فهرست مندرجات[پنهان شدن][نمایش]
مسائل داخلی ممکن است در هر سازمانی رخ دهد. خراب شدن دستگاهها، نیاز به تعمیر و نگهداری نرمافزارها و گم شدن چیزها اجتنابناپذیر است.
اتخاذ یک روش مدیریت حادثه که می تواند مشکلات را اولویت بندی کند، شفافیت را ارائه دهد و به تیم شما کمک کند تا هر مشکلی را به سرعت مدیریت کند، می تواند به شما کمک کند به طور موثر به این نگرانی ها و بسیاری موارد دیگر رسیدگی کنید.
برای انجام این کار در مقیاس بزرگ باید از یک سیستم مدیریت حوادث خودکار استفاده کنید.
در این مقاله، نگاهی دقیق به مدیریت حوادث خودکار خواهیم داشت، اهداف و اهمیت آن را مورد بحث قرار میدهیم، روش مدیریت حوادث امنیت سایبری و موارد دیگر را بررسی میکنیم.
ابتدا درک مدیریت حوادث را آغاز کرده و به سمت مدیریت خودکار حوادث پیش خواهیم رفت.
مدیریت حادثه
پاسخ به یک رخداد پیش بینی نشده یا اختلال در سرویس و بازگشت سرویس به شرایط عملیاتی خود از طریق مدیریت حادثه انجام می شود. مهم ترین جنبه هر رویداد، حل و فصل سریع آن است، به همین دلیل است که تدوین و دنبال کردن یک فرآیند بسیار مهم است.
در فرآیند مدیریت حادثه، معمولاً چهار مرحله وجود دارد:
- اولویت بندی حوادث
- پاسخ حادثه
- دسته بندی حوادث
- شناسایی و ثبت حوادث
مدیریت خودکار حوادث
مدیریت خودکار رویداد، عمل خودکار کردن پاسخ حادثه است تا اطمینان حاصل شود که رویدادهای کلیدی شناسایی شده و به مؤثرترین و قابل اعتمادترین روش ممکن رسیدگی می شود.
زمان برای مدیریت حوادث اهمیت دارد. از این رو سرعت مزیت اصلی مدیریت خودکار حوادث است. کارهای وقت گیر را می توان با اتوماسیون بسیار سریعتر به پایان رساند.
در نتیجه، زمان پاسخگویی به حادثه کوتاه میشود و تیم آزاد است تا روی کارهایی که نیاز به تخصص دارند، تمرکز کند.
پاسخ خودکار به حوادث
هنگامی که کلمه "واکنش به حادثه" را می شنوید، به ظرفیت سازمان برای شناسایی، بررسی و کاهش حملات و نقض ها اشاره دارد.
اجزای انسانی در گذشته به طور مکرر برای نظارت بر ترافیک، بررسی فعالیتهای مشکوک، نوشتن پروتکلها هنگام ظهور خطرات جدید و غیره استفاده میشده است.
با این حال، همانطور که از نام آن پیداست، پاسخ خودکار حادثه عنصر انسانی را از معادله حذف می کند.
این عملیات خسته کننده را خودکار می کند، تشخیص و پاسخ تهدید را تسریع می کند، و یک دفاع شبانه روزی ارائه می دهد و به تیم SOC شما زمان و فضا می دهد تا وضعیت امنیتی شما را به روش های دیگر گسترش دهد و ارتقا دهد.
بیشتر در مورد مدیریت حوادث امنیت سایبری در ادامه مقاله پوشش داده خواهد شد.
اهمیت مدیریت خودکار حوادث
نمایندگان اکنون می توانند بیشتر روی رسیدگی به حوادث تمرکز کنند.
هنگام مدیریت رویدادها به صورت دستی، عوامل بیشتر احتمال دارد که داده ها را بیش از یک بار وارد کنند و احتمال اشتباهات بیشتری دارند (مانند عدم تغییر وضعیت یک مشکل در یک سیستم).
اگر نمایندگان شما از راه حل مدیریت خودکار مشکلات استفاده می کنند، مجبور نخواهند شد بین برنامه ها جابجا شوند یا عملیات دستی را کامل کنند.
به عنوان یک جایگزین، آنها می توانند آن زمان را برای رسیدگی سریع به مسائل بیشتر هدایت کنند، که رضایت مشتری و کارکنان را تا حد زیادی افزایش می دهد.
کاهش مثبت کاذب
هشدارها در مدیریت حوادث هم مفید و هم مشکل ساز هستند. اعلانهای مثبت کاذب اغلب در میان هشدارهای واقعی و عملی گنجانده میشوند، که میتواند با بیحس کردن کارگران در برابر رگبار مداوم هشدارها، باعث خستگی هشدار در کارگران شود.
ابزارهای خودکار هشدارها را ارزیابی کرده و آنها را به اعضای تیم مناسب هدایت می کنند و در زمان و منابع صرفه جویی می کنند.
کارمندان می توانند از آن برای پیگیری راحت وضعیت بلیط های خود استفاده کنند.
اکثر کارکنان شما می خواهند در مورد هر نگرانی که ارائه می دهند مطلع شوند. مدیریت خودکار حوادث به شما امکان می دهد شفافیت مورد نیاز را برای آنها فراهم کنید. چگونه؟
در هر مرحله از طول عمر بلیط، از زمانی که به یک نماینده اختصاص داده می شود تا زمانی که حل می شود، پس از ارسال بلیط، می توان از طریق چت به یک کارمند هشدار داد.
کارمند مجبور نیست از نمایندگان درخواست بروزرسانی وضعیت کند و همیشه بدون نیاز به بازدید از یک برنامه خاص مطلع می شود.
قابلیت های کلیدی مدیریت خودکار حوادث
- الگوریتم های خوشه بندی و تطبیق الگو را می توان برای کاهش نویز استفاده کرد، مانند آلارم های اشتباه.
- الگوها را قبل از اینکه تأثیری داشته باشند که احتمال قطعی برق را ایجاد می کند، بشناسید.
- به ناهنجاریهای چند متغیرهای که فراتر از آستانههای ایستا یا نقاط پرت عددی هستند، توجه داشته باشید تا به طور فعال شرایط و رفتار غیرعادی را شناسایی کرده و آنها را به پیامدهای تجاری مرتبط کنید.
- علیت را تعریف کنید، منبع احتمالی رویدادها را با استفاده از توپولوژی و ML شناسایی کنید، و این مشکلات را به سفر مشتری با استفاده از درخت های تصمیم، جنگل های تصادفی و تجزیه و تحلیل گراف گره بزنید.
- خودکارسازی کارهای معمول و کم خطر تا متوسط را ارتقا دهید. بدون نیاز به ایجاد اتصالات به سیستمهای دیگر، یک موتور گردش کار به شما امکان میدهد به مسائلی که فوری و تحت کنترل شما هستند رسیدگی کنید.
- اولویت مسائل را تعیین کنید و راه حل های ممکن را به طور مستقیم یا از طریق ادغام بر اساس تجربیات قبلی پیشنهاد دهید. به منظور جلوگیری از بروز مجدد مشکلات، ردیابی افرادی را که در طول کل توالی رویدادها برای اصلاح در یک مخزن با آنها تماس گرفته شده است را دنبال کنید.
- رباتهای چت و دستیاران پشتیبانی مجازی (VSA) میتوانند برای افزایش کارایی کاربر و خودکارسازی کارهای تکراری و در عین حال دموکراتیک کردن دسترسی به اطلاعات استفاده شوند.
مثال
دو دسته از موقعیتهایی که بیشترین بهره را از اتوماسیون در مدیریت حوادث میبرند، موقعیتهایی هستند که زمان بحرانی و ساده هستند. مشکلات فنی که مستقیماً بر مشتریان تأثیر می گذارد، نمونه ای از یک رویداد بحرانی زمانی است.
اگر مشتری شما تحت تأثیر قرار گرفت، می خواهید در اسرع وقت به مشکل پایان دهید. برعکس، یک اتفاق ساده مانند مشکل اتصال چاپگر نیز می تواند خودکار شود.
Tاین روش ساده است و حل و فصل بدون دخالت شخص امکان پذیر است.
چگونه فرآیند مدیریت حادثه خود را خودکار کنیم؟
1. یک گردش کار مدیریت حادثه ایجاد کنید.
برای اینکه رویه مدیریت حادثه خود را خودکار کنید، ابتدا باید یک گردش کار مدیریت حادثه طراحی کنید.
گردش کار حادثه، که گاهی اوقات به عنوان چرخه حیات رویداد شناخته می شود، جزئیات مراحل متوالی را که پس از یک رخداد انجام می شود، ارائه می دهد. مراحل اولیه یک گردش کار حادثه به شرح زیر است:
- شناسایی
- اولویت بندی
- واکنش
- وضوح
چرخه حیات مدیریت حادثه برای هر کسب و کار متمایز است و در راستای آن تنظیم شده است.
راز ایجاد یک گردش کار مدیریت حادثه موثر این است که از همه طرفهای درگیر اطلاعات دریافت کنید، تمام اقداماتی که انجام میدهند مستندسازی کنید و تمام اطلاعات مورد نیاز را جمعآوری کنید.
احتمالاً در مورد نحوه انجام وظایف و جمع آوری داده ها اختلاف نظرهای زیادی وجود خواهد داشت، اما این روند باید همه چیز را در چشم انداز قرار دهد. بنابراین، گردش کار باید قبل از خودکار شدن به این دلیل، در داخل هواپیما ترسیم شود.
2. ثبات در اولویت بندی حوادث
اولویت بندی یکسان حوادث مرحله بعدی است. شما باید از گرانش و منبع اصلی مشکل آگاه باشید تا به درستی واکنش نشان دهید. ماتریس اولویتبندی حادثه ابزار رایجی است که توسط سازمانها استفاده میشود.
یک ماتریس اولویت حادثه از مقیاس عددی P1 تا P5 برای تعیین کمیت اهمیت یک رخداد و اقدام مناسب استفاده میکند.
P1 از اهمیت بالایی برخوردار است و نیاز به واکنش فوری دارد. یک مشکل سرور که ممکن است کل سیستم را متوقف کند، نمونه ای از یک رخداد P1 است.
با پایین آمدن مقیاس اولویت، اهمیت/فوریت قسمت ها کاهش می یابد. به منظور ایجاد استاندارد برای رخدادهای P1 تا P5، سازمان به تدریج داده های ریسک را جمع آوری می کند که می تواند ارزیابی شود.
همه باید با رویکرد موافق باشند و این بسیار مهم است.
3. ران بوک های خودکار
Runbooks که اغلب playbook نامیده می شود، راهنماهایی هستند که نحوه انجام برخی کارها را به صورت گام به گام شرح می دهند. با تعیین مراحل فعالیت های مکرر با جزئیات، کتاب های بازی برای کاهش بار شناختی طراحی شده اند.
اتوماسیون Runbook یک گام فراتر می رود و با گنجاندن نرم افزاری در فرآیندی که مرحله را در صورت درخواست شرایط خاص به طور خودکار اجرا می کند، نیروی کار را کاهش می دهد.
Runbook ها نه تنها در زمان انتظار صرفه جویی می کنند، بلکه ثبات فرآیند را نیز استاندارد کرده و بهبود می بخشند.
4. جمع آوری داده ها برای گذشته نگر
جمع آوری داده ها مرحله مهمی در مدیریت حوادث است.
تیم باید اطمینان حاصل کند که دادههای بلادرنگ در طول فرآیند مدیریت حادثه جمعآوری میشوند تا به گذشتهنگر حادثه ایجاد کنند و تأثیر حادثه را در آینده کاهش دهند.
جمع آوری داده ها به محض گزارش یک رویداد شروع می شود. فرآیندهای هشدار با افراد مورد نیاز برای شروع واکنش به محض شناسایی یا شناسایی یک رویداد توسط فناوری های نظارتی، تماس برقرار می کند.
فن آوری های نظارت و مشاهده پذیری در حال جمع آوری داده ها در طول فرآیند مدیریت حادثه هستند. دسترسی همزمان به دادهها باید امکانپذیر باشد و به شما این امکان را میدهد که از آن برای تحلیلهای گذشتهنگر استفاده کنید.
5. نرم افزار شخص ثالث را در فرآیند ادغام کرده و آن را متمرکز کنید
شما باید به عنوان یک واسطه و رابط با سیستم های خارجی مانند JIRA و Slack عمل کنید تا فرآیند مدیریت حادثه به درستی عمل کند.
برای جابجایی بین برنامه های ارتباطی و برنامه های دیگر، زمان می برد و این احتمال وجود دارد که اطلاعات مهم را از دست بدهید.
از طریق جمعآوری دادههای پسزمینه و بهروزرسانی خودکار رویدادها، یک راهحل خودکار مدیریت حادثه، این روش را سادهتر میکند. در همین حال، تیم می تواند گزارش ها و فعالیت ها را در زمان واقعی بررسی کند.
اکنون زمان آن است که به مدیریت حوادث امنیت سایبری و بهترین شیوه های آن نگاهی بیندازیم.
مدیریت حوادث امنیت سایبری
نظارت، مدیریت، ثبت و تجزیه و تحلیل بیدرنگ خطرات یا رخدادهای امنیتی به عنوان مدیریت حوادث امنیت سایبری شناخته میشود. هدف آن ارائه یک نمای کلی دقیق و کامل از هرگونه خطر امنیتی است که ممکن است در داخل یک سیستم فناوری اطلاعات وجود داشته باشد.
یک رویداد امنیتی ممکن است از یک تهدید فعال، تلاش برای تهاجم، نفوذ موفق یا نشت داده متغیر باشد.
چند نمونه از مسائل امنیتی شامل نقض خطمشی و دسترسی غیرقانونی به دادهها، از جمله سوابق از جمله شمارههای تامین اجتماعی، اطلاعات مالی، اطلاعات بهداشتی و اطلاعات قابل شناسایی شخصی است.
فرآیند مدیریت حوادث امنیت سایبری
سازمانها در حال اجرای سیاستهایی هستند که آنها را قادر میسازد تا به سرعت این نوع حوادث را شناسایی، پاسخ داده و کاهش دهند و در عین حال انعطافپذیری خود را تقویت کرده و در برابر حوادث آتی محافظت کنند، زیرا تهدیدات امنیت سایبری همچنان در حجم و پیچیدگی افزایش مییابد.
به منظور مدیریت حوادث امنیتی، ترکیبی از سخت افزار، نرم افزار و تحقیق و تحلیل انسان محور استفاده می شود.
هشدار وقوع یک رویداد و فعال سازی تیم واکنش به حادثه اغلب اولین گام در رویه مدیریت حوادث امنیتی است.
پس از آن، واکنشدهندههای حادثه وضعیت را بررسی و ارزیابی میکنند تا وسعت آن را تعیین کنند، آسیبها را اندازهگیری کنند و یک استراتژی کاهش ایجاد کنند.
برای تضمین این که محیط فناوری اطلاعات واقعاً ایمن است، باید یک طرح چند وجهی برای مدیریت حوادث امنیتی اجرا شود.
بهترین روش ها برای مدیریت حوادث امنیتی
رویه مدیریت حوادث امنیتی باید توسط سازمان هایی با هر اندازه و شکلی برنامه ریزی شود. با به کار بردن این بهترین شیوه ها، یک برنامه مدیریت حوادث امنیتی کامل ایجاد کنید:
- یک برنامه آموزشی گسترده ایجاد کنید که به هر کار مورد نیاز فرآیندهای مدیریت حوادث امنیتی می پردازد. برنامه مدیریت حوادث امنیتی خود را به طور مداوم در سناریوهای آزمایشی قرار دهید و هر گونه تنظیمات لازم را انجام دهید.
- برای درس گرفتن از پیروزی ها و اشتباهات خود پس از هر مشکل امنیتی، یک مطالعه پس از حادثه انجام دهید. سپس، در صورت لزوم، تغییراتی را در برنامه امنیتی و رویه مدیریت رویداد خود ایجاد کنید.
- یک استراتژی مدیریت حوادث امنیتی و هر روش لازم، از جمله دستورالعمل هایی در مورد چگونگی یافتن، گزارش، ارزیابی و رسیدگی به مسائل ایجاد کنید. لیستی از مراحل را بسته به تهدید تهیه کنید و آن را در دسترس قرار دهید. سیاستهای مدیریت حوادث امنیتی را در صورت لزوم بهروزرسانی کنید، بهویژه با توجه به درسهای به دست آمده از رویدادهای قبلی.
- یک تیم واکنش به حادثه با نقش ها و وظایف کاملاً مشخص (که به عنوان CSIRT نیز شناخته می شود) ایجاد کنید. علاوه بر نمایندگی از بخشهای دیگر مانند حقوقی، ارتباطات، امور مالی، و مدیریت یا عملیات تجاری، تیم واکنش به حوادث شما باید دارای موقعیتهای کاربردی از بخش فناوری اطلاعات/امنیت نیز باشد.
نتیجه
در نهایت، مدیریت خودکار حوادث اطمینان حاصل می کند که مسائل فوری شناسایی، رسیدگی و به شیوه ای سریع و موثر با آنها برخورد می شود.
اتوماسیون این امکان را برای راه حل های مدیریت حادثه ایجاد می کند تا با یکدیگر تعامل داشته باشند و ارتباطات بلادرنگ در سراسر سیستم ها را ارتقا می دهد.
همه بخش ها از طریق اتوماسیون گرد هم می آیند، که مرزهای بین تیم های عملیات فناوری اطلاعات (ITOps) را از بین می برد. تیم ها به اطلاعات وضعیت حادثه دسترسی کامل دارند تا اطمینان حاصل کنند که افراد مناسب در حال رسیدگی به حوادث هستند.
تیمها از اتوماسیون برای سادهسازی و بهبود فرآیند مدیریت حادثه استفاده میکنند، زیرا مشکلات فناوری اطلاعات رو به افزایش است.
مدیریت حوادث در زمینه امنیت سایبری فرآیند مکان یابی، کنترل، مستندسازی و ارزیابی خطرات امنیتی و حوادث مرتبط با امنیت سایبری در دنیای واقعی است.
این اقدامی حیاتی است که هم بعد و هم قبل از وقوع یک بحران سایبری به سیستم فناوری اطلاعات انجام می شود.
پاسخ دهید