viernes, 3 de abril de 2020

Indicadores clave de proceso en ciberseguridad y SOC

Estimados amigos de Inseguros !!!

Espero que esteis bien !! pero qué es bien? sano? alegre? con dinero? lo contrario a mal? :-)

Las mediciones suelen estar orientadas a la interpretación de los datos.

En la parte de la amenazas, en la parte un poco de SOC, me gusta emplear la típica pirámide del dato:


Podemos tener datos de que tu gesto es feliz. 
Podemos tener datos de que está la tv encendida.
Podemos tener información en la que te estas riendo.
Podemos tener conocimiento, y es que te acaban de contar un chiste.
Podemos tener sabiduría e interpretar que estas contento porque estás viendo un monólogo en la tv que te gusta.

Quizás no sea el mejor de los símiles, pero me vale.

CyberBit


Ahora vamos a llevarlo al entorno de la ciberseguridad, en concreto en el departamento SOC.

Es muy importante diferenciar los KPI´s de un SOC relacionados a medir la seguridad qué proporcionan a la organización respecto a los que miden el proceso interno y como se mejora.

Tenía esta discusión con un gran profesional de la materia que me enseña mucho, y consideraba que muchos KPI´s que le mencionaba no medían la seguridad real. Pongo el ejemplo de número de eventos. El número de eventos, que la tendencia sea al alza no significa que vayas a medir más o mejor el estado de la ciberseguridad, ya que muchos no servirán para nada más que incrementar el coste :-) pero si que puede ser un indicador interno del estado del despliegue del SOC con nuevos Data Sources. Una vez que esté estable el número de eventos se pueden consolidar servicios y pasar a otros. O la detección de un incremento brusco de eventos de por si puede ser interpretado como una anomalía... Al final, cada organización busca el valor donde y como puede.

Demisto

Tener KPI´s para medir la efectividad del proceso, o en este caso, del servicio que ofrecemos es básico para saber si realmente estamos "felices" o tenemos que hacer movimientos en uno o varios sentidos.

Lo básico de los KPI´s en cualquier iniciativa es que tienen que cumplir varios criterios:

SIMPLES: Tienen que ser sencillos de medir. No puede tener incidencia sustancial en el proceso en sí la parte de medición. Es decir, que no te cueste medir más el zapato que hacerlo...

MEDIBLE: Tienen que ser medibles, cualitativa y cualificativamente.

ACCION: Tiene que ser información que aporte valor, que ofrezca respuestas, que puedan ser usados para realizar acciones. Si no, tener datos por tener no tiene valor.

RELEVANTES: En relación con el anterior punto, si la información que proporciona no nos lleva a ningún camino, no debe ser usado. Puede que el KPI no desprenda una acción concreta, pero si ampliar el contexto de información.

TIEMPO: Debe ser un valor que se pueda agrupar o relacionar en el tiempo.

Vamos a poner unos ejemplos de KPI´s básicos que todo SOC o centro de operaciones debe tener. Cuando hablamos de SOC nos referimos a internos o externos. Muchas veces no hay un SOC definido como tal, pero hay 5 personas dedicadas a la ciberseguridad...

Número de dispositivos monitorizados. Lo normal es que todos los servers expuestos a riesgos estén monitorizados, por ejemplo, los expuestos a internet, seguidamente de los que el riesgo sea algo aún siendo interno, y como último todos los servidores.

La tendencia en este KPI´s debe ser la tendencia, si realmente vamos monitorizando cada vez más dispositivos o estamos estancados.

La métrica empleada, el dato, podría ser número de eventos y número de eventos por analista. 

Podemos medir la carga del departamento para requerir más recursos...

Cuando hablamos de dispositivos, podemos extender dicho concepto a aplicaciones.

Los falsos positivos son otra fuente de información muy útil a medir, ya que podemos identificar eventos que producen muchos falsos positivos para mejorarlos.

En los verdaderos positivos, los incidentes, medir qué Data Source y Eventos concretos son los que han participado en la detección.

En la respuesta de incidentes tenemos los típicos MTTD ( tiempo medio de detección) , MTTF (tiempo medio de fallo) , MTBF (tiempo medio entre fallos) , MTTR (tiempo medio de resolución) pero todos estos datos están muy claros explicados en muchas páginas

Aunque algunos KPI´s básicos y que todos los SOC´s creo que compartimos alguno, es un ejercicio interno que tienen que hacer las organizaciones para saber como decíamos, qué datos les aportan valor. Pongo un ejemplo tonto, si solo manejas un SIEM, medir la efectividad del mismo respecto a otro ... o si solo tienes una sede, o un cliente interno... al final todas estas casuísticas determinan qué KPI´s usar.

No pretendo sentar cátedra de que haya que usar unos u otros, simplemente fomentar el uso de estos indicadores clave de procesos para la mejora de nuestros SOC´s !!!

Un saludo y gracias por leerme !!!