Недавно в своём блоге бизнес-консультант по безопасности Cisco Алексей Лукацкий сравнил SOC и онлайн-мероприятия по ИБ, отметив, что их роднит ложь в цифрах. Заинтригованы? Давайте разбираться.
«Выборы президента США навели меня тут на рассуждения о том, как умело манипулируют цифрами то демократы, то республиканцы и как это похоже на то, что происходит в центрах мониторинга ИБ, а именно при визуализации ключевых показателей эффективности SOC. Аналогичные манипуляции используют и организаторы онлайн-мероприятий по ИБ, которые пытаются их продавать, используя всё те уловки, что и при подсчёте голосов или числа инцидентов», — написал Алексей Лукацкий.
Однако на такую мысль его навели не только выборы президента в США. Ещё одним толчком к размышлению стал недавно проведённый господином Лукацким вебинар по повышению уровня осведомлённости сотрудников в области ИБ для одной компании. По его словам, ему обещали нагнать 400 человек, почти весь персонал, однако в день мероприятия он увидел только 36 слушателей. До конца его дослушали лишь 32 человека.
«Каков эффект от мероприятия мне неизвестно, но в письме, которое служба ИБ направила своему руководству, фигурировало число 400, красиво обёрнутое фразой «информация о мероприятии была доведена до 400 человек». Но мы же прекрасно понимаем, что это совсем не то, что было в реальности. Аналогичная ситуация и с онлайн-мероприятиями, а я за последние почти 9 месяцев поучаствовал в многих из них», — рассказал он.
Как правило, организаторы онлайн-мероприятий любят хвалиться числом зарегистрировавшихся участников. Но ведь важнее, не сколько человек зарегистрировались, а сколько их них вообще пришло на вебинар. При этом, по словам Алексея Лукацкого, лучше всего считать именно тех, кто действительно дослушал до конца.
«Считать надо не число пришедших, а число дослушавших до конца. Причём именно дослушавших, а не досидевших. Вы же понимаете разницу, да? Первые держали окно плейера или вкладку браузера поверх всех остальных окон и, скорее всего, слушали вебинар (конечно, есть вероятность, что они просто свалили пожрать в это время, но это отдельная тема). А вот вторые могли просто включить вебинар, отключить звук и заниматься своими делами. Поэтому, говоря об эффективности онлайн-мероприятия, хвалиться надо не числом регистраций (хотя эта цифра лучше продаётся), а числом активно дослушавших до конца», — отметил он.
Как написал Алексей Лукацкий далее, в SOC ровно тоже самое — показывать надо не число событий безопасности, и даже не число инцидентов, а число тех инцидентов, которые не были закрыты в течение заданного для данного типо инцидента времени. Именно это будет показывать один из срезов реальной работы SOC. Хотя этот показатель может быть и не очень приятным. В качестве примера он приводит число ежедневно зафиксированных событий ИБ в инфраструктуре Cisco — 1,2 трлн. Однако, надо понимать, что многих из них ложные, а многие — малоинтересны. Если просеять все события через различные фильтры, убрать ложные срабатывания, провести анализ и корреляцию, а потом из оставшихся выбрать только критичные, то в конечном итоге в Cisco остается на отработку их SOCом всего 22 инцидента в день.
«В заключение хочу повторить мысль, с которой я начинал заметку. Понятно, что красивые и большие числа всегда интереснее небольших. Именно первые хочется вынести на дашборд SOC или отобразить в отчёте службы ИБ; а организаторам онлайн-мероприятий показать покупателям. Но увы, как и в случае с выборами, надо смотреть за пределы этих очевидных KPI. Тогда оценка эффективности будет более эффективной. Уж простите за тавтологию...», — заключил Алексей Лукацкий.
И у вас с нами есть реальная возможность проверить его догадки на практике! Ведь 1 декабря пройдёт одно из самых масштабных мероприятий по ИБ — SOC-Форум Live — в онлайн-режиме. Регистрация уже открыта. Регистрируйтесь, активно участвуйте, выигрывайте призы, узнавайте новое, общайтесь с единомышленниками и будьте именно теми, кто действительно дослушивает до конца! А мы постараемся не накручивать цифры и давать реальную статистику.
.jpg)
.jpg)
