19 мая, 2017, BIS Journal №1(24)/2017

ИБ-визуализация


Ларин Михаил

ведущий инженер (департамент информационной безопасности АМТ-ГРУП)

Как ее «готовить»?

Для оперативного принятия верных решений необходимо обеспечить максимально эффективное восприятие информации специалистами ИБ и руководством. По этой причине в любой деятельности по обеспечению ИБ и, особенно, в работе центров мониторинга и реагирования (SOC’и, CERT’ы) аналитика всегда являлась фундаментальным компонентом. В связи с этим естественным было стремление расширить возможности аналитики за счет применения новых методов и приёмов. Одним из важнейших методов, который получил распространение в мировой практике ИБ, явился анализ c применением средств визуализации информации. Под визуализацией при этом понимается комплексный, и даже научный, подход к выбору и реализации визуального представления отчетов ИБ и информационных панелей средств ИБ.

В отечественной индустрии ИБ о визуализации начали говорить несколько лет назад. Например, АМТ-ГРУП подняла тему Security Intelligence как инструмента аналитики и визуализации в ИБ на SOC-Форуме в?2015 году, а в 2016 BIS Journal опубликовал статью моего коллеги на эту тему. Если судить по такому мероприятию, как SOC-Форум, то число докладов о визуализации в 2016 году увеличилось по сравнению с 2015 годом. Это не может не радовать, однако массового охвата тема, к сожалению, еще не получила. В данной статье я не буду углубляться в детали специфических кейсов, а расскажу о «кирпичиках фундамента» визуализации, некоторых её базовых принципах.

ПРЕИМУЩЕСТВА ВИЗУАЛИЗАЦИИ

Может возникнуть вопрос: а зачем вообще визуализировать информацию, неужели недостаточно текстового представления? Для ряда случаев, конечно, так и есть. Однако графическое представление более естественно для человека и позволяет гораздо лучше раскрыть возможности зрительного канала поступления информации[1]. Среди основных преимуществ визуализации можно выделить следующие:
  • ответ на вопрос в краткой форме;
  • возможность создать и задать новые вопросы на основе графического представления;
  • возможность дать новые знания и?видение на основе существующих данных (т. е. визуальное представление одних и тех же данных в различных аспектах);
  • улучшенная поддержка принятия решений ввиду возможности быстрого анализа огромных объемов данных;
  • общее повышение эффективности представления.

ПРОЦЕСС СОЗДАНИЯ

Рассмотрим процесс создания визуального представления данных. В целом он схож для любой предметной области, не важно, ИБ это или нет. Можно выделить шесть основных шагов:
  • определение проблемы;
  • оценка существующих данных;
  • обработка данных;
  • выбор опций визуализации;
  • преобразование визуализации для достижения фокуса на нужных элементах;
  • интерпретация визуализации и принятие решений.

ПРИНЦИПЫ ВИЗУАЛЬНОГО ОТОБРАЖЕНИЯ

Чтобы корректно выбрать размер, положение, оформление и тип, обратимся к «фундаменту», т. е. теории визуализации. Отображаемая картинка должна строится по следующим правилам:
  • использование свойств подпорогового внимания для соответствующего выделения цветом, формой, расположением важных элементов. Например, не рекомендуется использовать интегральные измерения для отображения нескольких характеристик (сочетание ширины и высоты —  плохое, гораздо лучше —  позиция и цвет);
  • соответствие критериям Макинлея[2]. Один из основных критериев подразумевает минимальную достаточность отображения, когда мы отображаем все факты из данных и только эти факты без добавления лишнего;
  • использование принципов создания графиков, таких как:
  1. улучшение соотношения данные/чернила и максимизирование использования значащих элементов (чем менее «загроможден» график, тем лучше читается);
  2. использование не более чем 5 отдельных атрибутов при отображении нескольких измерений на диаграмме (не более 5 оттенков цвета, форм и т. д.);
  • использование принципов Гештальт-теории:
  1. близость — объекты, расположенные близко друг к другу, воспринимаются как единый объект;
  2. замкнутость — объекты, форма которых почти закрыта (неполный круг и др.), воспринимаются как полная форма. Не злоупотребляйте закрытыми рамками;
  3. похожесть — мы объединяем похоже выглядящие объекты. Например, можно использовать выделение красным цветом атакующего узла на всех диаграммах;
  4. непрерывность — элементы, которые подогнаны друг к другу, воспринимаются одним целым;
  5. ограждение — ограждение элементов рамкой или расположение их в какой-либо форме группирует элементы;
  6. соединение — соединенные элементы группируются;
  • подчеркивание исключений — выделение цветом или формой применяется для привлечения внимания к элементам;
  • показ в сравнении — мощный метод для анализа, основанный на сравнении диаграмм, когда отображаются две диаграммы со значениями как было/как должно быть и как сейчас;
  • комментирование информации — используйте комментарии настолько, насколько нужно, но не больше;
  • показ причинности — коррелирование данных там, где это возможно (простой пример — график отказа серверов в связи с ростом температуры).
Среди перечисленного содержатся основные аспекты (но не все), на которые можно ориентироваться. Несмотря на кажущуюся очевидность и простоту этих правил, в них заложены основополагающие принципы эффективного и грамотного представления информации.

ОСОБЕННОСТИ ПОСТРОЕНИЯ ДИАГРАММ

После того, как определены основные правила построения диаграмм, можно рассмотреть их особенности. Но прежде всего нам нужно понимать, что мы визуализируем, т. е. иметь знания о?типах данных. Для этого я предлагаю использовать классификацию шкал данных, предложенную в 1946 году С.С. Cтивенсом[3]. В зависимости от типа шкалы измерений применяется та или иная диаграмма, например, для номинального типа лучше использовать круговую диаграмму, в то время как диаграмма рассеивания совсем не подойдет.

Типы шкал измерений
  • Номинальный тип используется для измерения данных, содержащих качественные признаки. Хороший пример — флаги TCP, действия (permit/deny) в логах межсетевого экрана;
  • Порядковый тип используется для измерения тех данных, которые можно ранжировать. Например, критичность события (низкая, средняя, высокая);
  • Интервальный тип. Как пример данных можно привести размер пакета, номера TCP sequence;
  • Абсолютный тип — то же, что и?интервальный, только для данных с?явно существующим нулевым значением. Например, размер файла.
При этом данные, измеряемые по первым двум шкалам, являются неметрическими, а по последним двум — метрическими. Над метрическими данными возможно совершать математические операции. Данные для последних двух типов также зовутся непрерывными.

Также существует разделение на основные (независимые) переменные и зависимые переменные. Зависимая переменная — это та, изменение которой связывают с изменениями независимой переменной. Данное разделение влияет на то, где и как мы отображаем тот или иной тип переменной (чаще всего, независимая переменная идет по X, зависимая — по Y).

Цвета
Нельзя недооценивать важность выбора используемой цветовой палитры. Основная проблема — цвета близких оттенков трудноразличимы. По этой причине стоит использовать цвета на небольшом наборе данных номинального типа. Если не использовать легенду — убедитесь, что цвета на графике очевидны (красный — нечто опасное и плохое и т. д.). Нельзя использовать цвета только для украшения.

Формы
Кодировать измерения можно и через формы/расположения, однако чаще всего цветовое кодирование является более предпочтительным.

Оси графиков
  • Если метки на оси X тяжело читаются, часто помогает разворот графика на 90 градусов (инверсия);
  • Отсчет на осях обычно должен начинаться с нуля;
  • В ряде случаев оправдано применение нелинейной градации на осях (логарифмической).

ПРАВИЛА СОЗДАНИЯ ИНФОРМАЦИОННЫХ ПАНЕЛЕЙ

Кроме упомянутых принципов существуют несколько простых правил для создания качественной и полезной информационной панели.
  • Один экран — один дашборд — законченная картина. При необходимости смотреть на несколько разных панелей или прокручивать одну большую панель очень сильно рассеивается внимание;
  • Оптимальное число элементов на один дашборд — не более 5–6. Это нестрогое правило, для оперативных и?аналитических дашбордов можно добавлять и больше диаграмм, однако важно не перегрузить их;
  • Необходимый уровень детализации. Например, округление больших чисел;
  • Нежелательно перегружать фон и добавлять лишние украшения;
  • Для лучшего восприятия необходимый контекст может быть представлен в виде аннотаций или сопроводительных диаграмм.

Существуют специалисты, разбирающиеся в визуализации и специалисты, разбирающиеся в информационной безопасности. Количество специалистов с пониманием и квалификацией одновременно в этих двух сферах, пока, к сожалению, невелико. Но с ростом числа подобных людей индустрия ИБ выиграет в целом, т. к. существенно повысится качество анализа данных и, как результат, возрастет эффективность процессов.
 

[1]  Just V., Ludtke M., «Watching the Human Brain Process Information», Nieman Reports, 29 июня 2010 г.
 
[2] Mackinlay J.D., «Automatic Design of Graphical Presentations» диссертация Ph.D., Факультет компьютерных наук, Университет Стэнфорда, Стэнфорд, Калифорния, 1986 г.
 
[3] Stevens S.S., «On the Theory of Scales of Measurement», 7 июня 1946 г.

 

Смотрите также

Смена СУБД

3 марта, 2017

ViPNet HSM PS

9 февраля, 2017
Подпишись на новости!
Подписаться