В предыдущей статье я рассказывал, что невозможно сравнивать результаты аналитических отчетов об угрозах\инцидентах от разных поставщиков, если не известна методология получения данных. Даже в случае одного поставщика отчеты, например, от команды DFIR и от команды SOC будут несравнимы по множеству причин. Очевидная причина - это неоднородность клиентской базы, существование каких-либо перекосов, например, преобладание определенной отрасли, разный уровень защищенности инфраструктур и многое другое. Чуть менее очевидная причина - подключение на разных этапах атаки: команда SOC присутствует изначально и поэтому своевременно обнаруженные атаки не добегают до TA0040 и TA0010, а команда DFIR, в общем случае (не по эскалации из SOC), подключается когда результат работы атакующих уже налицо, к сожалению, нередко это уже на этапе ущерба - когда пошифровали, украли деньги, узнали из Интернет о сливе и т.п. Как и болезнь, обнаруженная на ранних стадиях и, когда уже поздно, будет иметь различную клиническую картину и план лечения, так будут отличаться и инциденты, наблюдаемые командами SOC и DFIR. Но, об этом говорили в прошлый раз, а сейчас обсудим значение некоторых графиков, приведенных в отчетах.
Вот такие две картинки я даю в каждом отчете.
Смысл этих графиков - показать объем, на котором основана вся дальнейшая аналитика. Т.е. все дальнейшие выводы, которые приводятся в отчете, сделаны вот на такой клиентской базе, с таким распределением клиентов по секторам экономики, и с таким распределением их инцидентов. Очевидно, что чем больше объем мониторинга (хостов, с которых анализируются логи), тем больше инцидентов, поэтому для более-менее объективной интерпретации количества инцидентов в той или иной индустрии относительно других, важно понимать объем мониторинга в этой индустрии, хотя бы, как это предложено выше - в виде количества пользователей решения по секторам экономики.
Второй тип графиков, которого хотелось бы сегодня коснуться - удельное количество инцидентов. Как обсуждали выше, количество инцидентов сильно зависит от объема мониторинга: чем больше хостов, тем больше будет инцидентов. Поэтому, чтобы делать выводы, типа "кого атакуют больше, а кого меньше", на графиках правильнее отображать отношение числа инцидентов к объему мониторинга. В примере ниже - количество инцидентов с 10 000 хостов, распределенное по индустриям. Предвосхищая вопрос: "Ну как там у них относительно нас?", привожу сравнение данных по Миру и по СНГ (90% объема СНГ - это РФ).
Количество инцидентов высокой критичности обычно составляет до 10% от всех инцидентов, поэтому на графике выше красных секций практически не видно. Привожу их распределение отдельно.
Надеюсь, в этой короткой заметке мне удалось объяснить термин "удельное количество инцидентов" и как это отличается от объема, и когда выйдет красивый отчет Kaspersky MDR за 2023, мы с вами будем одинаково интерпретировать.