Что общего между SOCом и онлайн-мероприятиями по ИБ? Ложь в цифрах!

Недавно в своём блоге бизнес-консультант по безопасности Cisco Алексей Лукацкий сравнил SOC и онлайн-мероприятия по ИБ, отметив, что их роднит ложь в цифрах. Заинтригованы? Давайте разбираться.

«Выборы президента США навели меня тут на рассуждения о том, как умело манипулируют цифрами то демократы, то республиканцы и как это похоже на то, что происходит в центрах мониторинга ИБ, а именно при визуализации ключевых показателей эффективности SOC. Аналогичные манипуляции используют и организаторы онлайн-мероприятий по ИБ, которые пытаются их продавать, используя всё те уловки, что и при подсчёте голосов или числа инцидентов», — написал Алексей Лукацкий.

Однако на такую мысль его навели не только выборы президента в США. Ещё одним толчком к размышлению стал недавно проведённый господином Лукацким вебинар по повышению уровня осведомлённости сотрудников в области ИБ для одной компании. По его словам, ему обещали нагнать 400 человек, почти весь персонал, однако в день мероприятия он увидел только 36 слушателей. До конца его дослушали лишь 32 человека.

«Каков эффект от мероприятия мне неизвестно, но в письме, которое служба ИБ направила своему руководству, фигурировало число 400, красиво обёрнутое фразой «информация о мероприятии была доведена до 400 человек». Но мы же прекрасно понимаем, что это совсем не то, что было в реальности. Аналогичная ситуация и с онлайн-мероприятиями, а я за последние почти 9 месяцев поучаствовал в многих из них», — рассказал он.

Как правило, организаторы онлайн-мероприятий любят хвалиться числом зарегистрировавшихся участников. Но ведь важнее, не сколько человек зарегистрировались, а сколько их них вообще пришло на вебинар. При этом, по словам Алексея Лукацкого, лучше всего считать именно тех, кто действительно дослушал до конца.

«Считать надо не число пришедших, а число дослушавших до конца. Причём именно дослушавших, а не досидевших. Вы же понимаете разницу, да? Первые держали окно плейера или вкладку браузера поверх всех остальных окон и, скорее всего, слушали вебинар (конечно, есть вероятность, что они просто свалили пожрать в это время, но это отдельная тема). А вот вторые могли просто включить вебинар, отключить звук и заниматься своими делами. Поэтому, говоря об эффективности онлайн-мероприятия, хвалиться надо не числом регистраций (хотя эта цифра лучше продаётся), а числом активно дослушавших до конца», — отметил он.

Как написал Алексей Лукацкий далее, в SOC ровно тоже самое — показывать надо не число событий безопасности, и даже не число инцидентов, а число тех инцидентов, которые не были закрыты в течение заданного для данного типо инцидента времени. Именно это будет показывать один из срезов реальной работы SOC. Хотя этот показатель может быть и не очень приятным. В качестве примера он приводит число ежедневно зафиксированных событий ИБ в инфраструктуре Cisco — 1,2 трлн. Однако, надо понимать, что многих из них ложные, а многие — малоинтересны. Если просеять все события через различные фильтры, убрать ложные срабатывания, провести анализ и корреляцию, а потом из оставшихся выбрать только критичные, то в конечном итоге в Cisco остается на отработку их SOCом всего 22 инцидента в день.

«В заключение хочу повторить мысль, с которой я начинал заметку. Понятно, что красивые и большие числа всегда интереснее небольших. Именно первые хочется вынести на дашборд SOC или отобразить в отчёте службы ИБ; а организаторам онлайн-мероприятий показать покупателям. Но увы, как и в случае с выборами, надо смотреть за пределы этих очевидных KPI. Тогда оценка эффективности будет более эффективной. Уж простите за тавтологию...», — заключил Алексей Лукацкий.

И у вас с нами есть реальная возможность проверить его догадки на практике! Ведь 1 декабря пройдёт одно из самых масштабных мероприятий по ИБ —  SOC-Форум Live — в онлайн-режиме. Регистрация уже открыта. Регистрируйтесь, активно участвуйте, выигрывайте призы, узнавайте новое, общайтесь с единомышленниками и будьте именно теми, кто действительно дослушивает до конца! А мы постараемся не накручивать цифры и давать реальную статистику.

13 ноября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС
02.07.2025
Сотрудникам Microsoft не уйти от использования ИИ. Как и всем остальным…
02.07.2025
Полицейские констатируют резкий рост киберпреступности в Африке
02.07.2025
Мнение: Один «суверенный» процессор обойдётся в 5 млрд рублей
02.07.2025
Количество атак ClickFix выросло шестикратно за полгода
02.07.2025
Мигранты в США играют с «таможенниками» в киберпрятки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных