Saturs[Paslēpt][Rādīt]
Iekšējas problēmas var rasties katrā organizācijā. Ir neizbēgami, ka ierīces sabojājas, programmatūrai būs nepieciešama apkope un lietas pazūd.
Negadījumu pārvaldības procedūras pieņemšana, kas var noteikt problēmu prioritāti, nodrošināt pārredzamību un palīdzēt jūsu komandai ātri tikt galā ar jebkuru problēmu, var palīdzēt efektīvi risināt šīs problēmas un daudz ko citu.
Lai to izdarītu plašā mērogā, jums ir jāizmanto automatizēta incidentu pārvaldības sistēma.
Šajā rakstā mēs detalizēti apskatīsim automatizēto incidentu pārvaldību, apspriedīsim tās mērķus un nozīmi, izpētīsim kiberdrošības incidentu pārvaldības procedūru un daudz ko citu.
Pirmkārt, mēs sāksim izprast incidentu pārvaldību un pāriesim uz automatizētu incidentu pārvaldību.
Krītošās Management
Reakcija uz neparedzētu notikumu vai pakalpojuma pārtraukumu un pakalpojuma atgriešana tā darbības stāvoklī tiek veikta, izmantojot incidentu pārvaldību. Katra notikuma vissvarīgākais aspekts ir tā ātra atrisināšana, tāpēc ir ļoti svarīgi kodificēt un sekot procesam.
Incidentu pārvaldības procesā parasti ir četri soļi:
- Starpgadījumu prioritāšu noteikšana
- Atbilde uz incidentu
- Incidentu kategorizēšana
- Incidentu identificēšana un reģistrēšana
Automatizēta incidentu pārvaldība
Automatizētā incidentu pārvaldība ir prakse, kas automatizē reaģēšanu uz incidentiem, lai nodrošinātu, ka galvenie notikumi tiek identificēti un risināti pēc iespējas efektīvākā un uzticamākā veidā.
Laiks ir svarīgs, kad runa ir par incidentu pārvaldību. Tādējādi ātrums ir galvenā automatizētās incidentu pārvaldības priekšrocība. Ar automatizāciju laikietilpīgus darbus var paveikt ievērojami ātrāk.
Tā rezultātā tiek saīsināts reaģēšanas laiks uz incidentiem, un komanda var brīvi koncentrēties uz uzdevumiem, kuriem nepieciešama viņu zināšanas.
Automatizēta reaģēšana uz incidentiem
Kad dzirdat vārdu “Incidentu reaģēšana”, tas attiecas uz organizācijas spēju atklāt, izmeklēt un mazināt uzbrukumus un pārkāpumus.
Agrāk cilvēku komponentes bieži tika izmantotas, lai uzraudzītu satiksmi, izmeklētu iespējamās darbības, rakstītu protokolus, kad parādās jaunas briesmas, un tā tālāk.
Tomēr, kā norāda nosaukums, automatizēta reakcija uz incidentu no vienādojuma noņem cilvēka elementu.
Tas automatizē nogurdinošas darbības, paātrina draudu noteikšanu un reaģēšanu, kā arī nodrošina diennakts aizsardzību, dodot jūsu SOC komandai laiku un vietu, lai citos veidos paplašinātu un uzlabotu jūsu drošības pozīciju.
Plašāka informācija par kiberdrošības incidentu pārvaldību tiks aplūkota tālāk rakstā.
Automatizētas incidentu pārvaldības nozīme
Aģenti tagad var vairāk koncentrēties uz negadījumu risināšanu.
Apstrādājot notikumus manuāli, aģenti, visticamāk, ievadīs datus vairāk nekā vienu reizi un biežāk pieļaus kļūdas (piemēram, nespēj mainīt problēmas statusu sistēmā).
Jūsu aģentiem nebūs jāpārslēdzas starp lietotnēm vai jāveic manuālas darbības, ja viņi izmantos automatizētu problēmu pārvaldības risinājumu.
Kā alternatīvu viņi var novirzīt šo laiku, lai nekavējoties risinātu vairāk problēmu, kas ievērojami palielinātu klientu un darbinieku apmierinātību.
Samazināts viltus pozitīvu rezultātu skaits
Brīdinājumi ir gan noderīgi, gan problemātiski incidentu pārvaldībā. Kļūdaini pozitīvi paziņojumi bieži tiek iekļauti faktiskos un izmantojamos brīdinājumos, kas var izraisīt darbinieku nogurumu, padarot viņus sastindzis pret pastāvīgo brīdinājumu straumi.
Automatizētie rīki novērtē brīdinājumus un novirza tos atbilstošiem komandas locekļiem, ietaupot laiku un resursus.
Darbinieki to var izmantot, lai ērti sekotu līdzi savu biļešu statusam.
Lielākā daļa jūsu darbinieku vēlas būt informēti par katru viņu uzdoto problēmu. Automatizētā incidentu pārvaldība ļaus jums nodrošināt viņiem nepieciešamo pārredzamību. Kā?
Katrā biļetes darbības laikā, sākot no brīža, kad tā ir piešķirta aģentam, līdz brīdim, kad tā ir atrisināta, darbinieks var tikt brīdināts, izmantojot tērzēšanu pēc biļetes iesniegšanas.
Darbiniekam nebūs jālūdz aģentiem statusa atjauninājums, un viņš vienmēr tiks informēts, neapmeklējot konkrētu lietojumprogrammu.
Galvenās automatizētās incidentu pārvaldības iespējas
- Klasterizācijas un modeļu saskaņošanas algoritmus var izmantot, lai samazinātu troksni, piemēram, kļūdainus trauksmes signālus.
- Atpazīstiet modeļus, pirms tiem ir ietekme, kas izraisa pārtraukumus.
- Ņemiet vērā daudzfaktoru novirzes, kas pārsniedz statiskos sliekšņus vai skaitliskās novirzes, lai proaktīvi identificētu anomālus apstākļus un uzvedību un saistītu tos ar uzņēmējdarbības sekām.
- Definējiet cēloņsakarību, identificējiet iespējamo notikumu avotu, izmantojot topoloģiju un ML, un piesaistiet šīs problēmas klienta ceļojumam, izmantojot lēmumu kokus, nejaušus mežus un grafiku analīzi.
- Veiciniet rutīnas, zema vai vidēja riska uzdevumu automatizāciju. Bez nepieciešamības izveidot savienojumus ar citām sistēmām, darbplūsmas programma ļauj risināt steidzamus un jūsu kontrolē esošus jautājumus.
- Nosakiet problēmu prioritāti un ierosiniet iespējamos risinājumus vai nu tieši, vai integrējot, pamatojoties uz iepriekšējo pieredzi. Lai izvairītos no problēmu atkārtošanās, repozitorijā sekojiet līdzi tam, ar ko sazinājās visas notikumu secības laikā, lai veiktu labošanu.
- Tērzēšanas robotus un virtuālos atbalsta palīgus (VSA) var izmantot, lai palielinātu lietotāju efektivitāti un automatizētu atkārtotus darbus, vienlaikus demokratizējot piekļuvi informācijai.
Piemērs
Divas situāciju kategorijas, kas visvairāk gūst labumu no incidentu pārvaldības automatizācijas, ir tās, kas ir kritiskas un vienkāršas. Tehniskas problēmas, kas tieši ietekmē klientus, ir laiks kritiskas notikuma piemērs.
Ja tas skar jūsu klientu, jūs vēlaties pēc iespējas ātrāk novērst problēmu. Un otrādi, vienkāršu notikumu, piemēram, printera savienojuma problēmu, var arī automatizēt.
Tprocedūra ir vienkārša, un risinājums ir iespējams bez personas iesaistīšanas.
Kā automatizēt incidentu pārvaldības procesu?
1. Izveidojiet incidentu pārvaldības darbplūsmu.
Lai automatizētu incidentu pārvaldības procedūru, vispirms ir jāizstrādā incidentu pārvaldības darbplūsma.
Incidenta darbplūsmā, ko dažkārt dēvē par notikuma dzīves ciklu, ir detalizēti aprakstītas secīgās darbības, kas notiek pēc notikuma. Negadījuma darbplūsmas primārās darbības ir šādas:
- Identifikācija
- Prioritāšu noteikšana
- Atbilde
- rezolūcija
Negadījumu pārvaldības dzīves cikls katram uzņēmumam ir atšķirīgs un ir pielāgots tam.
Efektīvas incidentu pārvaldības darbplūsmas izveides noslēpums ir iegūt informāciju no visām iesaistītajām pusēm, dokumentēt visas to veiktās darbības un apkopot visu nepieciešamo informāciju.
Iespējams, būs daudz domstarpību par uzdevumu veikšanu un datu ievākšanu, taču procesam viss ir jāliek perspektīvā. Tāpēc darbplūsma ir jāplāno, pirms tā tiek automatizēta šī iemesla dēļ.
2. Konsekvence incidentu prioritāšu noteikšanā
Nākamais posms ir vienveidīga prioritāšu noteikšana incidentiem. Lai pareizi reaģētu, jums ir jāapzinās problēmas smagums un pamatā esošais avots. Incidentu prioritāšu noteikšanas matrica ir izplatīts rīks, ko izmanto organizācijas.
Negadījuma prioritātes matrica izmanto P1 līdz P5 skaitlisko skalu, lai kvantitatīvi noteiktu notikuma un atbilstošās darbības nozīmi.
P1 tiek uzskatīts par ārkārtīgi svarīgu, un tam ir nepieciešama tūlītēja reakcija. Servera problēma, kas var apturēt visas sistēmas darbību, ir P1 gadījuma ilustrācija.
Virzoties uz leju prioritāšu skalā, epizožu nozīme/steidzamība samazinās. Lai izveidotu standartu P1 līdz P5 gadījumiem, organizācija pakāpeniski apkopo riska datus, kurus var novērtēt.
Ikvienam ir jāpiekrīt šai pieejai, un tas ir ļoti svarīgi.
3. Automatizēti izpildgrāmatas
Runbooks, ko bieži sauc par rokasgrāmatām, ir rokasgrāmatas, kurās aprakstīts, kā soli pa solim veikt noteiktus uzdevumus. Sīki izklāstot biežu darbību pasākumus, rokasgrāmatas ir izstrādātas, lai samazinātu kognitīvo slogu.
Runbook automatizācija iet soli tālāk un samazina darbaspēku, procesā iekļaujot programmatūru, kas darbību izpilda automātiski, kad to pieprasa noteikti apstākļi.
Runbooks ne tikai ietaupa gaidīšanas laiku, bet arī standartizē un uzlabo procesa konsekvenci.
4. Datu vākšana retrospekcijām
Datu vākšana ir svarīgs incidentu pārvaldības posms.
Komandai ir jāpārliecinās, ka visā incidentu pārvaldības procesā tiek apkopoti reāllaika dati, lai izveidotu incidentu retrospekciju un mazinātu incidenta ietekmi uz priekšu.
Datu vākšana sākas, tiklīdz tiek ziņots par notikumu. Brīdināšanas procesi sazinās ar personām, kas nepieciešamas, lai sāktu reaģēt, tiklīdz notikums tiek identificēts vai atklāts ar uzraudzības tehnoloģijām.
Monitoringa un novērojamības tehnoloģijas incidentu pārvaldības procesa laikā apkopo datus. Jābūt iespējai piekļūt datiem reāllaikā, ļaujot tos pēc tam izmantot retrospektīvām analīzēm.
5. Integrējiet procesā trešās puses programmatūru un centralizējiet to
Jums ir jādarbojas kā starpniekam un saskarnei ar ārējām sistēmām, piemēram, JIRA un Slack, lai incidentu pārvaldības process darbotos pareizi.
Tas prasa laiku, un pastāv iespēja, ka varat palaist garām svarīgu informāciju, lai pārslēgtos starp saziņas programmām un citām programmām.
Izmantojot fona datu vākšanu un automātisku notikumu atjaunināšanu, automatizēts incidentu pārvaldības risinājums racionalizēs procedūru. Tikmēr komanda var pārbaudīt pārskatus un darbības reāllaikā.
Tagad ir pienācis laiks apskatīt kiberdrošības incidentu pārvaldību un tās labāko praksi.
Kiberdrošības incidentu pārvaldība
Drošības risku vai notikumu reāllaika uzraudzība, administrēšana, reģistrēšana un analīze ir pazīstama kā kiberdrošības incidentu pārvaldība. Tā mērķis ir sniegt stingru un rūpīgu pārskatu par visiem drošības riskiem, kas varētu pastāvēt IT sistēmā.
Drošības notikums var būt no aktīva apdraudējuma, iebrukuma mēģinājuma, veiksmīgas iespiešanās vai datu noplūdes.
Daži drošības problēmu gadījumi ir politikas pārkāpumi un nelikumīga piekļuve datiem, tostarp ierakstiem, tostarp sociālās apdrošināšanas numuriem, finanšu informācijai, veselības informācijai un personu identificējošai informācijai.
Kiberdrošības incidentu pārvaldības process
Organizācijas ievieš politiku, kas ļauj tām ātri identificēt, reaģēt un mazināt šāda veida incidentus, vienlaikus stiprinot to noturību un aizsardzību pret turpmākiem incidentiem, jo kiberdrošības draudi turpina pieaugt un arvien sarežģītāk.
Lai pārvaldītu drošības incidentus, tiek izmantota aparatūras, programmatūras un cilvēku vadīta izpēte un analīze.
Brīdinājums, ka ir noticis notikums, un incidentu reaģēšanas komandas aktivizēšana bieži vien ir pirmie soļi drošības incidentu pārvaldības procedūrā.
Pēc tam avārijas seku likvidētāji izpētīs un novērtēs situāciju, lai noskaidrotu tās plašumu, novērtētu bojājumus un izveidotu seku mazināšanas stratēģiju.
Lai garantētu, ka IT vide patiešām ir droša, ir jāievieš daudzpusīgs drošības incidentu pārvaldības plāns.
Paraugprakse drošības incidentu pārvaldībai
Drošības incidentu pārvaldības procedūra ir jāplāno visu izmēru un formu organizācijām. Izstrādājiet rūpīgu drošības incidentu pārvaldības plānu, praksē ieviešot šādu paraugpraksi:
- Izveidojiet plašu apmācību programmu, kas risina katru uzdevumu, kas nepieciešams drošības incidentu pārvaldības procesiem. Konsekventi izmēģiniet drošības incidentu pārvaldības plānu un veiciet nepieciešamos pielāgojumus.
- Lai pēc jebkādas drošības problēmas mācītos no saviem triumfiem un kļūdām, veiciet pētījumu pēc incidenta. Pēc tam, ja nepieciešams, veiciet izmaiņas savā drošības programmā un incidentu pārvaldības procedūrā.
- Izveidojiet drošības incidentu pārvaldības stratēģiju un visas nepieciešamās procedūras, tostarp norādījumus par to, kā problēmas jāatrod, jāziņo, jānovērtē un jāapstrādā. Sagatavojiet darbību sarakstu atkarībā no apdraudējuma un nodrošiniet to. Atjauniniet drošības incidentu pārvaldības politikas pēc vajadzības, jo īpaši ņemot vērā pieredzi, kas gūta no iepriekšējiem gadījumiem.
- Izveidojiet incidentu reaģēšanas komandu ar skaidri noteiktām lomām un pienākumiem (pazīstama arī kā CSIRT). Papildus pārstāvniecībai no citiem departamentiem, piemēram, juridiskajām, komunikāciju, finanšu un biznesa vadības vai operācijām, jūsu incidentu reaģēšanas komandā jāiekļauj arī IT/drošības nodaļas funkcionālie amati.
Secinājumi
Visbeidzot, automatizētā incidentu pārvaldība nodrošina, ka steidzami jautājumi tiek identificēti, risināti un risināti ātri un efektīvi.
Automatizācija ļauj incidentu pārvaldības risinājumiem savstarpēji mijiedarboties un veicina reāllaika saziņu starp sistēmām.
Visas nodaļas tiek apvienotas, izmantojot automatizāciju, kas nojauc robežas starp IT operāciju (ITOps) komandām. Grupām ir pilnīga piekļuve incidentu statusa informācijai, lai nodrošinātu, ka incidentus risina atbilstošie cilvēki.
Komandas izmanto automatizāciju, lai vienkāršotu un uzlabotu incidentu pārvaldības procesu, jo IT problēmas kļūst arvien izplatītākas.
Incidentu pārvaldība kiberdrošības kontekstā ir ar kiberdrošību saistīto drošības risku un incidentu atrašanas, kontroles, dokumentēšanas un novērtēšanas process reālajā pasaulē.
Tas ir būtisks pasākums, kas jāveic gan pēc, gan pirms kiberkrīzes IT sistēmā.
Atstāj atbildi