სარჩევი[დამალვა][ჩვენება]
შიდა პრობლემები შეიძლება წარმოიშვას ყველა ორგანიზაციაში. გარდაუვალია მოწყობილობების გაფუჭება, პროგრამული უზრუნველყოფის მოვლა და გაქრობა.
ინციდენტების მართვის პროცედურის მიღება, რომელსაც შეუძლია პრობლემების პრიორიტეტად მინიჭება, გამჭვირვალობის შეთავაზება და თქვენს გუნდს ნებისმიერი პრობლემის დროულად გადაჭრაში, დაგეხმარებათ ეფექტურად მოაგვაროთ ეს პრობლემები და მრავალი სხვა.
თქვენ უნდა გამოიყენოთ ინციდენტების მართვის ავტომატური სისტემა, რომ ეს გააკეთოთ ფართო მასშტაბით.
ამ სტატიაში დეტალურად განვიხილავთ ინციდენტების ავტომატიზირებულ მენეჯმენტს, განვიხილავთ მის მიზნებსა და მნიშვნელობას, განვიხილავთ კიბერუსაფრთხოების ინციდენტების მართვის პროცედურას და ბევრ სხვას.
პირველ რიგში, ჩვენ დავიწყებთ ინციდენტების მენეჯმენტის გააზრებას და გადავალთ ინციდენტების ავტომატიზირებულ მართვაზე.
ინციდენტების მენეჯმენტი
გაუთვალისწინებელ მოვლენაზე ან სერვისის შეფერხებაზე რეაგირება და სერვისის ოპერაციულ მდგომარეობაში დაბრუნება ხდება ინციდენტის მენეჯმენტის მეშვეობით. ყველა მოვლენის ყველაზე მნიშვნელოვანი ასპექტი არის მისი სწრაფი გადაწყვეტა, რის გამოც გადამწყვეტია პროცესის კოდიფიცირება და დაცვა.
ინციდენტის მართვის პროცესში, როგორც წესი, ოთხი ეტაპია:
- ინციდენტების პრიორიტეტიზაცია
- ინციდენტის რეაგირება
- ინციდენტების კატეგორიზაცია
- ინციდენტის იდენტიფიკაცია და შესვლა
ინციდენტების ავტომატური მართვა
ინციდენტების ავტომატური მენეჯმენტი არის ინციდენტზე რეაგირების ავტომატიზაციის პრაქტიკა, რათა დავრწმუნდეთ, რომ ძირითადი მოვლენების იდენტიფიცირება და მათი განხილვა მაქსიმალურად ეფექტური და საიმედო გზით ხდება.
დრო მნიშვნელოვანია, როდესაც საქმე ეხება ინციდენტების მართვას. ამიტომ სიჩქარე ინციდენტების ავტომატური მართვის მთავარი უპირატესობაა. შრომატევადი სამუშაოები შეიძლება ბევრად უფრო სწრაფად დასრულდეს ავტომატიზაციის საშუალებით.
შედეგად, ინციდენტზე რეაგირების დრო მცირდება და გუნდს თავისუფლად შეუძლია კონცენტრირება მოახდინოს იმ ამოცანებზე, რომლებიც მოითხოვს მათ ექსპერტიზას.
ინციდენტების ავტომატური რეაგირება
როდესაც გესმით სიტყვა „ინციდენტის რეაგირება“, ეს ეხება ორგანიზაციის შესაძლებლობას აღმოაჩინოს, გამოიძიოს და შეამსუბუქოს თავდასხმები და დარღვევები.
ადამიანის კომპონენტები წარსულში ხშირად გამოიყენებოდა ტრაფიკის მონიტორინგისთვის, საეჭვო მოქმედებების გამოსაძიებლად, პროტოკოლების დასაწერად ახალი საფრთხის გაჩენისას და ა.შ.
თუმცა, როგორც სახელი გულისხმობს, ინციდენტის ავტომატური პასუხი შლის ადამიანის ელემენტს განტოლებიდან.
ის ახდენს დამღლელი ოპერაციების ავტომატიზირებას, აჩქარებს საფრთხის გამოვლენას და რეაგირებას და უზრუნველყოფს მთელი საათის დაცვას, რაც თქვენს SOC გუნდს აძლევს დროსა და სივრცეს გააფართოვოს და გააძლიეროს თქვენი უსაფრთხოების პოზა სხვა გზებით.
კიბერუსაფრთხოების ინციდენტების მენეჯმენტის შესახებ მეტი დეტალურად იქნება განხილული სტატიაში.
ინციდენტების ავტომატური მართვის მნიშვნელობა
აგენტებს ახლა შეუძლიათ მეტი კონცენტრირება მოახდინონ ავარიების მართვაზე.
მოვლენების ხელით განხილვისას, აგენტები უფრო ხშირად შეიყვანენ მონაცემებს ერთზე მეტჯერ და უფრო ხშირად უშვებენ შეცდომებს (როგორიცაა სისტემაში პრობლემის სტატუსის შეცვლა).
თქვენს აგენტებს არ მოუწევთ გადართვა აპებს შორის ან დაასრულონ ხელით ოპერაციები, თუ ისინი იყენებენ პრობლემების მართვის ავტომატურ გადაწყვეტას.
როგორც ალტერნატივა, მათ შეუძლიათ ამ დროის გადამისამართება უფრო მეტი პრობლემის გადასაჭრელად, რაც მნიშვნელოვნად გაზრდის კლიენტებისა და პერსონალის კმაყოფილებას.
შემცირდა ცრუ დადებითი
გაფრთხილებები არის როგორც გამოსადეგი, ასევე პრობლემური ინციდენტების მართვაში. ცრუ-დადებითი შეტყობინებები ხშირად შედის ფაქტობრივ და მოქმედ სიგნალებს შორის, რამაც შეიძლება გამოიწვიოს მუშების სიფხიზლე დაღლილობა, გაფრთხილების მუდმივი ტალღის გამო მათ დაბუჟების გამო.
ავტომატური ხელსაწყოები აფასებენ გაფრთხილებებს და აწვდიან მათ შესაბამისი გუნდის წევრებს, დაზოგავს დროსა და რესურსებს.
თანამშრომლებს შეუძლიათ გამოიყენონ ის, რომ მოხერხებულად დაიცვან თავიანთი ბილეთების სტატუსი.
თქვენი თანამშრომლების უმეტესობას სურს იყოს ინფორმირებული თითოეული პრობლემის შესახებ. ინციდენტების ავტომატური მართვა საშუალებას მოგცემთ უზრუნველყოთ მათთვის საჭირო გამჭვირვალობა. Როგორ?
ბილეთის სიცოცხლის ყოველი მომენტში, დაწყებული აგენტისთვის მინიჭების მომენტიდან მისი გადაწყვეტამდე, თანამშრომლის გაფრთხილება შესაძლებელია ჩატის საშუალებით ბილეთის წარდგენის შემდეგ.
თანამშრომელს არ მოუწევს აგენტებს სთხოვოს სტატუსის განახლება და ყოველთვის იქნება ინფორმირებული კონკრეტული განაცხადის მონახულების გარეშე.
ინციდენტების ავტომატური მართვის ძირითადი შესაძლებლობები
- კლასტერირებისა და შაბლონების შესატყვისი ალგორითმები შეიძლება გამოყენებულ იქნას ხმაურის შესამცირებლად, როგორიცაა მცდარი სიგნალიზაცია.
- ამოიცნობთ შაბლონებს, სანამ მათ ექნებათ გავლენა, რაც შესაძლებელს ხდის გათიშვას.
- ყურადღება მიაქციეთ მრავალვარიანტულ ანომალიებს, რომლებიც სცილდება სტატიკური ზღვრების ან რიცხვითი გამონაკლისების ფარგლებს, რათა პროაქტიულად გამოავლინოთ ანომალიური გარემოებები და ქცევა და დაუკავშიროთ ისინი ბიზნეს შედეგებს.
- განსაზღვრეთ მიზეზობრიობა, განსაზღვრეთ მოვლენების სავარაუდო წყარო ტოპოლოგიისა და ML-ის გამოყენებით და დაუკავშირეთ ეს პრობლემები კლიენტის მოგზაურობას გადაწყვეტილების ხეების, შემთხვევითი ტყეების და გრაფიკის ანალიზის გამოყენებით.
- ხელი შეუწყეთ რუტინული, დაბალი და ზომიერი რისკის მქონე ამოცანების ავტომატიზაციას. სხვა სისტემებთან კავშირების შექმნის საჭიროების გარეშე, სამუშაო ნაკადის ძრავა საშუალებას გაძლევთ მოაგვაროთ ის საკითხები, რომლებიც გადაუდებელია და თქვენს კონტროლს ექვემდებარება.
- განსაზღვრეთ საკითხების პრიორიტეტი და შესთავაზეთ შესაძლო გადაწყვეტილებებს, როგორც უშუალოდ, ისე ადრეული გამოცდილების საფუძველზე ინტეგრაციის გზით. პრობლემების განმეორების თავიდან აცილების მიზნით, თვალყური ადევნეთ იმას, თუ ვის დაუკავშირდნენ მოვლენების მთელი თანმიმდევრობის განმავლობაში საცავში გამოსასწორებლად.
- ჩეთბოტები და ვირტუალური მხარდაჭერის ასისტენტები (VSA) შეიძლება გამოყენებულ იქნას მომხმარებლის ეფექტურობის გასაზრდელად და განმეორებადი სამუშაოების ავტომატიზაციისთვის, ხოლო ინფორმაციაზე წვდომის დემოკრატიზაცია.
მაგალითი
სიტუაციების ორი კატეგორია, რომლებიც ყველაზე მეტად სარგებლობენ ინციდენტების მენეჯმენტში ავტომატიზაციით, არის ის, რაც არის დროის კრიტიკული და მარტივი. ტექნიკური პრობლემები, რომლებიც პირდაპირ გავლენას ახდენს მომხმარებლებზე, არის დროის კრიტიკული მოვლენის მაგალითი.
თქვენ გსურთ დაასრულოთ პრობლემა რაც შეიძლება მალე, თუ თქვენს მომხმარებელს შეეხო. პირიქით, პრინტერის დაკავშირების პრობლემის მსგავსი მარტივი მოვლენა ასევე შეიძლება ავტომატიზირებული იყოს.
Tპროცედურა მარტივია და გადაწყვეტა შესაძლებელია პირის ჩარევის გარეშე.
როგორ მოვახდინოთ თქვენი ინციდენტების მართვის პროცესის ავტომატიზაცია?
1. შექმენით ინციდენტების მართვის სამუშაო პროცესი.
თქვენი ინციდენტების მართვის პროცედურის ავტომატიზაციისთვის, ჯერ უნდა შეიმუშავოთ ინციდენტების მართვის სამუშაო პროცესი.
ინციდენტის სამუშაო პროცესი, რომელსაც ზოგჯერ უწოდებენ მოვლენის სასიცოცხლო ციკლს, დეტალურად აღწერს თანმიმდევრულ ნაბიჯებს, რომლებიც ხდება შემთხვევის შემდეგ. ინციდენტის სამუშაო პროცესის ძირითადი ნაბიჯები შემდეგია:
- საიდენტიფიკაციო
- პრიორიტეტების
- რეაგირების
- რეზოლუცია
ინციდენტების მართვის სასიცოცხლო ციკლი განსხვავებულია თითოეული ბიზნესისთვის და მორგებულია ამის შესაბამისად.
ეფექტური ინციდენტების მართვის სამუშაო ნაკადის შექმნის საიდუმლო არის ყველა ჩართული მხარისგან ინფორმაციის მიღება, მათ მიერ განხორციელებული ყველა ქმედების დოკუმენტირება და ყველა საჭირო ინფორმაციის შეგროვება.
სავარაუდოდ, ბევრი უთანხმოება იქნება, თუ როგორ უნდა შეასრულოთ დავალებები და შეაგროვოთ მონაცემები, მაგრამ პროცესი ყველაფერს პერსპექტივაში უნდა მოჰყვეს. ამრიგად, სამუშაო ნაკადი უნდა იყოს ასახული ბორტზე ავტომატიზირებამდე ამ მიზეზით.
2. თანმიმდევრულობა ინციდენტების პრიორიტეტიზაციაში
შემდეგი ეტაპია ინციდენტების ერთგვაროვანი პრიორიტეტიზაცია. თქვენ უნდა იცოდეთ პრობლემის სიმძიმე და ძირითადი წყარო, რათა სწორად იმოქმედოთ. ინციდენტების პრიორიტეტების მატრიცა არის საერთო ინსტრუმენტი, რომელსაც იყენებენ ორგანიზაციები.
ინციდენტის პრიორიტეტის მატრიცა იყენებს P1-დან P5 რიცხვით შკალას მოვლენის მნიშვნელობისა და შესაბამისი მოქმედების რაოდენობრივად დასადგენად.
P1 განიხილება, როგორც უდიდესი მნიშვნელობა და მოითხოვს მყისიერ რეაქციას. სერვერის პრობლემა, რომელმაც შესაძლოა მთელი სისტემა შეაჩეროს, არის P1 შემთხვევის ილუსტრაცია.
პრიორიტეტების სკალაზე დაბლა გადაადგილებისას ეპიზოდების მნიშვნელობა/გადაუდებლობა მცირდება. იმისათვის, რომ შეიქმნას სტანდარტი P1-დან P5-მდე შემთხვევებისთვის, ორგანიზაცია თანდათან აგროვებს რისკის მონაცემებს, რომლებიც შეიძლება შეფასდეს.
ყველა უნდა დაეთანხმოს მიდგომას და ეს გადამწყვეტია.
3. ავტომატური Runbooks
Runbooks, რომელსაც ხშირად სათამაშო წიგნებს უწოდებენ, არის სახელმძღვანელო, რომელიც აღწერს, თუ როგორ უნდა შეასრულოთ გარკვეული ამოცანები ეტაპობრივად. ხშირი აქტივობების საფეხურების დეტალური დადგენით, სათამაშო წიგნები შექმნილია შემეცნებითი დატვირთვის შესამცირებლად.
Runbook-ის ავტომატიზაცია უფრო შორს მიდის და ამცირებს შრომას პროცესებში პროგრამული უზრუნველყოფის ჩართვის გზით, რომელიც ახორციელებს ნაბიჯს ავტომატურად, როდესაც ამას გარკვეული გარემოება მოთხოვს.
Runbooks არა მხოლოდ დაზოგავს ლოდინის დროს, არამედ სტანდარტიზებს და აუმჯობესებს პროცესის თანმიმდევრულობას.
4. მონაცემთა შეგროვება რეტროსპექტივისთვის
მონაცემთა შეგროვება ინციდენტების მართვის მნიშვნელოვანი ეტაპია.
გუნდმა უნდა დარწმუნდეს, რომ რეალურ დროში მონაცემები გროვდება ინციდენტის მართვის პროცესის განმავლობაში, რათა შეიქმნას ინციდენტის რეტროსპექტივა და შეამციროს ინციდენტის შემდგომი ეფექტი.
მონაცემთა შეგროვება იწყება შემთხვევის შესახებ მოხსენებისთანავე. გაფრთხილების პროცესები კონტაქტს ამყარებს იმ პირებთან, რომლებიც საჭიროა რეაგირების დასაწყებად, როგორც კი მოვლენის იდენტიფიცირება ან მონიტორინგის ტექნოლოგიების გამოვლენა მოხდება.
მონიტორინგისა და დაკვირვებადობის ტექნოლოგიები აგროვებს მონაცემებს ინციდენტის მართვის პროცესში. მონაცემთა რეალურ დროში წვდომა შესაძლებელი უნდა იყოს, რაც საშუალებას მოგცემთ გამოიყენოთ ისინი შემდგომში რეტროსპექტული ანალიზისთვის.
5. მესამე მხარის პროგრამული უზრუნველყოფის ინტეგრირება პროცესში და ცენტრალიზება
თქვენ უნდა იმოქმედოთ როგორც შუამავალი და ინტერფეისი გარე სისტემებთან, როგორიცაა JIRA და Slack, რათა ინციდენტების მართვის პროცესი გამართულად იმუშაოს.
კომუნიკაციასა და სხვა პროგრამებს შორის გადართვას დრო სჭირდება და არსებობს შანსი, რომ გამოტოვოთ მნიშვნელოვანი ინფორმაცია.
ფონური მონაცემების შეგროვებისა და შემთხვევების ავტომატური განახლების მეშვეობით, ინციდენტების მართვის ავტომატური გადაწყვეტა გაამარტივებს პროცედურას. იმავდროულად, გუნდს შეუძლია რეალურ დროში შეამოწმოს ანგარიშები და აქტივობები.
ახლა დროა გადავხედოთ კიბერუსაფრთხოების ინციდენტების მართვას და მის საუკეთესო პრაქტიკას.
კიბერუსაფრთხოების ინციდენტების მართვა
უსაფრთხოების რისკების ან მოვლენების რეალურ დროში მონიტორინგი, ადმინისტრირება, აღრიცხვა და ანალიზი ცნობილია როგორც კიბერუსაფრთხოების ინციდენტების მართვა. ის მიზნად ისახავს უზრუნველყოს მკაცრი და საფუძვლიანი მიმოხილვა უსაფრთხოების ნებისმიერი რისკის შესახებ, რომელიც შეიძლება არსებობდეს IT სისტემაში.
უსაფრთხოების ღონისძიება შეიძლება განსხვავდებოდეს აქტიური საფრთხისგან, შეჭრის მცდელობისგან, წარმატებული შეღწევისგან ან მონაცემთა გაჟონვისგან.
უსაფრთხოების საკითხების რამდენიმე შემთხვევა მოიცავს პოლიტიკის დარღვევას და მონაცემებზე უკანონო წვდომას, მათ შორის ჩანაწერებს, მათ შორის სოციალური უსაფრთხოების ნომრებს, ფინანსურ ინფორმაციას, ჯანმრთელობის შესახებ ინფორმაციას და პერსონალურად იდენტიფიცირებულ ინფორმაციას.
კიბერუსაფრთხოების ინციდენტების მართვის პროცესი
ორგანიზაციები ახორციელებენ პოლიტიკას, რომელიც მათ საშუალებას აძლევს სწრაფად იდენტიფიცირება, რეაგირება და შერბილება ამ სახის ინციდენტების დროს, აძლიერებს მათ მდგრადობას და დაიცვან მომავალი ინციდენტებისაგან, რადგან კიბერუსაფრთხოების საფრთხეები კვლავ იზრდება მოცულობისა და დახვეწილობის გამო.
უსაფრთხოების ინციდენტების მართვის მიზნით, გამოიყენება ტექნიკის, პროგრამული უზრუნველყოფის და ადამიანზე ორიენტირებული კვლევისა და ანალიზის კომბინაცია.
გაფრთხილება, რომ მოხდა მოვლენა და ინციდენტზე რეაგირების ჯგუფის გააქტიურება, ხშირად პირველი ნაბიჯებია უსაფრთხოების ინციდენტების მართვის პროცედურაში.
ამის შემდეგ, ინციდენტის რეაგირების თანამშრომლები შეისწავლიან და შეაფასებენ სიტუაციას, რათა დადგინდეს მისი სიგანის, ზარალის გაზომვა და შემარბილებელი სტრატეგიის შექმნა.
გარანტირებისთვის, რომ IT გარემო მართლაც უსაფრთხოა, უნდა განხორციელდეს უსაფრთხოების ინციდენტების მართვის მრავალმხრივი გეგმა.
უსაფრთხოების ინციდენტების მართვის საუკეთესო პრაქტიკა
უსაფრთხოების ინციდენტების მართვის პროცედურა უნდა დაიგეგმოს ყველა ზომისა და ფორმის ორგანიზაციის მიერ. შეიმუშავეთ უსაფრთხოების ინციდენტების მართვის საფუძვლიანი გეგმა ამ საუკეთესო პრაქტიკის პრაქტიკაში გამოყენებით:
- შექმენით ვრცელი სასწავლო პროგრამა, რომელიც ითვალისწინებს უსაფრთხოების ინციდენტების მართვის პროცესებისთვის საჭირო ყველა ამოცანას. თანმიმდევრულად განათავსეთ თქვენი უსაფრთხოების ინციდენტების მართვის გეგმა სატესტო სცენარების მეშვეობით და შეიტანეთ ნებისმიერი საჭირო კორექტირება.
- უსაფრთხოების ნებისმიერი პრობლემის შემდეგ თქვენს ტრიუმფებსა და შეცდომებზე სწავლის მიზნით, გააკეთეთ ინციდენტის შემდგომი კვლევა. შემდეგ, საჭიროებისამებრ, შეიტანეთ ცვლილებები თქვენს უსაფრთხოების პროგრამაში და ინციდენტების მართვის პროცედურაში.
- შექმენით უსაფრთხოების ინციდენტების მართვის სტრატეგია და ნებისმიერი საჭირო პროცედურა, მათ შორის ინსტრუქციები, თუ როგორ უნდა მოიძებნოს, მოხსენებული, შეფასდეს და დამუშავდეს საკითხები. მოამზადეთ ნაბიჯების სია საფრთხის მიხედვით და გქონდეთ ხელმისაწვდომი. საჭიროებისამებრ განაახლეთ უსაფრთხოების ინციდენტების მართვის პოლიტიკა, განსაკუთრებით ადრინდელი შემთხვევებიდან მიღებული გაკვეთილების გათვალისწინებით.
- შექმენით ინციდენტზე რეაგირების ჯგუფი მკაფიოდ განსაზღვრული როლებითა და მოვალეობებით (ასევე ცნობილია როგორც CSIRT). სხვა დეპარტამენტების წარმომადგენლობის გარდა, როგორიცაა იურიდიული, კომუნიკაციები, ფინანსები და ბიზნესის მენეჯმენტი ან ოპერაციები, თქვენი ინციდენტზე რეაგირების ჯგუფი ასევე უნდა შეიცავდეს ფუნქციურ პოზიციებს IT/უსაფრთხოების დეპარტამენტიდან.
დასკვნა
და ბოლოს, ინციდენტების ავტომატური მენეჯმენტი დარწმუნდება, რომ გადაუდებელი საკითხების იდენტიფიცირება, განხილვა და განხილვა ხდება სწრაფი და ეფექტური გზით.
ავტომატიზაცია შესაძლებელს ხდის ინციდენტების მართვის გადაწყვეტილებებს ერთმანეთთან ურთიერთქმედებას და ხელს უწყობს რეალურ დროში კომუნიკაციას სისტემებში.
ყველა დეპარტამენტი გაერთიანებულია ავტომატიზაციის საშუალებით, რომელიც არღვევს საზღვრებს IT ოპერაციების (ITOps) გუნდებს შორის. გუნდებს აქვთ სრული წვდომა ინციდენტის სტატუსის შესახებ ინფორმაციაზე, რათა დარწმუნდნენ, რომ შესაბამისი ხალხი ახორციელებს ინციდენტებს.
გუნდები იყენებენ ავტომატიზაციას ინციდენტების მართვის პროცესის გასამარტივებლად და გასაუმჯობესებლად, რადგან IT პრობლემები უფრო გავრცელდება.
კიბერუსაფრთხოების კონტექსტში ინციდენტების მართვა არის კიბერუსაფრთხოებასთან დაკავშირებული უსაფრთხოების რისკებისა და ინციდენტების ადგილმდებარეობის, კონტროლის, დოკუმენტირებისა და შეფასების პროცესი რეალურ სამყაროში.
ეს არის გადამწყვეტი ღონისძიება, რომელიც უნდა განხორციელდეს როგორც კიბერ კრიზისის შემდეგ, ასევე მანამ, სანამ IT სისტემას მოხვდება.
დატოვე პასუხი