Понятно, что из этих презентаций нифига не понятно, если не слушать. Вот, смотрите пример с конференции 2010 года, где мы, кстати, первый раз с Рустемом и пересеклись. Отсюда, разве, что можно общую мысль понять, но ни каких деталей.

Воспроизводимость презентаций говорунов – нулевая. У меня каждая презентация, по одним тем же слайдам, имеет отличия – от незначительных до глобальных.

Говорящую презентацию – гораздо сложнее подготовить (об этом как-нибудь в другой раз, а то совсем дебри будут). Да и еще куча факторов влияет, разболится любимый мозоль, и уже запал пропал, на лице мука… вы не захотите такое смотреть.

Понятно и «выхлоп» предсказать труднее.

Ну, т.к. я явно тяготею к говорунам, и выставлять себя в качестве примера – не скромно, влеплю сюда Стива Джобса – как абсолют (хотя сам Apple, и что они делают – мне не нравиться).

Любите таблицы? Вот, вам таблица в сравнении двух школ (принимаю дополнения):

Параметр

Текстовики

Говоруны

Выхлоп от презентации Всегда стабильный, на среднем уровне В широких пределах
Воспроизводимость Полная От 70% до 0%
Интересность прослушивания Средняя Выше средней
Зависимость от внешних факторов Практически никакая Существенная
Читаемость презентации после выступления Высокая Никакая
Вау-эффект Невозможен Может быть достигнут
Контакт с аудитория Безразличен Важен
Количество слайдов на минуту выступления 1-2 на минуту 0,2 – 0,5 на минуту
Требования к спикеру Нормальные Высокие
Наибольший эффект Обучающие, отчетные презентации Маркетинговые, продажные, инновационные презентации

 

Понятно, что это некая условность. Можно текстовую презентацию рассказать так, что все ахнут. И мекать и бекать на говорящей. Но в целом оно вот так вот.

Возвращаясь к конкурсам – говоруну будет сложно выиграть «обратный перевод». Но просто разорвет в клочья текстовика в «домашнем задании» (разумеется, если будет время на подготовку), для него полет мысли – это все.

На этом все, заходите к нам еще.

У Камина с Рустемом Хайретдиновым

Сегодня решил посидеть у камина с Рустемом Хайретдиновым и понекропостить его заметку аж от 1 марта. Вы спросите: Дима, какого хрена? Что за рандомный набор тем? А я отвечу: есть у меня блокнотик, куда я записываю идеи для своего потока сознания, и, если нет ничего насущного, подглядываю туда. Сегодня как раз ничего насущного. Заметьте, никакого тайм-менеджмента.

fireplace_main

Так как это запись на Фейсбуке, приведу ее полностью:

Помня, что после слов «никого не хотел обидеть» можно обижать кого угодно, вброшу, пожалуй.

Так вот, никого в действительности не хочу обидеть, но дописал в требования к вакансии к «статьи в профильных и бизнес-изданиях — плюс» фразу «собственный блог — минус». Раньше я думал, что популярный блог — это плюс для работодателя: человек активно делится идеями, имеет устойчивую аудиторию, которой будет доносить наши ценности. Но несколько раз столкнулся с тем, что блогер — отдельное состояние души, блог требует постоянного внимания, регулярных публикаций, подсчёта посещений и т.п. Блогер зависит от блога, его аудитории, позитивных откликов, рейтинга и т.п. чуть ли не больше, чем от работодателя и конфликт между ценностями компании и ценности своей аудитории будут чаще решаться блогером в пользу последней. А работодателю это не надо.

Статьи в прессе создают доверенное имя, аудиторию и уважение, но не создают зависимости от аудитории. Что скажешь, [нет разрешения на обработку персональных данных ]?

*Речь здесь идет только о тех, для кого ведение блога — не часть профессии, то есть этот пост не про топ-менеджеров, консультантов и PR-специалистов, а про специалистов и средний менеджмент.

Рустем, да полноте вам. Блогеру не нужно делиться идеями и иметь устойчивую аудиторию для донесения ценностей. Если блог корпоративный — так там этим и так занимаются (см. блог любой компании). И никакого конфликта тут нет. Все зависит от целей человека.

Буквально недавно разговаривал с молодым блогером, который рассказывал мне, что «есть тусовка «старых блогеров», которая никого к себе не пускает и гоняет молодняк ссаными тряпками». Тут цели и тех и других понятны — главное застолбить местечко в кругу гуру и скопом скидывать всех остальных с вершины. Ну, а тех, кто пролез, придется терпеть. Но таких единицы.

Именно в тусовке важно внимание, рейтинг и отклики. Хотя какие уж в ИБ отклики? У Алексея Лукацкого в среднем 3 комментария на пост. А это не какой-то там блогер, титан! Что уж говорить про все остальных? Нет, отклики и рейтинги не так важны.

А все почему? Потому что люди блогом не зарабатывают денег (во всяком случае в ИБ). Даже косвенно. Вот, возьмем меня. Предположим, меня переклинило, я стал вести блог. И что в моей жизни изменилось? Как был бомжующим босяком, так и остался. Разве что теперь могу вам об этом рассказать :) (Где тот добродетельный меценат, готовый меня спонсировать? Совершу переворот в медиа-пространстве. Готов работать за еду.) Понятно, к корпоративным блогам это не относится. Но и души в них нет, так, пресс-релизы.

Блогер – это состояние души. Но какой может быть конфликт интересов между работником и компанией? Допустим, Рустем собеседует человека – он отличный специалист и человеческие качества у него хорошие. Но что изменится, если этот человек блогер? Понято, что ничего, так как его блог является следствием профессиональных и человеческих качеств. А не наоборот. Я, например, использую обсценную лексику. Понятно, что нам с работодателем будет сложно общаться, пытаясь не называть мудака мудаком. Мне ближе конкретика и точность высказывания, а кому-то дипломатические кружева. И то же самое будет в моем блоге.

Никто ведь не возражает против ведения личных блогов. А там и аудитория, и рейтинги, и отклики. У меня целый блог личной графомании (не этот). Хочешь – читай, не хочешь – не читай. Я от этого никак не изменился, это все во мне, это все я и есть. Именно поэтому со мной общаются или не общаются люди.

И так с каждым. Ну, будет человек вести блог под псевдонимом, кому лучше-то? Вот Андрей Прозоров – наглядный пример моего тезиса. Он разве потерял квалификацию от того, что в своем блоге писал когда-то про прямого конкурента? Я думаю, это даже плюс для Solar был.

Единственный вариант для конфликта – если в блоге поливают грязью родную компанию. Да, такое есть. Конфликт на лицо.

Так что блогеры тоже люди, как и графоманы :)

Всего вам доброго.

У Камина: групповое чаепитие

На удивление получил много положительных отзывов на новую рубрику, поэтому решил продолжить. Использую все тот же сайт Jet Info, т.к. там много всякого пишут. Решил поискать материал для чтения и не смог выбрать. Поэтому сегодня сборная солянка.

fireplace_main

Оригинальный текст взят as is. Все права на оригинальный текст принадлежат их правообладателям.

 

Сравнение SIEM-решений для построения SOC

Статья от Тимура Ниязова как раз под SOC- forum. Материал позиционируется как сравнение. Замечу, что методологически статья построена очень хорошо.

39_1

Но остается ряд сомнений (стать очень уж большая):

  1. Неужто компания Джет знает лучше Гарднера, какой SIEM обладает какой функциональностью? ArcSight по Гартнеру даже не второй, а третий или четвертый. Но он первый, хотя и с небольшой разницей. Нет ли тут аффилированности с одни вендором, строящим свои решения на ArcSight? ;)
  2. Цитата: Ввиду малой распространенности на рынке России и СНГ таких продуктов как Splunk и LogRhythm мы решили не рассматривать эти платформы в нашей статье.

Оу, но оба эти решения выше выбранного вами RSA

Понятно, что статья коммерческая и заказная, вопросов нет. Но почему в таблицах ArcSight идет в середине списка, а буквально в самом начале есть перечисление, где он первый в названиях, отсортированный по алфавиту? Можно считать меня жопоголиком, но я вижу тут стандартный прием манипуляторов: поместить продвигаемый продукт в середину, обрамив всяким «шлаком».

  1. Поэтому мы вводим весовую модель для определения оптимальной платформы для компаний X и Y, где значение 5 – это максимально важный критерий для организации, а 1 – соответственно, наоборот.
    • Поддержка источников событий (5)
    • Сбор событий (8)
    • Корреляция (10)
    • Поиск данных и аналитика (9)
    • Визуализация и отчетность (5 и 5 соответственно)
    • Оповещение и приоритизация (5 и 5 соответственно)
    • Общие настройки и предустановленный функционал (5 и 3 соответственно)
    • Масштабируемость, отказоустойчивость и хранение (8, 5 и 7 соответственно)
    • Мониторинг компонентов системы и внутренний аудит (3)
    • Удобство использования (10)
    • Наличие сертификатов соответствия ФСТЭК (2)
    • Дополнительные модули системы (5)

Только выше сказали, что веса с 1 до 5, и сразу в следующем перечислении пошли 8 и 10. И дело даже не в этом, а в системе выбора этих весов. Почему-то 10 получила корреляция и удобство использования. И если к корреляции вопросов нет, то удобство использования — очень субъективный показатель. Здесь сильное влияние имеет привычка. Но даже если так, нет ни слова о том, что богатсво визаулизации ArcSigh делается интегратором по отдельному прайсу ;)

  1. HP ArcSight. Доступны более 20 типов графического представления. В качестве полей графического представления используются Data Monitor, Dashboard, Query Viewer. Русифицированный интерфейс решения доступен с февраля 2015 года. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

Тимур, ну что вы? Зачем так топорно? Ведь и без этого цель статьи была достигнута, а детали все портят :(

  1. HP ArcSight раньше других продуктов нашего обзора появился на рынке SIEM-решений России, потому успел завоевать немало поклонников и противников. Продукт HP поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.

Почему стоимость решения не была в списке критериев? :) И, разумеется, квалифицированные специалисты есть в одном известном вендоре и одном известном интеграторе ;)

 

В целом статья очень понравилась, видна любовь к цифрам, чувствуется рука мастера.

2 полена из 5.

 

ПК или смартфон – что безопаснее для интернет-банкинга?

Алексей Сизов, решил поднять актуальную тему. Тема на главной Jet Info

39_2

Пользователи ДБО сегодня в большинстве случаев предпочитают доступ с ПК. Для юридических лиц это обусловлено использованием криптографических хранилищ, сегодня преимущественно работающих на базе защищенных USB-устройств.

Ну, юрики в основном используют клиент-банк, т.к. у него функций больше. Но можно это с натяжкой назвать и ДБО. Но при чем тут они? Страшный сон: главный бухгалтер Газпрома на бегу в метро отправляет платежку через модный смартофон.

«Физики» также используют ПК как базовый вариант работы с ДБО. Но многие банки сегодня уже создали или внедряют приложения для мобильных платформ. Процент использования таковых не очень велик – 10–20%: это преимущественно активная часть населения, имеющая портативные устройства (смартфоны) и обслуживающаяся в крупных банках.

Подбираемся к сути. Проблема стоит у 20% физиков, использующих ДБО.

А вот безопасность таких приложений – вопрос отдельный. Дополнительная аутентификация, в основном средствами одноразовых SMS-кодов, внедрялась с прицелом на то, что канал доставки таких сообщений будет отличным от доставки самого приложения ДБО.

… ну, думаю, это не основная цель. Думаю, на первом месте было удобство.

ДБО работал через web, а SMS – через GSM, ДБО – через компьютер, а SMS – через несвязанный телефон.

И…

Кстати, SMS — это канал негарантированной доставки сообщений, редко не приходит вообще, но сообщения можно ждать и часы.

Сегодня мы сталкиваемся с ситуацией, когда и приложение, и SMS оказываются доступными на одном устройстве, а значит, разделение каналов доставки теряет смысл. Вредоносное ПО может получить доступ и к мобильному приложению, и к данным SMS аутентификации.

А на компьютере этого не могло быть? Т.е. встроиться в клиент и перехватывать корректно введенный секретный номер?

У меня идея для старт-апа: пусть секретный номер говорят голосом по телефону, сразу после нажатия кнопки.

Конечно, использование банковского приложения со специальными средствами защиты позволяет более тщательно контролировать уровень защищенности гаджета (от проверки jailbrake до контроля активных вирусов и троянов).

Конечно.

Но даже несмотря на это мы не рекомендуем использовать один и тот же аппарат и как устройство запуска мобильного приложения, и как телефон для получения SMS-уведомлений.

Мера защиты номер 2: не ставить ДБО на мобильник.

Я так понимаю, выбор все же в пользу ПК. Ура! Победа нокаутом!

Да, это вся статья.

 

12, или магия цифр в киберпреступности

У камина, мой другАндрей Янкин.

39_3

12 человек в мире каждую секунду становятся жертвами киберпреступников

Каждый 12-й житель Земли – жертва кибер-злоумышленников

От киберпреступлений в 2015-м пострадали 594 млн человек, при этом в среднем каждый из них потерял $358. Общий же ущерб, нанесенный киберпреступлениями, составил $158 млрд. Для того чтобы справиться с последствиями киберпреступлений, в среднем пострадавшие тратили около 21 часа.

Ни ссылки на источник, ни каких-то подробностей. Кто сказал, как посчитал? Судя по этим данным, все хакеры должны разъезжать на золотых хаммерах как нарко-бароны. Уверен, что общая цифра мб и больше.

Хотя я вот взял калькулятор и разделил 158 млрд на 594 млн, получилось 265… кто-то отпили почти сотку баксов…

Кстати, это не я точки в первых двух предложения не поставил – так и было.

Наш эксперт Андрей Янкин поделился своими соображениями насчет этих цифр:

Можно сделать вывод о том, что нам всего лишь надо быть «быстрее, чем самая медленная зебра», чтобы не стать 1 из 12 пострадавших. Но это, увы, не так.

Т.е. вывод можно сделать, но это не так. Проще вообще комп не использовать.

Специфика компьютерных преступлений в том, что они очень легко масштабируются. Чтобы ограбить еще один банк, грабителям нужно приложить усилия. Чтобы добавить в ботнет еще одну не обновленную машину, никаких усилий не требуется.

Ботнеты крадут деньги со счетов? Андрюх, вроде про ущерб статья.

Да и сколько из 12 случайных людей на Земле вообще имеют дело с компьютерами? Но если вы читаете этот пост на фейсбуке, ваши шансы попасть под удар куда выше.

Фейсбук не заплатил за рекламу :)

Обидно, что у Jet Info такие короткие статьи…

 

Присылайте ваши статьи. Всего вам доброго.

У Камина: 38 попугаев

Решил заделать новую рубрику. Ну, как новую? Рассмотрение чужих статей – формат старый как мир. Новое разве что для нашего безопасного комьюнити. В данной рубрике я буду читать для вас разные статьи, разумеется, с моими непревзойденными комментариями :). Статьи, попадающие сюда, я предварительно не читаю, так что мы с вами в равных условиях. Мы первопроходцы в поиске нового и интересного.

fireplace_main

И начнем мы со статьи «38 попугаев, или не все метрики одинаково полезны» Андрея Захарова, опубликованной на сайте Jet Info. Это корпоративный портал компании Инфорсистемы Джет. Выбрал я именно ее, так как тема измерений мне близка до глубины души. Начнем.

Оригинальный текст взят as is. Все права на оригинальный текст принадлежат их правообладателям.

 

38 попугаев, или не все метрики одинаково полезны

Сразу вопрос к названию: в оригинале было 38 попугаев и одно попугайское крылышко. Точность – добродетель любых измерений.

38_0

Проблема измерения эффективности мер обеспечения ИБ уже давно стала притчей во языцех. За последние годы на эту тему были опубликованы многочисленные статьи, представлены разнообразные доклады на отраслевых конференциях, организован и проведен не один круглый стол.

Да ладно. Можно списочек? И даже если так – вы решили добавить еще одну статью в эту «огромную кучу»?

Но если посмотреть на ситуацию в целом, можно обнаружить, что, несмотря на кажущуюся популярность и востребованность этой темы, в действительности изменилось немногое.

Изменилось по сравнению с чем?

По нашим наблюдениям, доля компаний, использующих комплексные метрики для оценки состояния информационной безопасности, за последнее время возросла лишь незначительно. И тому есть объяснение.

Вы в окно посмотрели? Или исследование проводили?

Что такое метрики и для чего вообще они нужны? Метрики – это функции, которые используются для измерения чего-либо, например, какого-либо процесса. Можно провести простую аналогию с транспортным средством. Для того чтобы определить, как быстро движется автомобиль, используется метрика «спидометр», какое расстояние было пройдено – «одометр». Обычно формула расчета метрики составляется из тех характеристик процесса, которые представляют наибольший интерес.

Специально в словарь заглянул. Самое ближайшее к данному определение:

   математический термин, обозначающий правило определения того или иного расстояния между любыми двумя точками (элементами) данного множества А.

Т.е. проблема в самом начале – в терминах. Метрика не функция, а «числовой показатель», который рассчитывается. А, вот, расчет может проводиться разными способами, в том числе и функцией. Зачем огород городить, вводя новые термины? Чем старые не угодили?

Для начала отметим, что практикуемые в компании методы управления ИБ значительно зависят от сложившегося в ней корпоративного управления.

Точно так. А почему множественное число? Автор у статьи один – Андрей Захаров. Или это коллективное мнение компании Джет? А вот от чего действительно зависит измерение ИБ – так это от уровня корпоративной зрелости.

Если принятие руководством управленческих решений основывается на качественном внутреннем анализе, то и спрос на Business Intelligence (BI) будет высок.

Оу-оу-оу. Мы вроде про безопасность тут, с чего BI ? Продукт плейсмент услуг компании Джет? :)

И наоборот, если для оценки ситуации используется ограниченное число высокоуровневых бизнес-показателей, спрос на анализ внутренних процессов будет ограничен. Каждый вариант напрямую влияет на цели и задачи программы измерения состояния ИБ.

Что вы говорите. Надеюсь, дальше этот тезис будет раскрыт.

Главные вопросы, на которые компании необходимо ответить, чтобы эффективно оценивать свою ИБ, для кого создаются метрики и какую информацию они должны нести.

Очень странный тезис. Ок, поиграем в вашу игру. Например, метрики создаются для распильщиков, какую информацию они должны содержать?

Что по этому поводу советуют эксперты?

По какому поводу? Вопрос-то не поставлен. Во всем тексте сверху нет ни одного знака вопроса.

Для ответа на этот вопрос обратимся к отраслевым стандартам. Пионер стандартизации в области информационной безопасности NIST выделяет 4 типа метрик: достижения целей, реализации (выполнения) процесса, результативности (эффективности) выполнения процесса и влияния на бизнес.

Рис. 1. Уровни зрелости метрик ИБ (по материалам NIST)

Рис. 1. Уровни зрелости метрик ИБ (по материалам NIST)

Руководящий документ NIST SP 800-55 Rev.1 был разработан почти 10 лет назад и до сих пор не потерял своей актуальности.

Пропущу шутку, почему статья не вышла 9-10 лет назад.

В нем хорошо отражена идея индикаторов: результативности (KPI), достижения цели (KGI) и риска (KRI).

Да, норм критерии. Немного избыточно, но ок.

Казалось бы, задача понятна, подходы хорошо известны,

А конкретней? Тут весь рынок ждет применения этих «известных подходов». Голословное утверждение.

однако практика показывает, что попытки самостоятельного внедрения системы метрик зачастую заканчиваются неудачей.

Ага, надо звать компанию Джет.

Это происходит потому, что с самого начала не было соблюдено несколько важных условий. Дело в том, что каждый тип метрик предназначен для определенного уровня зрелости (развития) оцениваемых процессов.

А почему об этом написано здесь, а не во введении, где вы говорили о «сложившемся типе корпоративного управления»? Но, правильно ли я понял, что Андрей утверждает, будто метрики «результативности (KPI), достижения цели (KGI) и риска (KRI)» применяются не на всех уровнях зрелости?

Поэтому совершенно бессмысленно конструировать, например, метрики эффективности, если оцениваемые процессы едва удалось документировать.

Да вы что? Метрика эффективности уборки корпоративного туалета измеряема, но вряд ли документирована (во всяком случае на уровне процедур).

Крупный российский оператор связи разработал и внедрил систему метрик информационной безопасности в поддержку недавно утвержденной стратегии в сфере обеспечения ИБ. Разработанные метрики охватывали не только уже существующие процессы обеспечения ИБ, но и те, которые еще предстояло внедрить.

Как это, интересно, у них получилось?

Для удобства подготовки отчетности для руководства, курирующего блок информационной безопасности, расчет метрик был автоматизирован.

Вот это поворот, сразу виден накал автоматизации. Опять продукт плейсмент? И какое это имеет отношение к теме статьи?

Почти сразу же возникла проблема, связанная с некорректностью расчета метрик, поскольку они описывали состояние пока еще не реализованных процессов обеспечения ИБ. Так как руководство интересовали обобщенные показатели состояния ИБ, общая картина получилась «смазанной» в худшую сторону, несмотря на то, что текущее состояние ИБ было достаточно высоким.

Не понятно, как вообще такое допустили? Если уровень ИБ высокий, значит там сидят не идиоты. Значит допустили идиоты, которые эту методику внедряли, а потом сразу автоматизировали, не проведя опытной эксплуатации.

И никакого вывода из примера. Печаль.

Начать с самого простого

Метрики достижения цели позволяют ответить на вопрос о том, были ли решены поставленные ИБ-задачи. Общие цели в области ИБ определены практически в каждой компании.

Не плохо бы пару примеров. Или Андрей считает, что за 10 лет с момента выхода этого NIST все с ним ознакомились?

Частные политики и процедуры конкретизируют и детализируют их в разрезе отдельных процессов. Планы мероприятий, в свою очередь, определяют конкретные задачи, подлежащие выполнению.

Метрики достижения цели используются в первую очередь для оценки наличия результатов, поэтому полезны для оперативного управления.

*подавился чаем* В абзаце выше говорилось про решаемые ИБ-задачи, все это глобальные стратегические вещи. При чем тут оперативное управление? Или компания Джет считает, что метрика достижения цели – кинуть бумагу в шредер?

Важно отметить, что этот тип метрик ничего не говорит о том, достигается ли желаемый результат на регулярной основе. Для этих целей используется метрика реализации процесса.

Следующий шаг

Метрики реализации являются следующей ступенькой системы измерения и служат для определения того, в какой мере внедрен конкретный процесс.

Т.е., по мнению автора, процесс «может быть чуть-чуть внедрен»? Процесс либо есть (как-то работает), либо нет (не работает). Возможно редкое состояние, когда мы строим новый процесс. Но это крайне незначительный промежуток времени (дни-недели), чтобы по нему считать метрики.

Они используются в том случае, когда деятельность уже формализована в виде процесса, но он еще не внедрен полностью. К примеру, управление уязвимостями требует наличия процесса их выявления.

Да, но не обязательно. Можно покупать фиды у Касперского.

В том случае, если он выполняется только для 70 систем из 100, можно говорить о 70% его реализации.

А можно сказать, что процесс не достигает цели комплексного управления уязвимостями. Ведь из этих 30 систем все 30 могут быть бизнес-важными.

Этот тип метрики является относительным

Относительным между чем и чем?

и требует наличия установленных пороговых значений,

Как могут быть пороговые значения, если выше говорилось о 100% внедрения процесса? Получается, надо строить еще целый процесс по установке пороговых значений.

с которыми будет сравниваться измеренный результат. Определение пороговых значений отдельная задача, порой еще более сложная, чем основная, поскольку 100%-ный результат любой ценой далеко не всегда является целесообразным. Отметим, что метрики реализации предназначены в основном для руководства ИБ-подразделения, поскольку позволяют отслеживать прогресс внедрения процессов обеспечения ИБ.

Вообще метрики — для руководства.

Входим во вкус

Метрики результативности выполнения процесса, стоящие еще на одну ступеньку выше в иерархии метрик, сфокусированы на конкретных показателях деятельности и отвечают на вопрос, насколько результативно работает тот или иной процесс или защитная мера, будучи внедренными.

Т.е. к чуть-чуть беременным процессам у нас добавились конкретные показатели этой беременности. Я всю жизнь думал, что мы идем от частного к общему. Кстати, ISO тоже так построено.

К примеру, одна из целей процесса повышения осведомленности пользователей в области ИБ состоит в минимизации числа инцидентов, связанных с использованием методов социальной инженерии.

Это правда. Но в начале их надо научить не втыкать гребанные флешки, принесенные из дома. И всякую фигню не устанавливать.

Если в результате обучения пользователей в 8 случаях из 10 они не поддаются на провокационные письма и звонки злоумышленников, можно сказать, что показатель результативности процесса (для этой цели) составляет 80%.

Вообще, при таком выстроенным процессе должно быть 11 из 10. К тому же, надо еще строить процесс оценки, что же в эти 20% инцидентов может попасть. А вдруг там андеррайтер в банке.

Данный тип метрик также является относительным и требует определения пороговых значений, с которыми будет сравниваться результат.

Для того чтобы учесть фактор стоимости ресурсов, которые затрачиваются для достижения желаемого результата, используются метрики эффективности.

Наконец, добрались. Странно, что метрики эффективности не были перечислены в общем пуле выше. Хотя интереснее учитывать не стоимость ресурсов, а критичность активов, не накрытых процессами с 70% реализацией.

Зачастую они являются производными от метрик результативности.

Производными – это значит вытекают из показателей результативности? Т.е. если нам надо измерить общую площадь дома, мы на него смотрим, говорим – 1000 кв. м. А потом идем внутрь с рулеткой и мерим?

Метрики эффективности могут высчитываться по формуле результативность/стоимость,

А могут и не высчитываться. Хорошо бы еще примеров. Интересен также физический смысл данной формулы – мы % делим на деньги. Фактически мы получаем аналог скорости: сколько денег нужно, чтобы увеличить результативность на 1%. И что от чего теперь производное?

где в качестве стоимости могут выступать любые используемые ресурсы: деньги, персонал, время, или их комбинация. Если потребителями метрик результативности являются руководители подразделения ИБ, то метрики эффективности могут быть интересны руководству компании, курирующему ИБ-направление.

Постичь дзен

Наконец, последний тип метрик – метрики влияния на бизнес.

Андрей, мне очень интересно, где можно почитать про последние два вида метрик. Как я понимаю, нижестоящие метрики на бизнес не влияют. А если бы влияли, то не надо было бы вводить новые показатели – они просто бы пересчитывались через нормирующий коэффициент.

Он является самым сложным с точки зрения наполнения. Эти метрики отвечают на вопрос, в какой степени результаты конкретных мер обеспечения ИБ влияют на показатели бизнес-деятельности.

Бизнес, в конечном счете, всегда интересуют доходы, соотнесенные с рисками, поэтому первое, что приходит в голову в качестве критерия измерения, это риск-ориентированные метрики, поскольку это общая цель для всех процессов обеспечения ИБ.

Бизнес как раз не интересуют доходы, «связанные с рисками». Его просто доходы интересуют. И, понятно, чем выше риск – тем больше потенциальный доход, любой тренер на Форексе вам скажет. Что такое «риск-ориентированные метрики»?

Отношение показателя результативности (эффективности)

Андрей, так в прошлой части вы сказали, что результативность и эффективность не одно и то же. Как вы собираетесь «скорость» опять делить на деньги?

конкретной меры ИБ к величине ожидаемых потерь (ALE) по защищаемому активу или процессу неплохая бизнес-метрика,

Исходя из вашего рассуждения, у вас принципиальная разница между активом и процессом. Тут не может быть или.

отражающая меру адекватности защитной меры существующему риску. Однако зачастую возникает проблема, связанная с недостаточно развитым процессом анализа рисков в компании. Поэтому этот подход не универсален.

Завидую вашей невозмутимости. А вообще, риски — это зачастую единственное, до чего могут безопасники дотянуться. Риски не требуют капитальных затрат в со an и железо.

Другой путь выбрать несколько бизнес-целей, очевидным образом зависящих от успехов (или неудач) в области ИБ, и создать метрики на их основе.

Если в компании есть ИТ и от нее как-то зависит бизнес, то все бизнес цели зависят в конечном итоге от ИБ.

В результате масштабного исследования, проведенного Ponemon Institute в 2013 году, выяснилось, что более половины организаций вообще не применяют бизнес-ориентированных метрик ИБ, поскольку не в состоянии оценить фактическое влияние ИБ на бизнес.

Так стандарту 10 лет, и тема уже изжеванная ;)

Рис. 2. Основные причины отсутствия бизнес-ориентированных метрик ИБ в западных компаниях (по данным Ponemon Institute)

Рис. 2. Основные причины отсутствия бизнес-ориентированных метрик ИБ в западных компаниях (по данным Ponemon Institute)

Кстати, а почему слайд на английском? Дедлайн перед сдачей материала? Ну, и текст можно было бы сделать покрупнее.

Для решения этой сложной задачи можно воспользоваться концепцией системы сбалансированных показателей (Balanced Scorecards, BSC). На рис. 3 приведен пример бизнес-ориентированных метрик ИБ, вписанных в систему ценностных перспектив BSC.

Рис. 3. Пример бизнес-ориентированных метрик ИБ

Рис. 3. Пример бизнес-ориентированных метрик ИБ

Для статьи норм так критерии. Правда, резанула глаз фраза «доля проектов и процессов с участием ИБ».

Разминка для ума

Рассмотрим использование системы метрик измерения эффективности ИБ на простом примере. Предположим, мы задались целью приобрести автомобиль.

Ну, не совсем корректно. Сразу смешались цели и процесс. Автомобиль рано или поздно будет куплен, а ИБ никогда не заканчивается.

Попробуем сконструировать набор метрик, который поможет нам измерить успех этого мероприятия на всех его этапах.

Прежде чем стать обладателем автомобиля, нам необходимо выбрать желаемую комплектацию, сравнить цены в автосалонах, решить вопрос с финансированием покупки и, собственно, совершить приобретение. Метрика достижения цели будет определяться степенью выполнения всех перечисленных задач в процентном отношении. Дополнительно можно учесть вес/важность каждой задачи.

Обычный метод выбора по весовым коэффициентам, довольно сложно применимый к процессам. Проходят в институте.

Метрик реализации может быть несколько – по одной на задачу (иногда больше). К примеру, если мы решим задействовать средства на покупку из нескольких источников, можно использовать метрику, которая будет характеризовать объем уже собранных средств в сравнении с целевой суммой. Аналогично можно оценить число автосалонов, которые мы посетили, в сравнении с планируемым.

Предположим, мы успешно справились со всеми задачами, но пока этим занимались, самые интересные комплектации во всех автосалонах раскупили, и нам пришлось купить автомобиль с более скромными характеристиками. Метрика результативности нашей покупки характеризует то, в какой степени наш автомобиль соответствует тому, что мы хотели получить, чего мы ожидали. Можно привести множество метрик результативности: оценку разгонной динамики в сравнении с эталоном (например, заявленным изготовителем), шумоизоляцию, экономичность и т.д.

Метрика эффективности покупки в данной ситуации будет определять, насколько привлекательную цену мы заплатили за эту комплектацию, не переплатили ли или не слишком ли залезли в долги.

Наконец, эквивалентом бизнес-метрик будут являться метрики влияния совершенной покупки на нашу жизнь. Насколько продуктивнее мы стали использовать свое время, передвигаясь на автомобиле? Как изменились наши расходы в связи с приобретением? Какие новые возможности у нас появились благодаря наличию автомобиля? Список можно продолжать.

В качестве заключения

Отметим, что ключ к получению действительно эффективных метрик их регулярное тестирование как на этапе конструирования, так и при последующем использовании.

Посыл странный, надо не метрики эффективные делать, а – процессы. Ведь метрики нужны лишь для того, чтобы процессы стали лучше.

Данные, на основании которых должна рассчитываться метрика, могут попросту отсутствовать, быть некорректными или неактуальными. В этой ситуации метрика будет приносить больше вреда, чем пользы. Необходимо всегда отталкиваться от имеющегося фактологического материала, учитывать цели и задачи создаваемых метрик, и по возможности автоматизировать весь процесс.

 

 

Фух, вот и конец. Надеюсь, вам было интересно. Спасибо Андрею Зотову за интересный материал.

Я ставлю 4 полена из 5.

Увидимся, и всего вам доброго.

Эксперты на примере Алексея Волкова (альфа-версия Камина)

Эксперт на примере Алексея Волкова

Думал, завязал с блогосферой, но нет. Такая судьба безопасника – тебе валятся рассылки. Вендоры приходят к тебе и подписывают тебя на рассылки, интеграторы приходят – подписывают, приходишь на конференцию — подписывают, читаешь журналы – совсем подписывают. При чем, этот поток бесконечный. 99% — удаляется по названию темы письма.

На этой неделе прилетело аж два письма от BISА. Первое называется «Откровения про ИБ стартапы», второе – «Право на ошибку – одна из основ рыночной экономики». Оба названия прекрасны, пишут их правильные люди, что бы они привлекали внимание.

Читаю первое письмо:

!БДИ: ИТ-директора или СIО, входящие в советы директоров и влияющие на бизнес, имеют компетенции, опыт, связи, репутацию, команды – все то, что необходимо для организации стартапов. Однако они не создают стартапы – я, пожалуй, не знаю не одного яркого примера. Почему?

Вот, уж странный вопрос от журналиста. Ренату Батырову можно было бы ответить на уровне детского сада – «потому», и успокоиться. Но давайте разберемся. Во-1, а зачем это им? Нормальный CIO зарабатывает нормально, зачем ему своей стартап?

Во-2, во вторых, не обязательно иметь стартап (как что-то новое и инновационное), достаточно иметь побочное юрлицо. У нас что-то коло 80 миллионов юридических лиц, при 146 миллионах населения, или 1,5 человека на юрилицо. Сколько среди них CIO? =)

В-3, многим техническим специалистам, надоедает работать «на дядю» и они идут организовывать свой бизнес. И проваливаются, почему? Вроде компетенция и опыт есть, а не пошло (знавал я одну молодую компанию, где на 5 человек было 10 сертификатов С CIE). Потому что в новом бизнесе, и стартапе особенно – в первую очередь надо уметь продать себя, а уже потом сделать. А надо ли это успешному топ-менеджеру?

Ренат, ответил более мягко.

Но похвально желание журналиста, найти какую-то новую фишку. Но не получилось, не понимание сути — рушит весь материал.

«Инновации требуют экспериментов, поэтому инновационная среда должна быть терпима к ошибкам. В армии порой награждают именно за ошибки. Если боец, например, наступил на мину и потерял ногу, то его отправляют домой с медалью. Разве его учили наступать на мины? Даже в армии понимают, что без ошибок и потерь не бывает побед. Так же невозможно создать компанию, в которой все сюрпризы будут приятными.»

Олег Седов

Каким образом это соотноситься с тем, что «Право на ошибку – одна из основ рыночной экономики», тайна великая есть. Рыночная экономика не дает права на ошибку, если ты ошибаешься – ты разоряешься и идешь работать «на дядю». В экономике есть огромное кладбище, где на 1 ларек у метро, приходиться десятки таких же разорившихся бизнесменов. Что уж говорить про крупный бизнес.

Про посыл «в армии награждаю за ошибки», это финиш. Олег, я все понимаю. Но если бойцу оторвало ногу, ему не обязательно дадут медаль. А, вот, что точно сделают, так внесут новый раздел в Устав (который, как известно, написан кровью) или инструкцию по безопасности. А у вас получается, что награждают за глупость.

Есть такое «правило Марса»: эксперт – это человек не из нашего города. Один из выводов из этого правила, что следует смотреть на то, кто говорит. Например, условного бухгалтера можно послушать по теме организации финансовых потоков (хотя лучше слушать финансового директора), но не стоит совсем уж слушать по теме войны в Сирии. Т.к. экспертиза может быть показана: текущей деятельностью плюс свершения. Классическая картина – все разбираются в футболе и геополитике, а «сортиры не чищены» (с) Преображенский

 

В прошлый раз, я рассказывал, как Алексей Лукацкий говорил про Евгения Царева. Алексей говорил, что не надо слушать человека, ничего не сделавшего самостоятельно в области, в которой называет себя экспертом. Но есть и куча обратных примеров. Есть, например, Алексей Волков.

Алексей — практик информационной безопасности. Он начальник отдела эксплуатации средств защиты и удостоверяющего центра. Значит, он компетентен в этих вопросах, хоть не много. И я скорее послушаю Алексея и его претензии к какому-нибудь условному фаерволу, чем рассуждения маркетологов или купленных экспертов. Аналогично, про организацию ЭЦП.

Поэтому всегда надо смотреть, кто говорит. Правило срабатывает в 99 случаях из 100.

Всего вам доброго.

«Топим лед» по Прозорову

Что-то не оставляет меня тема блоггерства. Пошел почитать, что пишут. Заглянул к Прозорову, последняя запись о фразах, которые «топят лед» в общение с безопасниками. Посмотрим предметней:

— Сколько человек в подразделении ИБ, кому подчиняется?

"Ломая лед" по Андрею Прозорову
С места в карьер. Вы бы еще про бюджеты спросили.

— Имеется ли перечень критичных ИС и в каком виде?

И сразу вопрос про КИС (или по старому КСИИ). Учитывая, что в 99% заказчиков КИС нет, вопрос в пустоту.

— Сколько документов регламентируют ИБ, где хранятся актуальные версии, как часто пересматриваются?

Второй вопрос начинающийся со «сколько». Тут явно не хватает еще «сколько у вас денег в этом году». Что интересно, не задается более актуальный вопрос – что это за документы. А уж место хранение актуальных документов… оно нам зачем?

— Используются ли мобильные устройства для работы, как они защищаются?

Solar продает MDM решения? Или ведет разработку VPN клиента с ГОСТОм? Мы явно чего-то не знаем.

— Каким образом регламентируется и контролируется использование съемных носителей?

Этот вопрос из арсенала продавцов DLP. Что-то я не слышал, что бы у Solar был такой функционал, или это бытность памяти по Infowatch?

— Что с правами администратора для рядовых пользователей?

Как-то хаотично скачем. Нумерации в списке нет, но думаются они стоят по уменьшению приоритета. Вопросы съемных носителей и админских прав, это, конечно, проблема, но не самая первая.

— Каким образом пересматриваются и изменяются права доступа пользователей к ИС?

Вопрос для продажи IDM от Solar =)

— Есть ли SIEM, кто настраивает правила корреляции?

Кто настраивает правила… кто настраивает… Если SIEM есть, то специалисты заказчика. Если нет, то никто. Продаем сервис от Solar.

— Кто проводит сканирование уязвимостей, как часто, каким средством?

Странно, как-то сформулирвоан вопрос. Почему нет вопроса – провдиться ли вообще сканирвоание?

— Где и как фиксируются инциденты ИБ?

Слово «фиксируются» имеет значение: заносить в журнал факт. Про выявление инцидентво ни слова. Solar inView только фиксирует инциденты? =)

— Насколько выполняете требования Приказа 21?

Надо понимать, другие требования 152-ФЗ выполнять не надо ;) Или они не выполняются продуктами Solar?

— Какие грифы конфиденциальности проставляются на документах?

«Какие грифы» — а их несколько? Знаю три грифа по гостайне, по конфиденциальности в лучшем случае ставиться один – конфиденциально. Или речь идет о форме, крючк там, или плюсик ставиться? Очень информативный вопрос.

— Проводились ли проверки регуляторами и каковы их итоги?

99% заказчиков не сталкивалось с проверками по безопасности.

— Каким образом проводится обучение и повышение осведомлённости пользователей?

Норм вопрос, но задача не в первой сотне.

— Какие крупные инциденты ИБ происходили за последние пару лет?

Андрей, а вы NDA подписали, что бы вам такое рассказывали?

— Начали ли что-то делать по теме импортозамещения?

Андрей, продаете ArcSight под маркой Solar? ;)

— Что запланировано по ИБ на этот и следующий год?

Уже не плохо.

 

Как видно, нет ряда ключевых вопросов. Один из них – а какие насущные проблемы есть сейчас?

Всего вам доброго.