Мазмұны[Жасыру][Көрсету]
- Оқиғаларды басқару
- Оқиғаларды автоматтандырылған басқару
- Оқиғаға автоматтандырылған жауап
- Оқиғаларды автоматтандырылған басқарудың негізгі мүмкіндіктері
- мысал
- Киберқауіпсіздік инциденттерін басқару
- Киберқауіпсіздік инциденттерін басқару процесі
- Қауіпсіздік оқиғаларын басқарудың үздік тәжірибелері
- қорытынды
Ішкі мәселелер кез келген ұйымда болуы мүмкін. Құрылғылардың бұзылуы, бағдарламалық қамтамасыз етудің техникалық қызмет көрсетуді қажет етуі және заттардың жоғалуы сөзсіз.
Мәселелерге басымдық беретін, ашықтықты ұсынатын және командаңызға кез келген мәселені тез арада шешуге көмектесетін оқиғаларды басқару процедурасын қабылдау осы және басқа да көптеген мәселелерді тиімді шешуге көмектеседі.
Мұны кең ауқымда орындау үшін оқиғаларды басқарудың автоматтандырылған жүйесін пайдалану керек.
Бұл мақалада біз инциденттерді автоматтандырылған басқаруды егжей-тегжейлі қарастырамыз, оның мақсаттары мен маңыздылығын талқылаймыз, киберқауіпсіздік оқиғаларын басқару тәртібін және т.б. қарастырамыз.
Біріншіден, біз оқиғаларды басқаруды түсінуді бастаймыз және одан әрі оқиғаларды автоматтандырылған басқаруға көшеміз.
Оқиғаларды басқару
Күтпеген жағдайға немесе қызметтің бұзылуына әрекет ету және қызметті оның жұмыс жағдайына қайтару оқиғаларды басқару арқылы өңделеді. Әрбір оқиғаның ең маңызды аспектісі оның жедел шешілуі болып табылады, сондықтан процесті кодификациялау және қадағалау өте маңызды.
Оқиғаларды басқару процесінде әдетте төрт қадам бар:
- Оқиғаға басымдық беру
- Оқиғаға жауап беру
- Оқиғаларды санаттау
- Оқиғаларды анықтау және тіркеу
Оқиғаларды автоматтандырылған басқару
Автоматтандырылған инциденттерді басқару - бұл негізгі оқиғаларды анықтау және олармен барынша тиімді және сенімді түрде күресу үшін оқиғаға жауап беруді автоматтандыру тәжірибесі.
Оқиғаларды басқаруға келгенде уақыт маңызды. Демек, жылдамдық автоматтандырылған оқиғаларды басқарудың басты артықшылығы болып табылады. Уақытты қажет ететін жұмыстарды автоматтандыру арқылы тезірек аяқтауға болады.
Нәтижесінде оқиғаға жауап беру уақыты қысқарады және топ өз тәжірибесін талап ететін тапсырмаларға зейін қоя алады.
Оқиғаға автоматтандырылған жауап
«Оқиғаға жауап беру» сөзін естігенде, ол ұйымның шабуылдар мен бұзушылықтарды анықтау, тергеу және азайту мүмкіндігін білдіреді.
Бұрын адам құрамдас бөліктері трафикті бақылау, күдікті әрекеттерді тексеру, жаңа қауіптер пайда болған кезде хаттамалар жазу және т.б. үшін жиі қолданылған.
Дегенмен, аты айтып тұрғандай, автоматтандырылған оқиғаға жауап теңдеуден адам элементін жояды.
Ол жалықтыратын операцияларды автоматтандырады, қауіпті анықтау мен оған жауап беруді жылдамдатады және тәулік бойы қорғанысты қамтамасыз етеді, бұл сіздің SOC командасына қауіпсіздік ұстанымыңызды басқа жолдармен кеңейту және жақсарту үшін уақыт пен кеңістік береді.
Киберқауіпсіздік оқиғаларын басқару туралы толығырақ мақалада одан әрі қарастырылады.
Оқиғаларды автоматтандырылған басқарудың маңыздылығы
Агенттер енді жазатайым оқиғаларды өңдеуге көбірек көңіл бөле алады.
Оқиғаларды қолмен өңдеу кезінде агенттер деректерді бірнеше рет енгізу ықтималдығы жоғары және қателер жасау ықтималдығы жоғары (мысалы, жүйедегі мәселенің күйін өзгерте алмау).
Мәселелерді басқарудың автоматтандырылған шешімін пайдаланса, агенттер қолданбалар арасында ауысуы немесе қолмен орындалатын әрекеттерді орындаудың қажеті болмайды.
Балама ретінде олар клиент пен қызметкерлердің қанағаттануын жоғарылататын көбірек мәселелерді жедел шешу үшін сол уақытты қайта бағыттай алады.
Жалған позитивтер азайған
Оқиғаларды басқаруда ескертулер пайдалы және проблемалы болып табылады. Жалған-оң хабарландырулар жиі нақты және әрекет ететін ескертулер қатарына қосылады, бұл жұмысшыларды ескертулердің тұрақты тосқауылына ұшыратып, ескертулердің шаршауын тудыруы мүмкін.
Автоматтандырылған құралдар ескертулерді бағалайды және уақыт пен ресурстарды үнемдей отырып, оларды тиісті топ мүшелеріне бағыттайды.
Қызметкерлер оны билеттерінің күйін бақылау үшін пайдалана алады.
Сіздің қызметкерлеріңіздің көпшілігі өздерін толғандырған әрбір мәселе туралы хабардар болғысы келеді. Оқиғаларды автоматтандырылған басқару оларға қажетті мөлдірлікті қамтамасыз етуге мүмкіндік береді. Қалай?
Билеттің қызмет ету мерзімінің әрбір нүктесінде, ол агентке тағайындалған кезден бастап ол шешілгенге дейін, билетті жібергеннен кейін қызметкерге чат арқылы ескертуге болады.
Қызметкер агенттерден күйді жаңартуды сұраудың қажеті жоқ және әрқашан белгілі бір қолданбаға бармай-ақ хабардар болады.
Оқиғаларды автоматтандырылған басқарудың негізгі мүмкіндіктері
- Кластерлеу және үлгіні сәйкестендіру алгоритмдерін қате дабылдар сияқты шуды азайту үшін пайдалануға болады.
- Үзілістердің болуы мүмкін әсер етпес бұрын үлгілерді тану.
- Аномальды жағдайлар мен мінез-құлықты проактивті анықтау және оларды бизнестің салдарымен байланыстыру үшін статикалық шектерден немесе сандық ауытқулардан асатын көп өзгермелі ауытқуларды ескеріңіз.
- Себеп-салдарлықты анықтаңыз, топология мен ML арқылы оқиғалардың ықтимал көзін анықтаңыз және бұл мәселелерді шешім ағаштарын, кездейсоқ ормандарды және графикалық талдауды пайдаланып тұтынушы сапарына байланыстырыңыз.
- Күнделікті, төмен және орташа қауіпті тапсырмаларды автоматтандыруға ықпал ету. Басқа жүйелерге қосылымдар жасауды қажет етпей, жұмыс процесі механизмі шұғыл және сіздің бақылауыңыздағы мәселелерді шешуге мүмкіндік береді.
- Мәселелердің басымдылығын анықтаңыз және мүмкін шешімдерді тікелей немесе бұрынғы тәжірибелерге негізделген интеграция арқылы ұсыныңыз. Мәселелердің қайталануын болдырмау үшін репозиторийде түзету үшін оқиғалардың бүкіл тізбегі кезінде кімге хабарласқанын қадағалаңыз.
- Чат-боттар мен виртуалды қолдау көмекшілері (VSA) пайдаланушының тиімділігін арттыру және ақпаратқа қол жеткізуді демократияландыру кезінде қайталанатын жұмыстарды автоматтандыру үшін пайдаланылуы мүмкін.
мысал
Оқиғаларды басқарудағы автоматтандырудың ең көп пайдасын көретін жағдайлардың екі санаты - уақытты қажет ететін және қарапайым. Тұтынушыларға тікелей әсер ететін техникалық мәселелер уақыт бойынша маңызды оқиғаның мысалы болып табылады.
Тұтынушыға әсер етсе, мәселені мүмкіндігінше тезірек тоқтатқыңыз келеді. Керісінше, принтердің қосылу мәселесі сияқты қарапайым оқиға да автоматтандырылуы мүмкін.
TБұл процедура қарапайым және шешім адамның қатысуынсыз мүмкін.
Оқиғаларды басқару процесін қалай автоматтандыруға болады?
1. Оқиғаларды басқару жұмыс процесін құрыңыз.
Оқиғаларды басқару процедурасын автоматтандыру үшін алдымен оқиғаны басқару жұмыс процесін жобалау керек.
Оқиғаның жұмыс процесі, кейде оқиғаның өмірлік циклі деп аталады, оқиғадан кейін орын алатын дәйекті қадамдарды егжей-тегжейлі көрсетеді. Оқиғаның жұмыс үрдісінің негізгі қадамдары төмендегідей:
- Сәйкестендіру
- Басымдылық
- Жауап
- Ажыратымдылық
Оқиғаларды басқарудың өмірлік циклі әрбір бизнес үшін әртүрлі және соған сәйкес бейімделген.
Оқиғаларды басқарудың тиімді жұмыс процесін құрудың құпиясы - барлық қатысушы тараптардан кіріс алу, олар жасайтын барлық әрекеттерді құжаттау және барлық қажетті ақпаратты жинау.
Тапсырмаларды орындау және деректерді қалай жинау керектігі туралы көптеген келіспеушіліктер болуы мүмкін, бірақ процесс бәрін перспективаға қою керек. Осы себепті автоматтандырылғанға дейін жұмыс процесі осылайша бортта көрсетілуі керек.
2. Оқиғаға басымдық берудегі жүйелілік
Оқиғаларға біркелкі басымдық беру келесі кезең болып табылады. Дұрыс әрекет ету үшін мәселенің ауырлығы мен негізгі көзін білуіңіз керек. Оқиғалардың басымдылығын анықтау матрицасы ұйымдар қолданатын жалпы құрал болып табылады.
Оқиға басымдылығы матрицасы оқиғаның маңыздылығын және сәйкес әрекетті сандық бағалау үшін P1-P5 сандық шкаласын пайдаланады.
P1 ең маңызды болып саналады және жедел реакцияны талап етеді. Бүкіл жүйенің жұмысын тоқтатуы мүмкін сервер мәселесі P1 оқиғасының суреті болып табылады.
Басымдық шкаласын төмен жылжытқанда, эпизодтардың маңыздылығы/шұғылдығы төмендейді. P1 және P5 оқиғаларының стандартын жасау үшін ұйым бағалауға болатын тәуекел деректерін біртіндеп жинайды.
Әркім бұл тәсілмен келісу керек және бұл өте маңызды.
3. Автоматтандырылған Runbooks
Көбінесе ойын кітаптары деп аталатын Runbook кітаптары белгілі бір тапсырмаларды кезең-кезеңімен орындау жолын сипаттайтын нұсқаулықтар болып табылады. Жиі әрекеттердің қадамдарын егжей-тегжейлі көрсету арқылы ойын кітаптары когнитивті жүктемені азайтуға арналған.
Runbook автоматтандыру бір қадам алға жылжып, белгілі бір жағдай туындаған кезде қадамды автоматты түрде орындайтын процеске бағдарламалық құралды қосу арқылы еңбекті азайтады.
Runbooks күту уақытын үнемдеп қана қоймайды, сонымен қатар процестің жүйелілігін стандарттайды және жақсартады.
4. Ретроспективалар үшін деректерді жинау
Мәліметтерді жинау инциденттерді басқарудың маңызды кезеңі болып табылады.
Оқиғаның ретроспективасын жасау және алдағы уақытта оқиғаның әсерін азайту үшін команда оқиғаны басқару процесі барысында нақты уақыттағы деректердің жиналып жатқанына көз жеткізуі керек.
Деректер жинау оқиға туралы хабарланған бойда басталады. Ескерту процестері оқиға анықталған немесе бақылау технологиялары арқылы анықталған бойда жауап беруді бастау үшін қажетті адамдармен байланыс орнатады.
Мониторинг және бақылау технологиялары инциденттерді басқару процесі кезінде деректерді жинайды. Деректерге нақты уақытта қол жеткізу мүмкін болуы керек, бұл оны кейін ретроспективті талдаулар үшін пайдалануға мүмкіндік береді.
5. Процесске үшінші тарап бағдарламалық жасақтамасын біріктіру және оны орталықтандыру
Оқиғаларды басқару процесі дұрыс жұмыс істеуі үшін сіз JIRA және Slack сияқты сыртқы жүйелермен делдал және интерфейс ретінде әрекет етуіңіз керек.
Бұл уақытты талап етеді және маңызды ақпаратты жіберіп алу, байланыс пен басқа бағдарламалар арасында ауысу мүмкіндігі бар.
Фондық деректерді жинау және оқиғаларды автоматты түрде жаңарту арқылы инциденттерді басқарудың автоматтандырылған шешімі процедураны жеңілдетеді. Сонымен қатар, команда нақты уақыт режимінде есептер мен әрекеттерді тексере алады.
Енді киберқауіпсіздік оқиғаларын басқару және оның ең жақсы тәжірибелерін қарастыратын кез келді.
Киберқауіпсіздік инциденттерін басқару
Қауіпсіздік тәуекелдерін немесе оқиғаларын нақты уақыттағы бақылау, басқару, тіркеу және талдау киберқауіпсіздік инциденттерін басқару ретінде белгілі. Ол АТ жүйесінде болуы мүмкін кез келген қауіпсіздік тәуекелдерін мұқият және мұқият шолуды қамтамасыз етуге бағытталған.
Қауіпсіздік оқиғасы белсенді қауіптен, басып кіру әрекетінен, сәтті енуден немесе деректердің ағып кетуінен болуы мүмкін.
Қауіпсіздік мәселелерінің бірнеше мысалдары саясатты бұзу және деректерге заңсыз қол жеткізуді, соның ішінде әлеуметтік қауіпсіздік нөмірлерін, қаржылық ақпаратты, денсаулық туралы ақпаратты және жеке тұлғаны анықтауға болатын ақпаратты қамтитын жазбаларды қамтиды.
Киберқауіпсіздік инциденттерін басқару процесі
Ұйымдар киберқауіпсіздік қатерлерінің көлемі мен күрделілігі артып келе жатқандықтан, олардың тұрақтылығын нығайта отырып және болашақ инциденттерден қорғай отырып, осындай инциденттерді жылдам анықтауға, оларға ден қоюға және азайтуға мүмкіндік беретін саясатты жүзеге асыруда.
Қауіпсіздік инциденттерін басқару үшін аппараттық құралдар, бағдарламалық қамтамасыз ету және адам басқаратын зерттеулер мен талдаулар жиынтығы қолданылады.
Оқиғаның орын алғаны туралы ескерту және оқиғаға әрекет ету тобын белсендіру көбінесе қауіпсіздік оқиғасын басқару процедурасының алғашқы қадамдары болып табылады.
Осыдан кейін оқиғаға жауап берушілер оның ауқымын анықтау, залалдарды өлшеу және азайту стратегиясын жасау үшін жағдайды қарастырады және бағалайды.
АТ ортасының шынымен қауіпсіз екендігіне кепілдік беру үшін қауіпсіздік инциденттерін басқарудың көп қырлы жоспарын енгізу қажет.
Қауіпсіздік оқиғаларын басқарудың үздік тәжірибелері
Қауіпсіздік оқиғаларын басқару процедурасы барлық өлшемдегі және пішіндегі ұйымдар үшін жоспарлануы керек. Осы ең жақсы тәжірибелерді тәжірибеге енгізу арқылы қауіпсіздік инциденттерін басқарудың мұқият жоспарын жасаңыз:
- Қауіпсіздік оқиғаларын басқару процестері талап ететін әрбір тапсырманы қарастыратын кеңейтілген оқу бағдарламасын жасаңыз. Қауіпсіздік оқиғасын басқару жоспарын сынақ сценарийлері арқылы жүйелі түрде енгізіңіз және кез келген қажетті түзетулерді енгізіңіз.
- Кез келген қауіпсіздік мәселесінен кейін жеңістеріңіз бен қателіктеріңізден сабақ алу үшін оқиғадан кейінгі зерттеуді жасаңыз. Содан кейін қажет болған жағдайда қауіпсіздік бағдарламасына және оқиғаларды басқару процедурасына өзгерістер енгізіңіз.
- Қауіпсіздік инциденттерін басқару стратегиясын және кез келген қажетті процедураларды, соның ішінде мәселелерді қалай табуға, хабарлауға, бағалауға және өңдеуге қатысты нұсқауларды жасаңыз. Қауіпке байланысты қадамдар тізімін дайындаңыз және оны қолжетімді етіңіз. Қауіпсіздік оқиғаларын басқару саясаттарын қажетінше жаңартыңыз, әсіресе бұрынғы оқиғалардан алынған сабақтарды ескере отырып.
- Нақты анықталған рөлдері мен міндеттері бар (сонымен қатар CSIRT ретінде белгілі) оқиғаға жауап беру тобын жасаңыз. Құқық, байланыс, қаржы және бизнесті басқару немесе операциялар сияқты басқа бөлімдердің өкілдіктерінен басқа, сіздің оқиғаға жауап беру тобыңыз АТ/қауіпсіздік бөлімінің функционалдық позицияларын қамтуы керек.
қорытынды
Соңында, автоматтандырылған инциденттерді басқару шұғыл мәселелердің анықталуын, оларға назар аударуын және тез және тиімді түрде шешілуін қамтамасыз етеді.
Автоматтандыру оқиғаларды басқару шешімдерінің бір-бірімен өзара әрекеттесуіне мүмкіндік береді және жүйелер бойынша нақты уақыттағы байланысты көтермелейді.
Барлық бөлімдер АТ операциялары (ITOps) топтары арасындағы шекараларды бұзатын автоматтандыру арқылы біріктірілген. Тиісті адамдардың инциденттермен айналысуын қамтамасыз ету үшін командалар оқиға күйі туралы ақпаратқа толық қол жеткізе алады.
Командалар инциденттерді басқару процесін жеңілдету және жақсарту үшін автоматтандыруды пайдаланады, өйткені АТ мәселелері кеңейеді.
Киберқауіпсіздік контекстіндегі инциденттерді басқару – бұл нақты әлемдегі киберқауіпсіздікке байланысты қауіпсіздік тәуекелдері мен инциденттерін табу, бақылау, құжаттау және бағалау процесі.
Бұл кибердағдарыстың АТ жүйесіне тигеннен кейін де, оған дейін де қабылданатын маңызды шара.
пікір қалдыру