Turinys[Slėpti][Rodyti]
Vidinių problemų gali kilti kiekvienoje organizacijoje. Neišvengiama, kad įrenginiai sugestų, programinė įranga reikalauja priežiūros ir dingsta daiktai.
Įdiegę incidentų valdymo procedūrą, kuri gali nustatyti problemų prioritetus, užtikrinti skaidrumą ir padėti jūsų komandai greitai išspręsti bet kokias problemas, galite veiksmingai išspręsti šias problemas ir daug daugiau.
Norėdami tai padaryti dideliu mastu, turite naudoti automatizuotą incidentų valdymo sistemą.
Šiame straipsnyje išsamiai apžvelgsime automatizuotą incidentų valdymą, aptarsime jo tikslus ir reikšmę, išnagrinėsime kibernetinio saugumo incidentų valdymo tvarką ir dar daugiau.
Pirmiausia pradėsime suprasti incidentų valdymą ir pereisime prie automatinio incidentų valdymo.
Incidentų valdymas
Reagavimas į nenumatytą įvykį ar paslaugos sutrikimą ir paslaugos grąžinimas į jos veikimo būseną tvarkomas per incidentų valdymą. Svarbiausias kiekvieno įvykio aspektas yra greitas jo sprendimas, todėl labai svarbu kodifikuoti ir sekti procesą.
Įvykio valdymo procese paprastai yra keturi žingsniai:
- Incidentų prioritetų nustatymas
- Reagavimas į incidentą
- Incidentų skirstymas į kategorijas
- Įvykio identifikavimas ir registravimas
Automatizuotas incidentų valdymas
Automatizuotas incidentų valdymas – tai reagavimo į incidentus automatizavimo praktika, siekiant užtikrinti, kad pagrindiniai įvykiai būtų identifikuojami ir sprendžiami veiksmingiausiu ir patikimiausiu būdu.
Laikas yra svarbus, kai kalbama apie incidentų valdymą. Taigi greitis yra pagrindinis automatizuoto incidentų valdymo privalumas. Automatizuojant daug laiko atimantis darbus galima atlikti žymiai greičiau.
Dėl to sutrumpėja reagavimo į incidentą laikas, o komanda gali laisvai susikoncentruoti į užduotis, kurioms reikalinga jų kompetencija.
Automatizuotas reagavimas į incidentus
Kai išgirstate žodį „Reagavimas į incidentus“, tai reiškia organizacijos gebėjimą aptikti, ištirti ir sušvelninti užpuolimus ir pažeidimus.
Žmogiškieji komponentai praeityje dažnai buvo naudojami eismo stebėjimui, įtariamai veiklai tirti, protokolams rašyti, kai atsiranda naujų pavojų ir pan.
Tačiau, kaip rodo pavadinimas, automatizuotas atsakas į incidentą pašalina žmogiškąjį elementą iš lygties.
Jis automatizuoja varginančias operacijas, pagreitina grėsmių aptikimą ir reagavimą bei užtikrina visą parą veikiančią gynybą, suteikdama jūsų SOC komandai laiko ir erdvės išplėsti ir kitais būdais sustiprinti jūsų saugos poziciją.
Daugiau apie kibernetinio saugumo incidentų valdymą bus aptarta toliau straipsnyje.
Automatizuoto incidentų valdymo svarba
Agentai dabar gali daugiau dėmesio skirti nelaimingų atsitikimų valdymui.
Tvarkydami įvykius rankiniu būdu, agentai dažniau įves duomenis daugiau nei vieną kartą ir dažniau padarys klaidų (pvz., nepakeis problemos būsenos sistemoje).
Jūsų agentams nereikės perjungti programų ar atlikti neautomatinių operacijų, jei jie naudos automatinį problemų valdymo sprendimą.
Kaip alternatyvą, jie gali nukreipti tą laiką, kad greitai išspręstų daugiau problemų, o tai labai padidintų klientų ir darbuotojų pasitenkinimą.
Sumažėjo klaidingų teigiamų rezultatų
Įspėjimai yra ir naudingi, ir problemiški valdant incidentus. Klaidingai teigiami pranešimai dažnai įtraukiami į esamus ir veiksmingus perspėjimus, kurie gali sukelti darbuotojų perspėjimo nuovargį, nes juos nutirpsta nuolatinė įspėjimų gausa.
Automatiniai įrankiai įvertina įspėjimus ir nukreipia juos atitinkamiems komandos nariams, taupydami laiką ir išteklius.
Darbuotojai gali jį naudoti norėdami patogiai sekti savo bilietų būseną.
Dauguma jūsų darbuotojų nori būti informuoti apie kiekvieną jų keliamą susirūpinimą. Automatizuotas incidentų valdymas leis užtikrinti jiems reikalingą skaidrumą. Kaip?
Kiekvienu bilieto naudojimo momentu, nuo jo priskyrimo agentui iki jo išsprendimo, pateikęs bilietą darbuotojas gali būti įspėjamas per pokalbį.
Darbuotojui nereikės prašyti agentų atnaujinti būseną ir jis visada bus informuotas neapsilankęs konkrečioje programoje.
Pagrindinės automatizuoto incidentų valdymo galimybės
- Norint sumažinti triukšmą, pvz., klaidingus aliarmus, galima naudoti grupavimo ir modelių derinimo algoritmus.
- Atpažinkite modelius, kol jie neturi įtakos, dėl kurios tikėtini gedimai.
- Atkreipkite dėmesį į kelių kintamųjų nukrypimus, kurie viršija statines ribas arba skaitinius iškrypimus, kad galėtumėte aktyviai nustatyti anomaalias aplinkybes ir elgesį ir susieti juos su verslo pasekmėmis.
- Apibrėžkite priežastinį ryšį, nustatykite galimą įvykių šaltinį naudodami topologiją ir ML ir susiekite šias problemas su kliento kelione, naudodami sprendimų medžius, atsitiktinius miškus ir grafiko analizę.
- Skatinkite įprastų, mažos ar vidutinės rizikos užduočių automatizavimą. Nereikia kurti ryšių su kitomis sistemomis, darbo eigos variklis leidžia išspręsti neatidėliotinas ir jūsų kontroliuojamas problemas.
- Nustatykite problemų prioritetą ir pasiūlykite galimus sprendimus tiesiogiai arba integruojant, remiantis ankstesne patirtimi. Kad problemos nepasikartotų, saugykloje stebėkite, su kuo buvo susisiekta per visą įvykių seką.
- Pokalbių robotai ir virtualūs palaikymo asistentai (VSA) gali būti naudojami siekiant padidinti vartotojo efektyvumą ir automatizuoti pasikartojančius darbus, tuo pačiu demokratizuojant prieigą prie informacijos.
Pavyzdys
Dvi situacijų kategorijos, kurioms labiausiai naudinga automatizuojant incidentų valdymą, yra tos, kurios yra labai svarbios ir paprastos. Techninės problemos, kurios tiesiogiai veikia klientus, yra laiko kritinio įvykio pavyzdys.
Norite kuo greičiau išspręsti problemą, jei nukentėjo jūsų klientas. Ir atvirkščiai, toks paprastas įvykis kaip spausdintuvo ryšio problema taip pat gali būti automatizuotas.
Tprocedūra paprasta, sprendimas galimas nedalyvaujant asmeniui.
Kaip automatizuoti incidentų valdymo procesą?
1. Sukurkite incidentų valdymo darbo eigą.
Norėdami automatizuoti incidentų valdymo procedūrą, pirmiausia turite sukurti incidentų valdymo darbo eigą.
Incidento darbo eiga, kartais vadinama įvykio gyvavimo ciklu, išsamiai apibūdina nuoseklius veiksmus, vykstančius po įvykio. Pagrindiniai incidento darbo eigos veiksmai yra tokie:
- Identifikacija
- Prioritetų nustatymas
- atsakymas
- rezoliucija
Incidentų valdymo gyvavimo ciklas kiekvienai įmonei yra skirtingas ir yra pritaikytas pagal tai.
Veiksmingos incidentų valdymo darbo eigos kūrimo paslaptis yra gauti visų dalyvaujančių šalių indėlį, dokumentuoti visus jų atliekamus veiksmus ir surinkti visą reikalingą informaciją.
Tikriausiai kils daug nesutarimų, kaip atlikti užduotis ir rinkti duomenis, tačiau procesas turi viską išdėstyti į perspektyvą. Todėl prieš automatizuojant darbo eigą reikėtų planuoti.
2. Incidentų prioritetų nustatymo nuoseklumas
Kitas etapas yra vienodas incidentų prioritetų nustatymas. Kad galėtumėte tinkamai reaguoti, turite žinoti apie problemos sunkumą ir pagrindinį šaltinį. Incidentų prioritetų nustatymo matrica yra įprastas įrankis, kurį naudoja organizacijos.
Įvykio prioriteto matrica naudoja skaitinę skalę nuo P1 iki P5, kad įvertintų įvykio svarbą ir atitinkamą veiksmą.
P1 laikomas itin svarbiu ir reikalauja momentinės reakcijos. Serverio problema, dėl kurios gali sustoti visa sistema, yra P1 įvykio pavyzdys.
Kai slenkate žemyn pagal prioritetų skalę, epizodų svarba / skubumas mažėja. Siekdama sukurti P1–P5 įvykių standartą, organizacija palaipsniui renka rizikos duomenis, kuriuos galima įvertinti.
Visi turi sutikti su požiūriu, ir tai yra labai svarbu.
3. Automatizuoti Runbooks
„Runbooks“, dažnai vadinamos žaidimų knygelėmis, yra vadovai, kuriuose aprašoma, kaip žingsnis po žingsnio atlikti tam tikras užduotis. Išsamiai nustačius dažnos veiklos žingsnius, žaidimų knygelės yra skirtos sumažinti pažinimo naštą.
„Runbook“ automatizavimas žengia dar vieną žingsnį ir sumažina darbo sąnaudas, įtraukdama į procesą programinę įrangą, kuri automatiškai atlieka veiksmą, kai to reikalauja tam tikros aplinkybės.
Runbooks ne tik taupo laukimo laiką, bet ir standartizuoja bei pagerina proceso nuoseklumą.
4. Duomenų rinkimas retrospektyvoms
Duomenų rinkimas yra svarbus incidentų valdymo etapas.
Komanda turi užtikrinti, kad per visą incidentų valdymo procesą būtų renkami duomenys realiuoju laiku, kad būtų galima sukurti incidentų retrospektyvas ir sumažinti incidento poveikį ateityje.
Duomenų rinkimas pradedamas iškart, kai tik pranešama apie įvykį. Perspėjimo procesai užmezga ryšį su asmenimis, kurių reikia, kad būtų galima pradėti reaguoti, kai tik įvykis nustatomas arba aptinkamas stebėjimo technologijomis.
Stebėjimo ir stebėjimo technologijos renka duomenis incidentų valdymo proceso metu. Turėtų būti įmanoma prieiga prie duomenų realiuoju laiku, kad vėliau galėtumėte juos panaudoti retrospektyviai analizei.
5. Integruokite trečiosios šalies programinę įrangą į procesą ir centralizuokite
Turite veikti kaip tarpininkas ir sąsaja su išorinėmis sistemomis, tokiomis kaip JIRA ir Slack, kad incidentų valdymo procesas veiktų tinkamai.
Tai užtrunka, ir yra tikimybė, kad galite praleisti svarbią informaciją, kad galėtumėte perjungti komunikacijos programas ir kitas programas.
Renkant foninius duomenis ir automatiškai atnaujinant įvykius, automatizuotas incidentų valdymo sprendimas supaprastins procedūrą. Tuo tarpu komanda gali nagrinėti ataskaitas ir veiklą realiuoju laiku.
Dabar atėjo laikas pažvelgti į kibernetinio saugumo incidentų valdymą ir geriausią praktiką.
Kibernetinio saugumo incidentų valdymas
Saugumo rizikos ar įvykių stebėjimas, administravimas, registravimas ir analizė realiuoju laiku yra žinomas kaip kibernetinio saugumo incidentų valdymas. Juo siekiama pateikti tikslią ir išsamią bet kokios saugumo rizikos, kuri gali kilti IT sistemoje, apžvalgą.
Saugos įvykis gali skirtis nuo aktyvios grėsmės, bandymo įsilaužti, sėkmingo įsiskverbimo ar duomenų nutekėjimo.
Keletas saugumo problemų atvejų apima politikos pažeidimus ir neteisėtą prieigą prie duomenų, įskaitant įrašus, įskaitant socialinio draudimo numerius, finansinę informaciją, informaciją apie sveikatą ir asmenį identifikuojančią informaciją.
Kibernetinio saugumo incidentų valdymo procesas
Organizacijos įgyvendina politiką, kuri leidžia joms greitai nustatyti, reaguoti ir sušvelninti tokio pobūdžio incidentus, kartu stiprinant jų atsparumą ir apsisaugant nuo būsimų incidentų, nes kibernetinio saugumo grėsmių apimtys ir sudėtingumas ir toliau didėja.
Siekiant valdyti saugumo incidentus, naudojamas techninės, programinės įrangos ir žmogaus atliekamų tyrimų bei analizės derinys.
Įspėjimas, kad įvyko įvykis, ir reagavimo į incidentą komandos aktyvinimas dažnai yra pirmieji saugumo incidentų valdymo procedūros žingsniai.
Po to incidento pareigūnai išnagrinės ir įvertins situaciją, kad išsiaiškintų jos plotį, įvertins žalą ir sukurs švelninimo strategiją.
Siekiant užtikrinti, kad IT aplinka tikrai būtų saugi, turi būti sukurtas daugialypis saugumo incidentų valdymo planas.
Geriausia saugumo incidentų valdymo praktika
Saugumo incidentų valdymo procedūrą turi planuoti visų dydžių ir formų organizacijos. Sukurkite išsamų saugumo incidentų valdymo planą, praktiškai taikydami šią geriausią praktiką:
- Sukurkite išsamią mokymo programą, apimančią kiekvieną užduotį, reikalingą saugumo incidentų valdymo procesams. Nuosekliai išbandykite savo saugos incidentų valdymo planą ir atlikite reikiamus pakeitimus.
- Norėdami pasimokyti iš savo triumfų ir klaidų po bet kokių saugumo problemų, atlikite tyrimą po incidento. Tada, jei reikia, pakeiskite savo saugos programą ir incidentų valdymo procedūrą.
- Sukurkite saugumo incidentų valdymo strategiją ir visas būtinas procedūras, įskaitant instrukcijas, kaip reikia rasti, pranešti, įvertinti ir tvarkyti problemas. Paruoškite veiksmų sąrašą, atsižvelgdami į grėsmę, ir turėkite jį. Jei reikia, atnaujinkite saugos incidentų valdymo politiką, ypač atsižvelgiant į ankstesnių įvykių pamokas.
- Sukurkite reagavimo į incidentus komandą su aiškiai apibrėžtais vaidmenimis ir pareigomis (taip pat žinomas kaip CSIRT). Be atstovavimo iš kitų departamentų, pvz., teisės, ryšių, finansų ir verslo valdymo ar operacijų, jūsų reagavimo į incidentus komandoje taip pat turėtų būti IT / saugos skyriaus funkcinių pareigybių.
Išvada
Galiausiai, automatizuotas incidentų valdymas užtikrina, kad neatidėliotinos problemos būtų nustatomos, sprendžiamos ir sprendžiamos greitai ir veiksmingai.
Automatizavimas leidžia incidentų valdymo sprendimams sąveikauti tarpusavyje ir skatina ryšį realiuoju laiku visose sistemose.
Visi padaliniai yra sujungti naudojant automatizavimą, kuris suardo ribas tarp IT operacijų (ITOps) komandų. Komandos turi visišką prieigą prie informacijos apie incidentų būseną, kad užtikrintų, jog incidentus tvarko atitinkami žmonės.
Komandos naudoja automatizavimą, kad supaprastintų ir pagerintų incidentų valdymo procesą, nes IT problemos vis labiau paplitusios.
Incidentų valdymas kibernetinio saugumo kontekste – tai saugumo rizikos ir incidentų, susijusių su kibernetiniu saugumu realiame pasaulyje, buvimo vietos nustatymo, kontrolės, dokumentavimo ir įvertinimo procesas.
Tai itin svarbi priemonė, kurios reikia imtis ir po kibernetinės krizės, ir prieš ją užklupus IT sistemą.
Palikti atsakymą