Indholdsfortegnelse[Skjule][At vise]
Interne problemer kan opstå i enhver organisation. Det er uundgåeligt, at enheder går i stykker, at software kræver vedligeholdelse, og at ting forsvinder.
Ved at vedtage en hændelsesstyringsprocedure, der kan prioritere problemer, tilbyde gennemsigtighed og hjælpe dit team med at håndtere ethvert problem hurtigt, kan det hjælpe dig med effektivt at løse disse problemer og mange flere.
Du skal bruge et automatiseret hændelsesstyringssystem for at gøre dette i stor skala.
I denne artikel vil vi tage et detaljeret kig på automatiseret hændelseshåndtering, diskutere dens mål og betydning, undersøge proceduren for håndtering af cybersikkerhedshændelser og meget mere.
Først vil vi begynde at forstå hændelsesstyring og gå videre til automatiseret hændelsesstyring.
Incident Management
Reaktion på en uforudset hændelse eller afbrydelse af tjenesten og returnering af tjenesten til dens driftstilstand håndteres gennem hændelsesstyring. Det mest afgørende aspekt ved enhver begivenhed er dens hurtige løsning, hvorfor det er afgørende at kodificere og følge en proces.
I hændelseshåndteringsprocessen er der typisk fire trin:
- Hændelsesprioritering
- Hændelsesreaktion
- Hændelseskategorisering
- Hændelsesidentifikation og logning
Automatiseret Incident Management
Automatiseret hændelseshåndtering er den praksis, der automatiserer hændelsesrespons for at sikre, at nøglehændelser identificeres og håndteres på den mest effektive og pålidelige måde som muligt.
Tid er af betydning, når det kommer til håndtering af hændelser. Derfor er hastighed den største fordel ved automatiseret hændelsesstyring. Tidskrævende opgaver kan afsluttes betydeligt hurtigere med automatisering.
Som følge heraf forkortes hændelsens responstid, og teamet kan frit koncentrere sig om opgaver, der kræver deres ekspertise.
Automatiseret hændelsesreaktion
Når du hører ordet "hændelsesreaktion", refererer det til en organisations kapacitet til at opdage, efterforske og afbøde overgreb og brud.
Menneskelige komponenter er ofte blevet brugt tidligere til at overvåge trafik, undersøge formodede aktiviteter, skrive protokoller, når nye farer dukker op, og så videre.
Men som navnet antyder, fjerner automatisk hændelsesrespons det menneskelige element fra ligningen.
Det automatiserer kedelige operationer, accelererer trusselsdetektion og -respons og giver et forsvar døgnet rundt, hvilket giver dit SOC-hold tid og plads til at udvide og forbedre din sikkerhedsstilling på andre måder.
Mere om håndtering af cybersikkerhedshændelser vil blive dækket længere nede i artiklen.
Vigtigheden af automatiseret hændelseshåndtering
Agenter kan nu koncentrere sig mere om at håndtere ulykker.
Når man håndterer hændelser manuelt, er det mere sandsynligt, at agenter indtaster data mere end én gang og er mere tilbøjelige til at begå fejl (såsom ikke at ændre status for et problem i et system).
Dine agenter behøver ikke at skifte mellem apps eller udføre manuelle handlinger, hvis de bruger en automatiseret problemhåndteringsløsning.
Som et alternativ kan de omdirigere den tid til straks at løse flere problemer, hvilket i høj grad ville øge kunde- og personaletilfredsheden.
Faldende falske positiver
Advarsler er både nyttige og problematiske i hændelseshåndtering. Falsk-positive notifikationer er ofte inkluderet blandt faktiske og handlingsrettede alarmer, hvilket kan forårsage alarmtræthed hos arbejdere ved at gøre dem følelsesløse over for den konstante byge af alarmer.
Automatiserede værktøjer vurderer advarsler og dirigerer dem til de relevante teammedlemmer, hvilket sparer tid og ressourcer.
Medarbejdere kan bruge det til bekvemt at følge status for deres billetter.
De fleste af dine medarbejdere ønsker at blive holdt informeret om hver bekymring, de præsenterer. Automatiseret hændelsesstyring vil gøre dig i stand til at give dem den gennemsigtighed, de kræver. Hvordan?
På hvert tidspunkt af billettens levetid, fra den er tildelt en agent, til den er løst, kan en medarbejder advares via chat efter at have indsendt en billet.
Medarbejderen behøver ikke at bede agenter om en statusopdatering og vil altid blive informeret uden at skulle besøge en specifik applikation.
Nøglefunktioner i Automatiseret Incident Management
- Clustering og mønstertilpasningsalgoritmer kan bruges til at reducere støj, såsom fejlagtige alarmer.
- Genkend mønstre, før de har en indvirkning, der gør udfald sandsynlige.
- Vær opmærksom på multivariate abnormiteter, der går ud over statiske tærskler eller numeriske outliers for proaktivt at identificere unormale omstændigheder og adfærd og forbinde dem med forretningsmæssige konsekvenser.
- Definer kausalitet, identificer den sandsynlige kilde til hændelser ved hjælp af topologi og ML, og bind disse problemer til en kunderejse ved hjælp af beslutningstræer, tilfældige skove og grafanalyse.
- Fremme automatisering af rutinemæssige opgaver med lav til moderat risiko. Uden at skulle oprette forbindelser til andre systemer giver en workflow-motor dig mulighed for at løse de problemer, der er presserende og under din kontrol.
- Bestem prioriteringen af problemer og foreslå mulige løsninger, enten direkte eller gennem integration baseret på tidligere erfaringer. For at undgå, at problemer opstår igen, skal du holde styr på, hvem der blev kontaktet under hele hændelsesforløbet til afhjælpning i et depot.
- Chatbots og virtuelle supportassistenter (VSA'er) kan bruges til at øge brugereffektiviteten og automatisere gentagne gøremål, mens adgangen til information demokratiseres.
Eksempel
De to kategorier af situationer, der har størst gavn af automatisering i hændelseshåndtering, er dem, der er tidskritiske og enkle. Tekniske problemer, der direkte påvirker kunderne, er et eksempel på en tidskritisk hændelse.
Du ønsker at sætte en stopper for problemet hurtigst muligt, hvis din kunde er berørt. Omvendt kan en ligetil hændelse som et printerforbindelsesproblem også automatiseres.
Tproceduren er enkel, og en løsning er mulig uden involvering af en person.
Hvordan automatiserer du din hændelseshåndteringsproces?
1. Etabler en hændelseshåndteringsarbejdsgang.
For at automatisere din hændelsesstyringsprocedure skal du først designe en hændelsesstyringsarbejdsgang.
Hændelsens arbejdsgang, nogle gange omtalt som hændelsens livscyklus, beskriver de sekventielle trin, der finder sted efter en hændelse. De primære trin for en hændelsesworkflow er som følger:
- Identifikation
- Prioritering
- Respons
- Løsning
Hændelseshåndteringens livscyklus er særskilt for hver virksomhed og er skræddersyet i overensstemmelse hermed.
Hemmeligheden bag at skabe et effektivt hændelseshåndterings-workflow er at få input fra alle involverede parter, dokumentere alle de handlinger, de foretager, og indsamle alle de nødvendige oplysninger.
Der vil nok være en del uenighed om, hvordan man udfører opgaver og indsamler data, men processen skal sætte alt i perspektiv. Arbejdsgangen bør derfor kortlægges om bord, før den automatiseres af denne grund.
2. Konsistens i hændelsesprioritering
Ensartet prioritering af hændelser er næste fase. Du skal være opmærksom på alvoren og den underliggende kilde til problemet for at kunne reagere korrekt. En hændelsesprioriteringsmatrix er et almindeligt værktøj, der bruges af organisationer.
En hændelsesprioritetsmatrix anvender en P1 til P5 numerisk skala til at kvantificere vigtigheden af en hændelse og den passende handling.
P1 anses for at være af yderste vigtighed og kræver en øjeblikkelig reaktion. Et serverproblem, der kan bringe hele systemet til at standse, er en illustration af en P1-forekomst.
Efterhånden som du bevæger dig ned på prioritetsskalaen, mindskes episodernes betydning/hast. For at skabe standarden for P1 til P5-hændelser, indsamler organisationen gradvist risikodata, der kan evalueres.
Alle skal være enige om tilgangen, og det er afgørende.
3. Automatiserede Runbooks
Runbooks, ofte kaldet playbooks, er manualer, der beskriver, hvordan man udfører visse opgaver trin-for-trin. Ved at fastlægge trinene til hyppige aktiviteter i detaljer, er playbooks designet til at reducere kognitiv byrde.
Runbook-automatisering går et skridt videre og reducerer arbejdskraft ved at inkorporere software i processen, der udfører trinnet automatisk, når en bestemt omstændighed bliver bedt om det.
Runbooks sparer ikke kun ventetid, men standardiserer og forbedrer også sammenhængen i processen.
4. Dataindsamling til tilbageblik
Dataindsamling er en vigtig fase i hændelseshåndtering.
Teamet skal sikre sig, at der indsamles realtidsdata gennem hele hændelsesstyringsprocessen for at skabe hændelsesretrospektive og mindske hændelsens effekt fremadrettet.
Dataindsamling starter, så snart en hændelse er rapporteret. Alarmeringsprocesser tager kontakt til de personer, der er nødvendige for at begynde at reagere, så snart en hændelse er identificeret eller opdaget af overvågningsteknologier.
Overvågnings- og observerbarhedsteknologierne indsamler data under hændelseshåndteringsprocessen. Realtidsadgang til dataene bør være mulig, så du kan bruge dem til retrospektive analyser efterfølgende.
5. Integrer tredjepartssoftware i processen og centraliser den
Du skal fungere som formidler og interface med eksterne systemer som JIRA og Slack, for at hændelseshåndteringsprocessen kan fungere korrekt.
Det tager tid, og der er en chance for, at du kan gå glip af vigtig information, at skifte mellem kommunikation og andre programmer.
Gennem baggrundsdataindsamling og automatisk opdatering af hændelser vil en automatiseret hændelseshåndteringsløsning strømline proceduren. I mellemtiden kan teamet undersøge rapporter og aktiviteter i realtid.
Nu er det tid til at se på håndtering af cybersikkerhedshændelser og dens bedste praksis.
Håndtering af cybersikkerhedshændelser
Realtidsovervågning, administration, logning og analyse af sikkerhedsrisici eller hændelser er kendt som cybersikkerhedshændelseshåndtering. Det har til formål at give et stringent og grundigt overblik over eventuelle sikkerhedsrisici, der kan eksistere inde i et it-system.
En sikkerhedshændelse kan variere fra en aktiv trussel, et forsøg på indtrængen, en vellykket penetration eller et datalæk.
Nogle få tilfælde af sikkerhedsproblemer omfatter overtrædelser af politikker og ulovlig adgang til data, herunder registreringer, herunder personnumre, økonomiske oplysninger, helbredsoplysninger og personligt identificerbare oplysninger.
Cybersikkerhed Incident Management Process
Organisationer implementerer politikker, der gør dem i stand til hurtigt at identificere, reagere på og afbøde denne slags hændelser, samtidig med at de styrker deres modstandsdygtighed og sikrer mod fremtidige hændelser, efterhånden som cybersikkerhedstrusler fortsætter med at stige i omfang og sofistikeret.
For at håndtere sikkerhedshændelser bruges en kombination af hardware, software og menneskedrevet forskning og analyse.
Advarslen om, at en hændelse er indtruffet, og aktiveringen af hændelsesresponsteamet er ofte de første trin i proceduren for håndtering af sikkerhedshændelser.
Derefter vil hændelsespersonale undersøge og vurdere situationen for at fastslå dens bredde, måle skader og skabe en afhjælpningsstrategi.
For at garantere, at it-miljøet rent faktisk er sikkert, skal der lægges en mangefacetteret plan for håndtering af sikkerhedshændelser på plads.
Bedste praksis for håndtering af sikkerhedshændelser
Proceduren for håndtering af sikkerhedshændelser skal planlægges af organisationer af alle størrelser og former. Udvikl en grundig plan for håndtering af sikkerhedshændelser ved at omsætte disse bedste praksisser i praksis:
- Opret et omfattende træningsprogram, der adresserer enhver opgave, der kræves af processerne til håndtering af sikkerhedshændelser. Gennemfør konsekvent din plan for håndtering af sikkerhedshændelser gennem testscenarier og foretag de nødvendige justeringer.
- For at lære af dine triumfer og fejltagelser efter ethvert sikkerhedsproblem, lav en undersøgelse efter hændelsen. Foretag derefter om nødvendigt ændringer i dit sikkerhedsprogram og hændelsesstyringsprocedure.
- Opret en strategi for håndtering af sikkerhedshændelser og eventuelle nødvendige procedurer, herunder instruktioner om, hvordan problemer skal findes, rapporteres, evalueres og håndteres. Forbered en liste over trin afhængigt af truslen, og hav den tilgængelig. Opdater politikker til håndtering af sikkerhedshændelser efter behov, især i lyset af erfaringerne fra tidligere hændelser.
- Opret et hændelsesresponsteam med klart definerede roller og pligter (også kendt som et CSIRT). Ud over repræsentation fra andre afdelinger som jura, kommunikation, økonomi og virksomhedsledelse eller -drift, bør dit hændelsesresponsteam også omfatte funktionelle stillinger fra IT/sikkerhedsafdelingen.
Konklusion
Endelig sikrer automatiseret hændelsesstyring, at akutte problemer identificeres, behandles og håndteres på en hurtig og effektiv måde.
Automatisering gør det muligt for hændelseshåndteringsløsninger at interagere med hinanden og fremmer realtidskommunikation på tværs af systemerne.
Alle afdelinger samles via automatisering, som nedbryder grænser mellem IT-driftsteams (ITOps). Teams har fuld adgang til hændelsesstatusoplysninger for at sikre, at de relevante personer håndterer hændelser.
Teams bruger automatisering til at forenkle og forbedre hændelseshåndteringsprocessen, efterhånden som it-problemer bliver mere udbredte.
Hændelseshåndtering i forbindelse med cybersikkerhed er processen med at lokalisere, kontrollere, dokumentere og evaluere sikkerhedsrisici og hændelser forbundet med cybersikkerhed i den virkelige verden.
Dette er en afgørende foranstaltning at tage både efter og før en cyberkrise rammer et it-system.
Giv en kommentar