Tartalomjegyzék[Elrejt][Előadás]
Belső problémák minden szervezetben előfordulhatnak. Elkerülhetetlen, hogy az eszközök tönkremenjenek, a szoftverek karbantartást igényeljenek, és dolgok eltűnjenek.
Ha olyan incidenskezelési eljárást fogad el, amely a problémákat fontossági sorrendbe állítja, átláthatóságot biztosít, és segít csapatának bármilyen probléma azonnali kezelésében, akkor hatékonyan kezelheti ezeket a problémákat és még sok mást.
Ehhez automatizált incidenskezelési rendszert kell alkalmaznia nagy léptékben.
Ebben a cikkben részletesen áttekintjük az automatizált incidenskezelést, megvitatjuk céljait és jelentőségét, megvizsgáljuk a kiberbiztonsági incidensek kezelésének eljárását és még sok mást.
Először is elkezdjük megérteni az incidenskezelést, és továbblépünk az automatizált incidenskezelés felé.
Incidenskezelés
A váratlan eseményre vagy szolgáltatáskimaradásra adott válasz és a szolgáltatás működési állapotába való visszaállítása incidenskezelésen keresztül történik. Minden eseménynél a legfontosabb szempont a gyors megoldás, ezért kulcsfontosságú egy folyamat kodifikálása és követése.
Az incidenskezelési folyamat általában négy lépésből áll:
- Az események prioritása
- Incidens válasz
- Az incidensek kategorizálása
- Incidens azonosítása és naplózása
Automatizált incidenskezelés
Az automatizált incidenskezelés az incidensekre adott válaszok automatizálásának gyakorlata, amely biztosítja, hogy a kulcsfontosságú eseményeket a lehető leghatékonyabb és legmegbízhatóbb módon azonosítsák és kezeljék.
Az idő fontos az incidenskezelés során. Ezért a sebesség az automatizált incidenskezelés fő előnye. Az időigényes munkák az automatizálással lényegesen gyorsabban elvégezhetők.
Ennek eredményeként lerövidül az incidensre adott válaszidő, és a csapat szabadon koncentrálhat a szakértelmüket igénylő feladatokra.
Automatizált incidensreagálás
Amikor az „Incidensreagálás” szót hallja, az a szervezet azon képességére utal, hogy észleli, kivizsgálja és enyhíti a támadásokat és jogsértéseket.
A múltban gyakran használtak emberi alkatrészeket a forgalom figyelésére, a feltételezett tevékenységek kivizsgálására, protokollok írására, amikor új veszélyek merülnek fel, stb.
Azonban, ahogy a neve is sugallja, az automatizált eseményreakció eltávolítja az emberi elemet az egyenletből.
Automatizálja a fárasztó műveleteket, felgyorsítja a fenyegetések észlelését és reagálását, valamint éjjel-nappal védelmet biztosít, időt és teret adva az SOC-csapatnak, hogy más módon bővítse és javítsa a biztonsági pozíciót.
A kiberbiztonsági incidensek kezeléséről bővebben a cikkben lesz szó.
Az automatizált incidenskezelés jelentősége
Az ügynökök most jobban koncentrálhatnak a balesetek kezelésére.
Amikor az eseményeket manuálisan kezelik, az ügynökök nagyobb valószínűséggel írnak be adatokat többször, és nagyobb valószínűséggel követnek el hibákat (például nem módosítják a rendszerben lévő probléma állapotát).
Az ügynökeinek nem kell váltaniuk az alkalmazások között, és nem kell manuális műveleteket végrehajtaniuk, ha automatizált problémakezelési megoldást használnak.
Alternatív megoldásként átirányíthatják ezt az időt több probléma azonnali megoldására, ami nagymértékben növelné az ügyfelek és a személyzet elégedettségét.
Csökkent a hamis pozitív értékek
A riasztások hasznosak és problémásak is az incidenskezelésben. A téves pozitív értesítések gyakran szerepelnek a tényleges és végrehajtható riasztások között, amelyek riasztási fáradtságot okozhatnak a dolgozókban azáltal, hogy elzsibbadnak a folyamatos riasztások özönében.
Az automatizált eszközök értékelik a figyelmeztetéseket, és a megfelelő csapattagokhoz irányítják őket, így időt és erőforrásokat takarítanak meg.
Az alkalmazottak segítségével kényelmesen nyomon követhetik jegyeik állapotát.
Az alkalmazottak többsége szeretne tájékoztatást kapni az általa bemutatott problémákról. Az automatizált incidenskezelés lehetővé teszi számukra a szükséges átláthatóságot. Hogyan?
A jegy élettartamának minden pontján, az ügynökhöz való hozzárendelésétől a megoldásig, az alkalmazott csevegésen keresztül riasztható a jegy benyújtása után.
Az alkalmazottnak nem kell állapotfrissítést kérnie az ügynököktől, és mindig tájékoztatást kap anélkül, hogy meg kellene látogatnia egy adott alkalmazást.
Az automatizált incidenskezelés főbb képességei
- Klaszterezési és mintaillesztési algoritmusok használhatók a zaj, például a hibás riasztások csökkentésére.
- Ismerje fel a mintákat, mielőtt azok olyan hatást fejtenek ki, amely valószínűvé teszi a kimaradásokat.
- Vegye figyelembe a többváltozós rendellenességeket, amelyek túllépik a statikus küszöbértékeket vagy a számszerű kiugró értékeket, hogy proaktívan azonosítsák a rendellenes körülményeket és viselkedést, és összekapcsolják azokat az üzleti következményekkel.
- Határozza meg az ok-okozati összefüggést, azonosítsa az események valószínű forrását topológia és ML segítségével, és kapcsolja össze ezeket a problémákat egy ügyfélúttal döntési fák, véletlenszerű erdők és grafikonelemzés segítségével.
- A rutinszerű, alacsony és közepes kockázatú feladatok automatizálásának elősegítése. Anélkül, hogy kapcsolatokat kellene létrehoznia más rendszerekkel, a munkafolyamat-motor lehetővé teszi a sürgős és az Ön ellenőrzése alatt álló problémák kezelését.
- Határozza meg a kérdések prioritását, és javasoljon megoldási lehetőségeket akár közvetlenül, akár a korábbi tapasztalatok alapján történő integráció útján. A problémák megismétlődésének elkerülése érdekében egy adattárban kövesse nyomon, hogy a teljes eseménysorozat során kivel vették fel a kapcsolatot.
- A chatbotok és a virtuális támogatási asszisztensek (VSA) használhatók a felhasználói hatékonyság növelésére és az ismétlődő házimunkák automatizálására, miközben demokratizálják az információkhoz való hozzáférést.
Példa
Az incidenskezelés automatizálásából leginkább az időkritikus és egyszerű helyzetek két kategóriája profitál leginkább. Az ügyfeleket közvetlenül érintő műszaki problémák példák az időkritikus eseményre.
Szeretné a lehető leghamarabb véget vetni a problémának, ha az ügyfele érintett. Ezzel szemben egy olyan egyszerű esemény, mint a nyomtatócsatlakozási probléma, szintén automatizálható.
TAz eljárás egyszerű, a megoldás személy bevonása nélkül is lehetséges.
Hogyan automatizálható az incidenskezelési folyamat?
1. Hozzon létre egy incidenskezelési munkafolyamatot.
Az incidenskezelési eljárás automatizálásához először meg kell terveznie egy incidenskezelési munkafolyamatot.
Az esemény-munkafolyamat, amelyet néha esemény-életciklusnak is neveznek, részletezi az eseményt követően lezajló egymást követő lépéseket. Az incidens munkafolyamat elsődleges lépései a következők:
- Azonosítás
- Fontossági sorrend
- Válasz
- Felbontás
Az incidenskezelési életciklus minden üzlet esetében különálló, és ehhez igazodik.
A hatékony incidenskezelési munkafolyamat létrehozásának titka abban rejlik, hogy minden érintett féltől hozzászólnak, dokumentálják az általuk végrehajtott összes tevékenységet, és összegyűjtsék az összes szükséges információt.
Valószínűleg sok nézeteltérés lesz a feladatok elvégzésével és az adatgyűjtéssel kapcsolatban, de a folyamatnak mindent a perspektívába kell helyeznie. A munkafolyamatot ezért a fedélzeten fel kell térképezni, mielőtt emiatt automatizálnák.
2. Konzisztencia az incidensek priorizálásában
A következő lépés az események egységes priorizálása. A helyes reagáláshoz tisztában kell lennie a probléma súlyával és mögöttes forrásával. Az incidensek prioritási mátrixa a szervezetek által gyakran használt eszköz.
Az incidens prioritási mátrix egy P1-től P5-ig terjedő numerikus skálát alkalmaz egy esemény fontosságának és a megfelelő cselekvés számszerűsítésére.
A P1-et rendkívül fontosnak tekintik, és azonnali reakciót igényel. Egy szerverprobléma, amely az egész rendszert leállíthatja, egy P1 esemény példája.
Ahogy lefelé halad a prioritási skálán, az epizódok fontossága/sürgőssége csökken. A P1-P5 előfordulások szabványának kialakítása érdekében a szervezet fokozatosan gyűjti össze a kiértékelhető kockázati adatokat.
Mindenkinek egyet kell értenie a megközelítéssel, és ez kulcsfontosságú.
3. Automatizált runbookok
A runbookok, amelyeket gyakran játékkönyveknek neveznek, olyan kézikönyvek, amelyek lépésről lépésre leírják, hogyan kell bizonyos feladatokat végrehajtani. A gyakori tevékenységek lépéseinek részletes lefektetésével a játékkönyveket úgy tervezték, hogy csökkentsék a kognitív terhelést.
A Runbook automatizálás egy lépéssel tovább megy, és csökkenti a munkát azáltal, hogy szoftvert épít be a folyamatba, amely bizonyos körülmények hatására automatikusan végrehajtja a lépést.
A runbookok nemcsak várakozási időt takarítanak meg, hanem szabványosítják és javítják a folyamat következetességét.
4. Adatgyűjtés retrospektívákhoz
Az adatgyűjtés az incidenskezelés fontos szakasza.
A csapatnak gondoskodnia kell arról, hogy valós idejű adatokat gyűjtsenek az incidenskezelési folyamat során annak érdekében, hogy visszamenőleges eseményeket készítsenek, és csökkentsék az incidens hatását a jövőben.
Az adatgyűjtés azonnal megkezdődik, amint egy eseményt jelentenek. A riasztási folyamatok kapcsolatba lépnek azokkal a személyekkel, akik azonnal megkezdik a reagálást, amint egy eseményt azonosítanak vagy észlelnek a felügyeleti technológiák.
A megfigyelési és megfigyelési technológiák az incidenskezelési folyamat során adatokat gyűjtenek. Lehetővé kell tenni az adatokhoz való valós idejű hozzáférést, lehetővé téve, hogy azokat későbbi visszamenőleges elemzésekhez is felhasználhassa.
5. Integrálja a harmadik féltől származó szoftvereket a folyamatba, és központosítsa azt
Az incidenskezelési folyamat megfelelő működése érdekében közvetítőként kell fellépnie és interfészként kell működnie olyan külső rendszerekkel, mint a JIRA és a Slack.
Időbe telik, és előfordulhat, hogy lemarad a fontos információkról, hogy váltson a kommunikációs és más programok között.
A háttéradatgyűjtés és az események automatikus frissítése révén egy automatizált incidenskezelési megoldás leegyszerűsíti az eljárást. Eközben a csapat valós időben vizsgálhatja meg a jelentéseket és a tevékenységeket.
Itt az ideje, hogy megvizsgáljuk a kiberbiztonsági incidensek kezelését és annak legjobb gyakorlatait.
Kiberbiztonsági incidenskezelés
A biztonsági kockázatok vagy események valós idejű megfigyelése, adminisztrációja, naplózása és elemzése kiberbiztonsági incidenskezelésként ismert. Célja, hogy szigorú és alapos áttekintést nyújtson az informatikai rendszeren belül esetlegesen fennálló biztonsági kockázatokról.
A biztonsági esemény az aktív fenyegetéstől, a behatolási kísérlettől, a sikeres behatolástól vagy az adatszivárgásig terjedhet.
A biztonsági problémák néhány példája az irányelvek megsértése és az adatokhoz való illegális hozzáférés, beleértve a társadalombiztosítási számokat, pénzügyi információkat, egészségügyi információkat és személyazonosításra alkalmas adatokat.
Kiberbiztonsági incidenskezelési folyamat
A szervezetek olyan irányelveket vezetnek be, amelyek lehetővé teszik számukra az ilyen jellegű incidensek gyors azonosítását, reagálását és mérséklését, miközben erősítik ellenálló képességüket és védelmet nyújtanak a jövőbeli incidensekkel szemben, mivel a kiberbiztonsági fenyegetések egyre terjednek és kifinomultabbak.
A biztonsági incidensek kezelése érdekében hardver, szoftver, valamint embervezérelt kutatás és elemzés kombinációját alkalmazzák.
Az esemény megtörténtére vonatkozó riasztás és az incidensreagáló csapat aktiválása gyakran a biztonsági incidenskezelési eljárás első lépései.
Ezt követően az incidens reagálói megvizsgálják és felmérik a helyzetet, hogy megbizonyosodjanak annak terjedelméről, felmérjék a károkat, és enyhülési stratégiát dolgozzanak ki.
Annak érdekében, hogy az informatikai környezet valóban biztonságos legyen, sokoldalú tervet kell kidolgozni a biztonsági incidensek kezelésére.
A biztonsági incidensek kezelésének legjobb gyakorlatai
A biztonsági incidenskezelési eljárást minden méretű és formájú szervezetnek meg kell terveznie. Alapos biztonsági incidenskezelési tervet dolgozzon ki az alábbi bevált gyakorlatok gyakorlatba ültetésével:
- Hozzon létre egy kiterjedt képzési programot, amely a biztonsági incidenskezelési folyamatok által megkövetelt minden feladattal foglalkozik. Következetesen tesztelje a biztonsági események kezelési tervét, és végezze el a szükséges módosításokat.
- Ha bármilyen biztonsági probléma után szeretne tanulni győzelmeiből és hibáiból, végezzen egy incidens utáni tanulmányt. Ezután szükség szerint módosítsa a biztonsági programot és az incidenskezelési eljárást.
- Hozzon létre egy biztonsági incidenskezelési stratégiát és minden szükséges eljárást, beleértve a problémák megtalálásának, jelentésének, értékelésének és kezelésének módját. Készítse el a lépések listáját a fenyegetéstől függően, és tegye elérhetővé. Szükség szerint frissítse a biztonsági incidenskezelési szabályzatokat, különösen a korábbi eseményekből levont tanulságok fényében.
- Hozzon létre egy incidensre adott válaszcsoportot világosan meghatározott szerepekkel és feladatokkal (más néven CSIRT). Az egyéb részlegek (például jogi, kommunikációs, pénzügyi, üzleti menedzsment vagy műveletek) képviseletén túl az incidensre adott válaszcsoportnak az informatikai/biztonsági osztály funkcionális pozícióit is magában kell foglalnia.
Következtetés
Végül az automatizált incidenskezelés gondoskodik arról, hogy a sürgős problémákat azonnal és hatékonyan azonosítsák, kezeljék és kezeljék.
Az automatizálás lehetővé teszi az incidenskezelési megoldások egymás közötti interakcióját, és elősegíti a valós idejű kommunikációt a rendszerek között.
Az összes részleget automatizálás egyesíti, ami lebontja az IT-műveleti (ITOps) csapatok közötti határokat. A csapatok teljes hozzáféréssel rendelkeznek az incidens állapotinformációihoz, így biztosítva, hogy a megfelelő emberek kezeljék az incidenseket.
A csapatok automatizálást alkalmaznak az incidenskezelési folyamat egyszerűsítésére és javítására, ahogy az IT-problémák egyre gyakoribbá válnak.
Az incidenskezelés a kiberbiztonsággal összefüggésben a valós világban a kiberbiztonsággal kapcsolatos biztonsági kockázatok és incidensek felkutatásának, ellenőrzésének, dokumentálásának és értékelésének folyamata.
Ez egy kulcsfontosságú intézkedés, amelyet meg kell tenni mind azután, mind az előtt, hogy egy kiberválság elérné az informatikai rendszert.
Hagy egy Válaszol