Дашборды по ИБ для руководства: как получить финальный вариант?

Дашборды по ИБ для руководства: как получить финальный вариант?
Давайте посмотрим на дашборды, которые есть у современных решений по ИБ. В качестве примера я возьму то, что мне ближе, - решения Cisco (Cisco ISE, Cisco Stealthwatch, Cisco Threat Grid и Cisco Cognitive Threat Analytics). Посмотрите на иллюстрацию ниже. Мы видим, что все дашборды построены по описанному вчера принципу - сначала ключевые показатели, потом аналитические диаграммы, раскрывающие эти показатели. Клик по выбранным диаграммам приводит к детальным отчетам. Все вроде бы на месте, но можем ли мы такие дашборды показывать руководству? Увы, нет. Ибо они не отвечают на вопросы, которые нужны топ-менеджменту.


Давайте посмотрим на макет дашборда, который помог бы нам оценить эффективность процесса борьбы со спамом (именно процесса, а не программного средства). Нам нужно число пользователей, прошедших тренинг по использованию и защите электронной почты. Эти цифры можно взять только из HRM-системы. Данные о числе пользователей, сообщивших о пропущенном антиспамом спаме, вредоносной программе или фишинговой ссылке, нам даст Help Desk или система управления кейсами. И только число нарушителей, кликнувших по ссылке в спаме, мы можем получить непосредственно от антиспам-решения.


Чтобы вынести все эти показатели на дашборд нам нужно их каким-то образом выцепить из разных систем, собрать вместе, произвести дополнительные вычисления (например, рейтинг успешности повышения осведомленности в области использования и защиты e-mail) и визуализировать все это в рамках дашборда. Для этого нам понадобится взять "сырые" данные от средств защиты и данные от бизнес-систем (HRM, SCM, ERP, CRM и т.п.), для чего воспользоваться API, которое сегодня является неотьемлемой частью любого современного решения по ИБ (и не только). Помните, я в прошлом году писал о пяти вещах, которые вы должны требовать от любого ИБ-вендора. Так вот наличие API там стояло там на первом месте. Для захвата данных через API необходимо умение программировать. Сразу надо заметить, что речь идет не о "кодинге" на C++ или Ассемблере, а о навыках извлекать данные из разных систем. Будет это ODBC, JDBC, Visual Basic или Python и R, - не так уж и важно.

Что использовать в качестве инструмента для создания и визуализации дашборда? Этот вопрос звучит чаще других, но именно он-то совсем неважен. В конце концов, какая разница, что позволит вам решить вашу задачу? С чем вы лучше знакомы и что используется у вас в организации - то и применяйте. Это может быть Excel (для простых задач вполне себе решение), MS PowerBI, Tableau, QlikView или grafana. В конце концов вы можете заточить под это ваш SIEM, если у него есть возможность конструирования дашбордов и развитый API для подключения к внешним системам. Я вновь повторю, что не так важно КАК визуализировать, как то, ЧТО вы хотите показать и ЧЕГО достичь своим дашбордом.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь