すべてが始まった経緯
奇妙なことに、ソーラーJSOCのKPIの形成に向けた最初のステップは、サイバー攻撃を監視して対応するためのセンターとはまったく関係がありませんでした。 「私たちの若さの夜明けに」、私たちは企業が情報セキュリティの有効性を評価するためのシステムを構築するのを支援しました(ISMS27001とそれだけです)。その必要性の理解は自然な方法で市場に出てきました。ほとんどすべての情報セキュリティ部門は、多くの異なるシステムからの大量のデータを分析することを毎日強制されています。もちろん、それぞれに何らかの報告がありますが、その数が多いため、情報セキュリティの状況を全体的に把握し、都合の良い形式で経営陣に報告することは非常に困難です。組織が地理的に分散している場合、問題はさらに複雑になります。
KPI /メトリックの複合体だけでなく、情報セキュリティシステムからのデータを集約する本格的な分析ソリューションの構築を支援しました。実際、これは、必要な決定を迅速に行うために、問題の本質とそのローカリゼーションをすばやく簡単に確認できる視覚化システムです。これらのプロジェクトで経験を積み、システムは本当に便利で便利であるという結論に達しました。また、SOCの作業も評価する必要があること。
SOC、特に外部のSOCの有効性を評価するのはなぜですか?
簡単です。一方では、サービスの提供状況を理解し、他方では、顧客のインフラストラクチャの全体像を把握し、監査に含まれず、サービスのリスク要因となったすべての「ブラックスポット」を確認する必要があります。簡単に言えば、私たちは理解したいと思います:これまたはその顧客への攻撃が見られるかどうか。
私たちがサービスプロバイダーとして働き始めたとき、クライアントが、攻撃を100%特定するために必要な特定の接続ソースを提供することを拒否したことがありました。その結果、そのような攻撃が発生し、最初の警告にもかかわらず、私たちはそれを見ることができず、非難を受けました。
別の例:インシデントを正確かつ正確に特定するには、特定の方法でソースを構成する必要があると述べ、これらの設定のリストを提供しましたが、顧客はこの作業を実行しませんでした。結果は同じです-逃した事件。
そのため、顧客と私たちの両方を明確に強調することが重要であることがわかりました。彼のインフラストラクチャには、「死角」があり、どの攻撃ベクトルが最も頻繁に実装され、どの領域にどのITが存在するかを正確に強調することが重要です。資産は攻撃の影響を最も受けやすく、これがビジネスにどのように影響するかを示します。このため、視覚化システムは実際の状況を示し、その分析に役立つ必要があります。リーダーシップの「すごい効果」ではありません(よくあることですが)。
SOCのKPI-何をどのように測定しますか?
まず、理解する必要があります。なぜ、なぜこのKPI /メトリックシステムが必要なのですか?情報セキュリティ部門のパフォーマンスを測定しますか?プロセスのパフォーマンスがどれだけうまく/成功しているか(またはその逆)を理解していますか?あるいは、経営陣に「誰が素晴らしいのか」を示すだけかもしれません。それとも、部門のボーナスはKPIのパフォーマンスに依存しますか?有効性を評価するという目標を理解しなければ、実際のKPIシステムを構築することは不可能です。
目標を決定したとしましょう。今、最も興味深い質問が発生します。何かを測定する方法は?ルーラーでSOCに行くことはできません。ここでは、すべてがもう少し複雑です。結局のところ、これは情報セキュリティイベントを収集して相互に関連付けるためのシステムとしてのSIEMであるだけでなく、サービスが正しく機能することを可能にする多種多様なシステムでもあります。 SOC内には非常に多くのデータがあるため、評価することがたくさんあります。
そして、この問題では、主観的なKPIから可能な限り回避しようとしています。自動的に測定できないメトリック。たとえば、「すべてが私たちにとってどれほど悪いか」という指標は、人(
KPIシステムを構築する際には、次の原則を順守します。
- KPIは、SOCと顧客の両方にとって非常に重要である必要があります。
- インジケータは測定可能である必要があります。特定の計算式を作成し、しきい値を設定する必要があります;
- 指標の値に影響を与えることができるはずです(つまり、「年間の晴れた日の割合」というカテゴリの指標は適切ではありません)。
また、KPIシステムはフラットにすることはできず、少なくとも3つのレベルが必要であるという結論に達しました。
- 「戦略的」:これらは、設定された目標を達成するための全体像を反映するKPIです。
- 「接続の調査、分析、識別」:これらはKPIであり、これに基づいて第1レベルが形成され、主な目標の実装に貢献します。
- « »: KPI, ( – ).
各指標は上司に影響を与えます。この影響は同じではないため、各指標には重み係数が割り当てられます。
もちろん、私たちが常に最初に見たいのは、私たちのサービスがお客様にとってどれほど効果的であるかということです。そしてもちろん、この情報はタイムリーでなければなりません。このために、1次および2次ライン、サービスマネージャー、アナリスト、対応、管理など、各サービスの作業の品質を反映するメトリックのシステムを開発しました(そして改善を続けています)。これらの各領域について、約10〜15のKPI-それらは、担当者が作業するシステムのデータベースに基づいて計算されました(要求が時間どおりに実行されるかどうか、顧客の要求にどれだけ迅速に応答するか、ソースがどのように接続されるかなど)。
SLAは優れていますが、実際のサービス品質がより重要です
サービスの範囲によって、盲目の子猫ではなく、インシデントと攻撃の最大数を特定できることが重要です。これにより、お客様のインシデントを、抽象的なIPではなく、お客様自身のIT資産の形式で解釈できるようになります。そのため、通知が「Mimikatzがホスト10.15.24.9で見つかりました」という事実に要約されず、顧客がホストの種類を独自に確認する必要がなく、応答に必要な時間を無駄にして結果を排除します。
言い換えれば、SOCの顧客がどの程度保護されているかを理解することが重要です。したがって、それらをどれだけ詳細かつ十分に「見る」かを決定する必要があります。
- 私たちに関連するすべての重要な情報源です。
- お客様の情報セキュリティシステム(これらは当社のサービスのソースでもあります)がお客様のインフラストラクチャをどの程度効率的にカバーしているか。
- すべてのソースは推奨どおりに構成されており、偏差は何ですか。
- 攻撃やインシデントを検出するために必要かつ十分なシナリオがすべて顧客の施設で開始されているかどうか。
- 接続されているすべてのソースが特定の規則でイベントを送信するかどうか。
- 顧客がすべての通知に反応するかどうか、およびそれをどれだけタイムリーに行うか。
また、この顧客の中に住むことはどれほど怖いことか、つまり:
- 攻撃の頻度、これらの攻撃の重大度(標的型または大規模)、攻撃者のレベル。
- 顧客の保護(プロセスおよび情報セキュリティシステム)の効果と更新の頻度。
- インシデントに関係する資産の重要度、攻撃者が最も頻繁に使用する資産などは何ですか。
このような高レベルの指標をすべて計算するには、まずそれらを小さな指標に分解し、さらに小さな指標に分解する必要があります。ソースと内部システムのデータベースに基づいて明確に計算できる小さな指標の
最も単純な例:「マルウェアに対する保護の程度」、「脆弱性の管理の程度」、「ISインシデントからの保護の程度」、「アクセス制御の効率」などの小さな指標で構成される高レベルの指標「情報セキュリティプロセスの有効性」があります。 ..。組織には多くの情報セキュリティプロセスが実装されているため、第2レベルのメトリックも同じ数になります。ただし、第2レベルの指標を計算するには、「アンチウイルスによる組織のホストのカバレッジの程度」、「マルウェアによる重大なインシデントの割合」、「関連する資産の数」、「誤検知の割合」、「ユーザーのサイバーリテラシーのレベル」など、さらに細かい指標を収集する必要があります。 、「アンチウイルス保護が無効になっている組織内のホストの割合」、「古いアンチウイルスデータベースを持つホストの割合」-何度でも続行できます。また、これらの第3レベルのメトリックは、情報セキュリティツールやその他のシステムから自動モードで収集でき、計算は情報セキュリティ分析システムで行うことができます。
KPIの作成とSOCのパフォーマンスの管理は、これらのメトリックの開発者と顧客の両方にとって依然として課題です(これは、もっぱらペアダンスです)。しかし、このゲームは一見の価値があります。その結果、情報セキュリティの状態を完全に、一元的に、迅速に評価し、弱点を見つけ、インシデントに迅速に対応し、情報セキュリティシステムを最新の状態に保つことができます。
トピックが興味深いことが判明した場合は、今後の記事でメトリックについて詳しく説明します。したがって、SOCの測定の特定の側面について聞きたい場合は、コメントに書き込んでください。すべての質問に答えようとします。
ソーラーJSOCのリードアナリスト、エレナトレシェバ