Журнал "Information Security/ Информационная безопасность" #2, 2020

Интересной метрикой является число инцидентов, обнаруженных с помощью Threat Intelligence. Отслежи- вание этого показателя показывает ценность приме- няемых нами фидов, а также провайдеров Threat Intelligence, которыми мы пользуемся и за работу которых мы платим деньги. 24 часов с момента обнаруже- ния (хотя правильнее говорить регистрации) инцидента неза- висимо от его природы. Но мы с вами прекрасно понимаем, что время обнаружения спама, время обнаружения группиров- ки Cobalt и время обнаружения соединения с командными сер- верами ботнетов могут сильно различаться. Поэтому времен- ные метрики обычно имеет смысл еще разделять по допол- нительным атрибутам, о чем мы поговорим дальше. Примеры временных метрик Давайте посмотрим на при- меры временных метрик. Пер- вая и самая очевидная метри- ка – это медианное время для обнаружения инцидента, кото- рое я уже упоминал выше. Это наиболее типичный временной интервал, в течение которого SOC начинает реагировать на инцидент. Более длительное значение этой метрики указы- вает на более высокие уровни ущерба (дольше не видим – больше теряем). Отслеживание этого показателя поможет нам настроить ИБ-инструментарий, улучшить возможности обнару- жения инцидентов или увели- чить охват сбора данных. Целью измерения данной метрики у нас является минимизация времени на обнаружение. Иными словами, чем быстрее мы обнаруживаем инцидент, тем быстрее, как минимум в теории, мы на него начинаем реагировать и тем быстрее его закрываем и, соответственно, тем меньше ущерб, наносимый компании. Время приоритизации Следующая интересная мет- рика, которая может быть использована в SOC, – это медианное время на приорити- зацию инцидента. Это среднее время, необходимое центру мониторинга для начала реаги- рования на инциденты с момен- та получения сигнала тревоги. Более длинный показатель ука- зывает на более высокие уров- ни ущерба и неспособность ана- литиков своевременно вклю- чаться в работу. Иными слова- ми, я получаю сигнал тревоги, но проходит слишком много времени, прежде чем я пойму, что означает для моей компа- нии этот сигнал тревоги. При- чиной может служить отсут- ствие у меня соответствующих Рlaybook, и мне их надо будет разработать. Возможно, у меня отсутствуют соответствующие правила приоритизации и клас- сификации тех или иных инци- дентов по важности, срочности, серьезности или по каким-то иным параметрам. В любом слу- чае это очень важный параметр для измерения эффективности SOC. Время локализации Наконец, еще одна важная временная метрика, связанная с SOC, – это среднее время, в течение которого SOC локали- зует инцидент. Разумеется, он отсчитывается с момента своего начала. Более длинные значения метрики указывают на более высокие уровни ущерба, которые несет наша компания. В идеале нам надо смотреть еще глубже и оценивать не про- сто время реагирования, время приоритизации, время локали- зации и т.п., а делать это при- менительно к разным типам инцидентов, да еще и для раз- ных аналитиков (новичок и бывалый должны иметь разные временные показатели: второй должен работать быстрее). Число инцидентов Идем дальше. Следующей интересной метрикой является число инцидентов, обнаружен- ных с помощью Threat Intelli- gence. Отслеживание этого показателя показывает цен- ность применяемых нами фидов, а также провайдеров Threat Intelligence, которыми мы пользуемся и за работу которых мы платим деньги. Эта метрика также может показать, насколь- ко интегрированы подразделе- ния TI и мониторинга в SOC. Может оказаться так, что и фиды у нас качественные, и провайдеры не зря получают от нас деньги, но полученная от них информация не использу- ется при обогащении инциден- тов в SIEM, не используется в рамках Threat Hunting, не при- меняется при расследовании. Выигрыш от автоматизации Еще одна интересная мет- рика – это число часов, сохра- ненных инструментами авто- матизации. Она показывает ценность автоматизации, а также дает представление о том, какие инструменты авто- матизации дают эффект, а какие не дают. Ну и конечно, она показывает, насколько данные инструменты эффек- тивно используются разными аналитиками SOC, что позво- ляет выстроить для них личные планы обучения и повышения квалификации. Читайте продолжение в сле- дующем номере журнала. l • 25 УПРАВЛЕНИЕ www.itsec.ru Рис. 4. Рис. 6. Рис. 5. Ваше мнение и вопросы присылайте по адресу is@groteck.ru