Sisukord[Peida][Näita]
Sisemised probleemid võivad ette tulla igas organisatsioonis. Seadmete purunemine, tarkvara hooldus ja asjade kadumine on vältimatu.
Juhtumihaldusprotseduuri kasutuselevõtmine, mis võimaldab seada probleeme prioriteediks, pakkuda läbipaistvust ja aidata teie meeskonnal mis tahes probleemiga kiiresti toime tulla, aitab teil neid probleeme ja palju muud tõhusalt lahendada.
Selle suuremahuliseks tegemiseks peate kasutama automatiseeritud intsidentide haldussüsteemi.
Selles artiklis vaatleme üksikasjalikult automatiseeritud intsidentide haldust, arutame selle eesmärke ja olulisust, uurime küberjulgeolekuintsidentide haldamise korda ja palju muud.
Esiteks hakkame mõistma intsidentide haldamist ja liigume edasi automatiseeritud intsidentide haldamise poole.
Intsidentide haldamine
Ootamatule sündmusele või teenuse katkestusele reageerimine ja teenuse tööseisundisse naasmine toimub juhtumihalduse kaudu. Iga sündmuse kõige olulisem aspekt on selle kiire lahendamine, mistõttu on oluline protsessi kodifitseerida ja järgida.
Juhtumihaldusprotsessis on tavaliselt neli etappi:
- Juhtumite prioriseerimine
- Juhtumi reageerimine
- Juhtumite kategoriseerimine
- Juhtumi tuvastamine ja logimine
Juhtumite automatiseeritud juhtimine
Automatiseeritud intsidentide haldamine on intsidentidele reageerimise automatiseerimine tagamaks, et peamised juhtumid tuvastatakse ja nendega tegeletakse kõige tõhusamal ja usaldusväärsemal viisil.
Aeg on juhtumite haldamisel oluline. Seetõttu on automatiseeritud intsidentide haldamise peamine eelis kiirus. Aeganõudvad tööd saab automatiseerimisega oluliselt kiiremini valmis saada.
Selle tulemusena lüheneb intsidentidele reageerimise aeg ja meeskond võib vabalt keskenduda ülesannetele, mis nõuavad nende asjatundlikkust.
Automaatne reageerimine juhtumitele
Kui kuulete sõna "Intsidentidele reageerimine", viitab see organisatsiooni suutlikkusele avastada, uurida ja leevendada rünnakuid ja rikkumisi.
Inimkomponente on varem sageli kasutatud liikluse jälgimiseks, kahtlustatavate tegevuste uurimiseks, uute ohtude ilmnemisel protokollide kirjutamiseks jne.
Kuid nagu nimigi viitab, eemaldab automaatne reageerimine võrrandist inimelemendi.
See automatiseerib tüütuid toiminguid, kiirendab ohtude tuvastamist ja reageerimist ning pakub ööpäevaringset kaitset, andes teie SOC-meeskonnale aega ja ruumi oma turvahoiaku laiendamiseks ja täiustamiseks muul viisil.
Lisateavet küberturvaintsidentide haldamise kohta käsitletakse artiklis allpool.
Intsidentide automatiseeritud haldamise tähtsus
Agendid saavad nüüd rohkem keskenduda õnnetuste lahendamisele.
Sündmusi käsitsi käsitledes sisestavad agendid tõenäolisemalt andmeid rohkem kui üks kord ja nad teevad suurema tõenäosusega vigu (nt ei suuda süsteemis probleemi olekut muuta).
Teie agendid ei pea rakendusi vahetama ega käsitsi toiminguid tegema, kui nad kasutavad automaatset probleemide haldamise lahendust.
Alternatiivina saavad nad selle aja ümber suunata, et kiiresti lahendada rohkem probleeme, mis tõstaks oluliselt klientide ja töötajate rahulolu.
Vähenenud valepositiivseid tulemusi
Hoiatused on intsidentide haldamisel nii abiks kui ka problemaatilised. Valepositiivsed teatised sisalduvad sageli tegelike ja rakendatavate hoiatuste hulgas, mis võivad põhjustada töötajate väsimust, muutes nad pideva hoiatusteadete vastu tuimaks.
Automatiseeritud tööriistad hindavad hoiatusi ja suunavad need vastavatele meeskonnaliikmetele, säästes aega ja ressursse.
Töötajad saavad selle abil mugavalt oma piletite olekut jälgida.
Enamik teie töötajaid soovib olla kursis iga probleemiga, mida nad esitavad. Juhtumite automaatne haldamine võimaldab teil tagada neile vajaliku läbipaistvuse. Kuidas?
Pileti eluea igal ajahetkel, alates selle agendile määramisest kuni selle lahendamiseni, saab töötajat pärast pileti esitamist vestluse kaudu hoiatada.
Töötaja ei pea agentidelt olekuvärskendust küsima ja teda teavitatakse alati ilma konkreetset rakendust külastamata.
Juhtumite automatiseeritud haldamise peamised võimalused
- Müra, näiteks vigaste häirete vähendamiseks saab kasutada rühmitamise ja mustrite sobitamise algoritme.
- Tuvastage mustrid enne, kui need avaldavad mõju, mis muudab katkestused tõenäoliseks.
- Võtke teadmiseks mitme muutujaga kõrvalekalded, mis ületavad staatilisi lävesid või arvulisi kõrvalekaldeid, et ennetavalt tuvastada ebanormaalsed asjaolud ja käitumine ning ühendada need äritegevuse tagajärgedega.
- Määratlege põhjuslik seos, tuvastage topoloogia ja ML abil sündmuste tõenäoline allikas ning siduge need probleemid klienditeekonnaga, kasutades otsustuspuid, juhuslikke metsi ja graafikute analüüsi.
- Edendada rutiinsete, madala kuni mõõduka riskiga ülesannete automatiseerimist. Ilma teiste süsteemidega ühendusi loomata võimaldab töövoomootor lahendada kiireloomulisi ja teie kontrolli all olevaid probleeme.
- Määrake probleemide prioriteetsus ja pakuge välja võimalikud lahendused, kas otse või varasemate kogemuste põhjal integreerimise teel. Probleemide kordumise vältimiseks jälgige hoidlas kogu sündmuste jada jooksul, kellega ühendust võeti, et kõrvaldada.
- Vestlusroboteid ja virtuaalseid tugiassistente (VSA-sid) saab kasutada kasutaja tõhususe suurendamiseks ja korduvate tööülesannete automatiseerimiseks, muutes samal ajal juurdepääsu teabele.
Näide
Juhtumihalduse automatiseerimisest saavad kõige rohkem kasu kaks olukordade kategooriat, mis on ajakriitilised ja lihtsad. Kliente otseselt mõjutavad tehnilised probleemid on näide ajakriitilisest juhtumist.
Soovite probleemile võimalikult kiiresti lõpu teha, kui see mõjutab teie klienti. Vastupidiselt saab automatiseerida ka lihtsat juhtumit, nagu printeri ühenduvusprobleem.
Tprotseduur on lihtne ja lahendus on võimalik ilma isikut kaasamata.
Kuidas automatiseerida oma intsidentide haldamise protsessi?
1. Looge intsidentide haldamise töövoog.
Juhtumihaldusprotseduuri automatiseerimiseks peate esmalt kavandama intsidentide haldamise töövoo.
Juhtumi töövoog, mida mõnikord nimetatakse sündmuse elutsükliks, kirjeldab üksikasjalikult pärast juhtumit toimuvaid järjestikuseid samme. Juhtumi töövoo peamised sammud on järgmised.
- Identifitseerimine
- Prioriteetide seadmine
- Vastus
- resolutsioon
Juhtumihalduse elutsükkel on iga ettevõtte jaoks erinev ja kohandatud vastavalt sellele.
Tõhusa intsidentide haldamise töövoo loomise saladus seisneb kõigi kaasatud osapoolte sisendis, dokumentides kõik nende toimingud ja kogu vajaliku teabe.
Tõenäoliselt tekib palju lahkarvamusi selles, kuidas ülesandeid täita ja andmeid koguda, kuid protsess peab panema kõike perspektiivi. Seetõttu tuleks töövoog enne sel põhjusel automatiseerimist kaardistada.
2. Juhtumite prioriseerimise järjepidevus
Juhtumite ühtne prioriseerimine on järgmine etapp. Õigesti reageerimiseks peate olema teadlik probleemi tõsidusest ja selle algallikast. Juhtumite prioriseerimise maatriks on levinud tööriist, mida organisatsioonid kasutavad.
Juhtumi prioriteedi maatriks kasutab sündmuse tähtsuse ja sobiva tegevuse kvantifitseerimiseks P1 kuni P5 arvskaalat.
P1 peetakse ülimalt tähtsaks ja see nõuab kohest reageerimist. Serveri probleem, mis võib kogu süsteemi seiskuda, on P1 juhtumi näide.
Kui liigute prioriteetsuse skaalal allapoole, väheneb episoodide tähtsus/kiirelisus. P1–P5 juhtumite standardi loomiseks kogub organisatsioon järk-järgult riskiandmeid, mida saab hinnata.
Kõik peavad lähenemisviisiga nõustuma ja see on ülioluline.
3. Automatiseeritud käsiraamatud
Käsiraamatud, mida sageli nimetatakse mänguraamatuteks, on juhendid, mis kirjeldavad teatud toimingute samm-sammult täitmist. Sagedaste tegevuste üksikasjalikud sammud sätestades on mänguraamatud loodud kognitiivse koormuse vähendamiseks.
Runbooki automatiseerimine läheb sammu võrra kaugemale ja vähendab tööjõudu, kaasates protsessi tarkvara, mis teatud asjaoludel seda sammu automaatselt täidab.
Runbookid mitte ainult ei säästa ooteaega, vaid ka standardiseerivad ja parandavad protsessi järjepidevust.
4. Andmete kogumine retrospektiivide jaoks
Andmete kogumine on intsidentide haldamise oluline etapp.
Meeskond peab tagama, et kogu intsidentide haldamise protsessi jooksul kogutakse reaalajas andmeid, et luua intsidentide tagasivaateid ja vähendada intsidendi mõju edaspidi.
Andmete kogumine algab kohe, kui juhtumist teatatakse. Hoiatusprotsessid loovad kontakti isikutega, kes peavad reageerima kohe, kui seiretehnoloogia tuvastab või tuvastab sündmuse.
Seire- ja vaadeldavuse tehnoloogiad koguvad andmeid intsidentide haldamise protsessi käigus. Reaalajas juurdepääs andmetele peaks olema võimalik, võimaldades teil neid hiljem tagasiulatuvateks analüüsideks kasutada.
5. Integreerige protsessi kolmanda osapoole tarkvara ja tsentraliseerige see
Juhtumihaldusprotsessi nõuetekohaseks toimimiseks peate tegutsema vahendajana ja liidestama välissüsteemidega, nagu JIRA ja Slack.
Sideprogrammide ja muude programmide vahel vahetamine võtab aega ja on võimalus, et võite olulisest teabest ilma jääda.
Taustaandmete kogumise ja sündmuste automaatse uuendamise kaudu muudab automatiseeritud intsidentide haldamise lahendus protseduuri sujuvamaks. Samal ajal saab meeskond aruandeid ja tegevusi reaalajas uurida.
Nüüd on aeg tutvuda küberturvaintsidentide haldamise ja selle parimate tavadega.
Küberjulgeoleku intsidentide juhtimine
Turvariskide või sündmuste reaalajas jälgimine, haldamine, logimine ja analüüs on tuntud kui küberturvaintsidentide haldus. Selle eesmärk on anda täpne ja põhjalik ülevaade IT-süsteemis esineda võivatest turvariskidest.
Turvasündmus võib ulatuda aktiivsest ohust, sissetungikatsest, edukast tungimisest või andmete lekkest.
Mõned turvaprobleemid hõlmavad eeskirjade rikkumisi ja ebaseaduslikku juurdepääsu andmetele, sealhulgas dokumentidele, sealhulgas sotsiaalkindlustuse numbritele, finantsteabele, terviseteabele ja isikut tuvastavale teabele.
Küberjulgeoleku intsidentide haldusprotsess
Organisatsioonid rakendavad poliitikaid, mis võimaldavad neil selliseid intsidente kiiresti tuvastada, neile reageerida ja neid leevendada, tugevdades samal ajal nende vastupanuvõimet ja kaitstes end tulevaste intsidentide eest, kuna küberjulgeolekuohtude maht ja keerukus suurenevad.
Turvaintsidentide haldamiseks kasutatakse riistvara, tarkvara ning inimtegevusest lähtuvate uuringute ja analüüside kombinatsiooni.
Hoiatus sündmuse toimumisest ja intsidendile reageerimise meeskonna aktiveerimine on sageli turvaintsidentide haldamise protseduuri esimesed sammud.
Pärast seda uurivad ja hindavad intsidendile reageerijad olukorda, et teha kindlaks selle ulatus, hinnata kahjusid ja luua leevendusstrateegia.
Tagamaks, et IT-keskkond on tõepoolest turvaline, tuleb paika panna mitmekülgne turvaintsidentide haldamise plaan.
Turvaintsidentide haldamise parimad tavad
Turvaintsidentide haldamise protseduuri peavad planeerima iga suuruse ja kujuga organisatsioonid. Töötage välja põhjalik turvaintsidentide haldusplaan, rakendades praktikas järgmisi parimaid tavasid:
- Looge ulatuslik koolitusprogramm, mis käsitleb kõiki turvaintsidentide haldusprotsesside jaoks vajalikke ülesandeid. Katsetage oma turvaintsidentide haldusplaani järjepidevalt läbi ja tehke vajalikud muudatused.
- Kui soovite pärast mis tahes turvaprobleeme oma võidukäikudest ja vigadest õppida, viige läbi intsidendijärgne uuring. Seejärel tehke vajadusel muudatusi oma turvaprogrammis ja intsidentide haldamise protseduuris.
- Looge turvaintsidentide haldamise strateegia ja kõik vajalikud protseduurid, sealhulgas juhised probleemide leidmiseks, aruandluseks, hindamiseks ja käsitlemiseks. Olenevalt ohust koostage sammude loend ja tehke see kättesaadavaks. Vajadusel värskendage turvaintsidentide halduspoliitikat, eriti varasematest juhtumitest saadud õppetunde silmas pidades.
- Looge intsidentidele reageerimise meeskond, millel on selgelt määratletud rollid ja ülesanded (tuntud ka kui CSIRT). Lisaks esindatusele teistest osakondadest, nagu õigus-, side-, rahandus- ja ärijuhtimine või operatsioonid, peaks teie intsidentidele reageerimise meeskond hõlmama ka IT-/turvaosakonna töökohti.
Järeldus
Lõpuks tagab automatiseeritud intsidentide haldamine, et kiireloomulised probleemid tuvastatakse, nendega tegeletakse ja nendega tegeletakse kiiresti ja tõhusalt.
Automatiseerimine võimaldab intsidentide haldamise lahendustel üksteisega suhelda ja soodustab reaalajas suhtlust süsteemide vahel.
Kõik osakonnad koondatakse automatiseerimise teel, mis lõhub IT-operatsioonide (ITOps) meeskondade vahelised piirid. Meeskondadel on täielik juurdepääs vahejuhtumite olekuteabele, et tagada, et juhtumitega tegelevad vastavad inimesed.
Meeskonnad kasutavad automatiseerimist, et lihtsustada ja täiustada intsidentide haldamise protsessi, kuna IT-probleemid muutuvad üha levinumaks.
Juhtumijuhtimine küberturvalisuse kontekstis on reaalses maailmas küberturvalisusega seotud turvariskide ja intsidentide leidmise, kontrollimise, dokumenteerimise ja hindamise protsess.
See on ülioluline meede, mida tuleb võtta nii pärast kui ka enne, kui küberkriis IT-süsteemi tabab.
Jäta vastus