INHOUDSOPGAWE[Versteek][Wys]
Interne probleme kan in elke organisasie voorkom. Dit is onvermydelik vir toestelle om te breek, vir sagteware om instandhouding te vereis en dat dinge wegraak.
Deur 'n insidentbestuurprosedure aan te neem wat probleme kan prioritiseer, deursigtigheid kan bied en jou span kan help om enige probleem vinnig te hanteer, kan jou help om hierdie bekommernisse en vele meer effektief aan te spreek.
Jy moet 'n outomatiese voorvalbestuurstelsel gebruik om dit op groot skaal te doen.
In hierdie artikel sal ons 'n gedetailleerde blik op outomatiese voorvalbestuur neem, die doelwitte en betekenis daarvan bespreek, die prosedure vir die bestuur van kuberveiligheidsvoorvalle ondersoek, en nog baie meer.
Eerstens sal ons insidentbestuur begin verstaan en verder beweeg na geoutomatiseerde voorvalbestuur.
Incident Management
Reaksie op 'n onverwagte gebeurtenis of diensonderbreking en terugkeer van die diens na sy bedryfstoestand word deur voorvalbestuur hanteer. Die belangrikste aspek van elke gebeurtenis is die vinnige oplossing daarvan, en daarom is dit noodsaaklik om 'n proses te kodifiseer en te volg.
In die voorvalbestuursproses is daar tipies vier stappe:
- Voorval prioritisering
- Insident reaksie
- Insident kategorisering
- Insident identifikasie en aantekening
Outomatiese Voorvalbestuur
Geoutomatiseerde insidentbestuur is die praktyk om insidentreaksie te outomatiseer om seker te maak dat sleutelvoorvalle op die mees effektiewe en betroubare manier moontlik geïdentifiseer en hanteer word.
Tyd is van belang wanneer dit by voorvalbestuur kom. Spoed is dus die grootste voordeel van outomatiese voorvalbestuur. Tydrowende take kan aansienlik vinniger afgehandel word met outomatisering.
Gevolglik word die insidentreaksietyd verkort en is die span vry om te konsentreer op take wat hul kundigheid verg.
Outomatiese insidentreaksie
Wanneer jy die woord "Insident Response" hoor, verwys dit na 'n organisasie se vermoë om aanrandings en oortredings op te spoor, te ondersoek en te versag.
Menslike komponente is in die verlede gereeld gebruik om verkeer te monitor, vermeende aktiwiteite te ondersoek, protokolle te skryf wanneer nuwe gevare opduik, ensovoorts.
Soos die naam aandui, verwyder outomatiese insidentreaksie egter die menslike element uit die vergelyking.
Dit outomatiseer vervelige bedrywighede, versnel die opsporing en reaksie van bedreigings, en bied 'n deur-die-klok verdediging, wat jou SOC-span tyd en ruimte gee om jou sekuriteitsposisie op ander maniere uit te brei en te verbeter.
Meer oor kuberveiligheidsvoorvalbestuur sal verder onder in die artikel gedek word.
Belangrikheid van outomatiese voorvalbestuur
Agente kan nou meer konsentreer op die hantering van ongelukke.
By die hantering van gebeure met die hand, is dit meer geneig om agente data meer as een keer in te voer en is meer geneig om foute te maak (soos om nie die status van 'n probleem in 'n stelsel te verander nie).
Jou agente hoef nie tussen programme te wissel of handbewerkings te voltooi as hulle 'n outomatiese probleembestuuroplossing gebruik nie.
As 'n alternatief kan hulle daardie tyd herlei om dadelik meer kwessies aan te spreek, wat kliënte- en personeeltevredenheid grootliks sal verhoog.
Afgeneem vals positiewe
Waarskuwings is beide nuttig en problematies in voorvalbestuur. Vals-positiewe kennisgewings word gereeld ingesluit onder werklike en uitvoerbare waarskuwings, wat waarskuwingsmoegheid by werkers kan veroorsaak deur hulle lam te maak vir die konstante stortvloed van waarskuwings.
Outomatiese gereedskap assesseer waarskuwings en stuur dit na die toepaslike spanlede, wat tyd en hulpbronne bespaar.
Werknemers kan dit gebruik om die status van hul kaartjies gerieflik te volg.
Die meeste van jou personeellede wil op hoogte gehou word van elke bekommernis wat hulle aanbied. Outomatiese voorvalbestuur sal jou in staat stel om aan hulle die deursigtigheid te verskaf wat hulle benodig. Hoe?
Op elke punt van die kaartjie se leeftyd, van wanneer dit aan 'n agent toegewys word tot wanneer dit opgelos is, kan 'n werknemer deur middel van klets gewaarsku word nadat 'n kaartjie ingedien is.
Die werknemer hoef nie agente vir 'n statusopdatering te vra nie en sal altyd ingelig word sonder om 'n spesifieke toepassing te besoek.
Sleutelvermoëns van outomatiese voorvalbestuur
- Groepering- en patroonpassingalgoritmes kan gebruik word om geraas, soos foutiewe alarms, te verminder.
- Herken patrone voordat dit 'n impak het wat onderbrekings waarskynlik maak.
- Neem kennis van meerveranderlike abnormaliteite wat verder gaan as statiese drempels of numeriese uitskieters ten einde afwykende omstandighede en gedrag proaktief te identifiseer en dit met besigheidsgevolge te verbind.
- Definieer oorsaaklikheid, identifiseer die waarskynlike bron van gebeure deur topologie en ML te gebruik, en koppel hierdie probleme aan 'n klantreis deur besluitnemingsbome, ewekansige woude en grafiekanalise te gebruik.
- Bevorder die outomatisering van roetine-take met lae tot matige risiko. Sonder dat u verbindings met ander stelsels hoef te skep, laat 'n werkvloei-enjin u toe om die kwessies wat dringend en onder u beheer is, aan te spreek.
- Bepaal die prioriteit van kwessies en stel moontlike oplossings voor, hetsy direk of deur integrasie gebaseer op vroeëre ervarings. Om te verhoed dat probleme herhaal word, hou tred met wie gekontak is tydens die hele reeks gebeure vir remediëring in 'n bewaarplek.
- Chatbots en virtuele ondersteuningsassistente (VSA's) kan gebruik word om gebruikersdoeltreffendheid te verhoog en herhalende take te outomatiseer terwyl toegang tot inligting gedemokratiseer word.
voorbeeld
Die twee kategorieë situasies wat die meeste baat by outomatisering in voorvalbestuur, is dié wat tydkritiek en eenvoudig is. Tegniese probleme wat kliënte direk raak, is 'n voorbeeld van 'n tyd-kritieke gebeurtenis.
Jy wil so gou moontlik ’n einde aan die probleem maak as jou kliënt geraak word. Omgekeerd kan 'n eenvoudige gebeurtenis soos 'n drukkerverbindingsprobleem ook geoutomatiseer word.
Tdie prosedure is eenvoudig, en 'n oplossing is moontlik sonder die betrokkenheid van 'n persoon.
Hoe om jou voorvalbestuursproses te outomatiseer?
1. Vestig 'n insidentbestuur-werkvloei.
Om jou insidentbestuurprosedure te outomatiseer, moet jy eers 'n insidentbestuurwerkvloei ontwerp.
Die insident-werkvloei, wat soms na verwys word as die gebeurtenis-lewensiklus, gee besonderhede oor die opeenvolgende stappe wat na 'n gebeurtenis plaasvind. 'n Insident-werkvloei se primêre stappe is soos volg:
- Identifikasie
- prioritisering
- reaksie
- resolusie
Die insidentbestuurlewensiklus is afsonderlik vir elke besigheid en is in lyn daarmee aangepas.
Die geheim van die skep van 'n doeltreffende insidentbestuur-werkvloei is om insette van alle betrokke partye te kry, al die aksies wat hulle neem te dokumenteer en al die nodige inligting in te samel.
Daar sal waarskynlik baie onenigheid wees oor hoe om take uit te voer en data in te samel, maar die proses moet alles in perspektief plaas. Die werkvloei moet dus aan boord gekarteer word voordat dit om hierdie rede geoutomatiseer word.
2. Konsekwentheid in voorvalprioritisering
Om voorvalle eenvormig te prioritiseer is die volgende fase. Jy moet bewus wees van die erns en onderliggende bron van die probleem om korrek te reageer. 'n Insident-prioritiseringsmatriks is 'n algemene instrument wat deur organisasies gebruik word.
'n Insidentprioriteitmatriks gebruik 'n P1 tot P5 numeriese skaal om die belangrikheid van 'n gebeurtenis en die toepaslike optrede te kwantifiseer.
Die P1 word as van die uiterste belang beskou en vereis 'n onmiddellike reaksie. 'n Bedienerprobleem wat die hele stelsel tot stilstand kan bring, is 'n illustrasie van 'n P1-voorval.
Soos jy met die prioriteitskaal afbeweeg, verminder die episodes se belangrikheid/dringendheid. Om die standaard vir P1 tot P5-voorvalle te skep, versamel die organisasie geleidelik risikodata wat geëvalueer kan word.
Almal moet saamstem oor die benadering, en dit is van kardinale belang.
3. Outomatiese Runbooks
Runbooks, wat dikwels speelboeke genoem word, is handleidings wat beskryf hoe om sekere take stap-vir-stap uit te voer. Deur die stappe vir gereelde aktiwiteite in detail neer te lê, word speelboeke ontwerp om kognitiewe las te verminder.
Runbook-outomatisering gaan 'n stap verder en verminder arbeid deur sagteware in die proses in te sluit wat die stap outomaties uitvoer wanneer 'n sekere omstandigheid gevra word.
Runbooks bespaar nie net wagtyd nie, maar standaardiseer en verbeter ook die konsekwentheid van die proses.
4. Data-insameling vir retrospektiewe
Data-insameling is 'n belangrike stadium in voorvalbestuur.
Die span moet seker maak dat intydse data deur die hele voorvalbestuursproses ingesamel word om insident-terugskouings te skep en die voorval se effek vorentoe te verminder.
Data-insameling begin sodra 'n gebeurtenis aangemeld word. Waarskuwingsprosesse maak kontak met die persone wat nodig is om te begin reageer sodra 'n gebeurtenis deur moniteringtegnologie geïdentifiseer of opgespoor word.
Die monitering- en waarneembaarheidstegnologieë is besig om data in te samel tydens die insidentbestuursproses. Intydse toegang tot die data behoort moontlik te wees, sodat jy dit later vir terugwerkende ontledings kan gebruik.
5. Integreer derdeparty-sagteware in die proses en sentraliseer dit
Jy moet optree as 'n bemiddelaar en koppelvlak met eksterne stelsels soos JIRA en Slack, sodat die insidentbestuursproses behoorlik kan funksioneer.
Dit neem tyd, en daar is 'n kans dat jy belangrike inligting kan mis, om tussen kommunikasie en ander programme te wissel.
Deur agtergronddata-insameling en outomatiese opdatering van gebeurtenisse, sal 'n outomatiese oplossing vir voorvalbestuur die prosedure stroomlyn. Intussen kan die span verslae en aktiwiteite intyds ondersoek.
Nou is dit tyd om na kuberveiligheidsvoorvalbestuur en die beste praktyke daarvan te kyk.
Kuberveiligheidsvoorvalbestuur
Intydse monitering, administrasie, aantekening en ontleding van sekuriteitsrisiko's of -voorvalle staan bekend as kuberveiligheidsvoorvalbestuur. Dit het ten doel om 'n streng en deeglike oorsig te gee van enige sekuriteitsrisiko's wat binne 'n IT-stelsel kan bestaan.
'n Sekuriteitsgebeurtenis kan wissel van 'n aktiewe bedreiging, 'n poging tot inbraak, 'n suksesvolle penetrasie of 'n datalek.
'n Paar gevalle van sekuriteitskwessies sluit in beleidsoortredings en onwettige toegang tot data, insluitend rekords insluitend sosiale sekerheidsnommers, finansiële inligting, gesondheidsinligting en persoonlik identifiseerbare inligting.
Kuberveiligheidsvoorvalbestuursproses
Organisasies implementeer beleide wat hulle in staat stel om vinnig hierdie soort voorvalle te identifiseer, daarop te reageer en te versag, terwyl hulle hul veerkragtigheid versterk en teen toekomstige voorvalle beskerm word, aangesien kuberveiligheidsbedreigings steeds in volume en gesofistikeerdheid toeneem.
Om sekuriteitsinsidente te bestuur, word 'n kombinasie van hardeware, sagteware en mensgedrewe navorsing en ontleding gebruik.
Die waarskuwing dat 'n gebeurtenis plaasgevind het en die aktivering van die insidentreaksiespan is dikwels die eerste stappe in die veiligheidsvoorvalbestuursprosedure.
Daarna sal insidentreaksies die situasie ondersoek en evalueer om die omvang daarvan vas te stel, skade te meet en 'n versagtingstrategie te skep.
Om te verseker dat die IT-omgewing wel veilig is, moet 'n veelvlakkige plan vir sekuriteitsinsidentebestuur in plek gestel word.
Beste praktyke vir bestuur van sekuriteitsinsidente
Die veiligheidsvoorvalbestuurprosedure moet deur organisasies van alle groottes en vorms beplan word. Ontwikkel 'n deeglike veiligheidsvoorvalbestuursplan deur hierdie beste praktyke in die praktyk toe te pas:
- Skep 'n uitgebreide opleidingsprogram wat elke taak aanspreek wat deur die sekuriteitsvoorvalbestuursprosesse vereis word. Sit jou veiligheidsvoorvalbestuursplan konsekwent deur toetsscenario's en maak enige nodige aanpassings.
- Om te leer uit jou oorwinnings en foute na enige sekuriteitskwessie, doen 'n na-voorval studie. Maak dan, soos nodig, veranderinge aan jou sekuriteitsprogram en voorvalbestuurprosedure.
- Skep 'n sekuriteitsinsidentebestuurstrategie en enige nodige prosedures, insluitend instruksies oor hoe kwessies gevind, gerapporteer, geëvalueer en hanteer moet word. Berei 'n lys stappe voor na gelang van die bedreiging en het dit beskikbaar. Dateer veiligheidsvoorvalbestuurbeleide op soos nodig, veral in die lig van die lesse wat uit vroeëre voorvalle verkry is.
- Skep 'n insidentreaksiespan met duidelik gedefinieerde rolle en pligte (ook bekend as 'n CSIRT). Benewens verteenwoordiging van ander departemente soos reg, kommunikasie, finansies en besigheidsbestuur of -bedrywighede, moet jou insidentreaksiespan ook funksionele posisies van die IT/sekuriteitsafdeling insluit.
Gevolgtrekking
Laastens maak geoutomatiseerde voorvalbestuur seker dat dringende kwessies op 'n vinnige en doeltreffende wyse geïdentifiseer, aangespreek en hanteer word.
Outomatisering maak dit moontlik vir oplossings vir voorvalbestuur om met mekaar te kommunikeer en bevorder intydse kommunikasie oor die stelsels.
Alle departemente word saamgevoeg via outomatisering, wat grense tussen IT-bedrywighede (ITOps)-spanne afbreek. Spanne het volledige toegang tot inligting oor voorvalstatus om te verseker dat die toepaslike mense voorvalle hanteer.
Spanne gebruik outomatisering om die insidentbestuursproses te vereenvoudig en te verbeter namate IT-probleme al hoe meer voorkom.
Insidentbestuur in die konteks van kuberveiligheid is die proses om sekuriteitsrisiko's en insidente wat met kuberveiligheid in die werklike wêreld verband hou, op te spoor, te beheer, te dokumenteer en te evalueer.
Dit is 'n deurslaggewende maatreël om te neem beide na en voordat 'n kuberkrisis 'n IT-stelsel tref.
Lewer Kommentaar