Содржина[Крие][Прикажи]
- Управување со инциденти
- Автоматско управување со инциденти
- Автоматски одговор на инциденти
- Клучни способности на автоматско управување со инциденти
- пример
- Управување со инциденти со сајбер безбедност
- Процес за управување со инциденти со сајбер безбедност
- Најдобри практики за управување со безбедносни инциденти
- Заклучок
Внатрешни проблеми може да се појават во секоја организација. Неизбежно е уредите да се скршат, софтверот да бара одржување и работите да исчезнат.
Усвојувањето на процедура за управување со инциденти која може да даде приоритет на проблемите, да понуди транспарентност и да му помогне на вашиот тим да се справи со секој проблем навремено, може да ви помогне ефикасно да ги решите овие грижи и многу повеќе.
Мора да користите автоматизиран систем за управување со инциденти за да го направите ова во голем обем.
Во оваа статија детално ќе го разгледаме автоматското управување со инциденти, ќе разговараме за неговите цели и значење, ќе ја испитаме процедурата за управување со инциденти со сајбер безбедност и многу повеќе.
Прво, ќе почнеме да го разбираме управувањето со инциденти и ќе продолжиме понатаму кон автоматско управување со инциденти.
Управување со инциденти
Одговорот на неочекувана појава или прекин на услугата и враќањето на услугата во нејзината работна состојба се решава преку управување со инциденти. Најважниот аспект на секој настан е неговото брзо решавање, поради што е од клучно значење да се кодифицира и следи процес.
Во процесот на управување со инциденти, обично има четири чекори:
- Приоритизација на инциденти
- Одговор на инцидент
- Категоризација на инциденти
- Идентификација на инцидентот и евиденција
Автоматско управување со инциденти
Автоматското управување со инциденти е практика на автоматизирање на одговорот на инцидентот за да се осигураме дека клучните појави се идентификуваат и се решаваат на најефикасен и најсигурен можен начин.
Времето е важно кога станува збор за управување со инциденти. Оттука брзината е главната предност на автоматското управување со инциденти. Работите кои одземаат многу време може да се завршат значително побрзо со автоматизација.
Како резултат на тоа, времето за одговор на инцидентот е скратено и тимот е слободен да се концентрира на задачи кои бараат нивна експертиза.
Автоматски одговор на инциденти
Кога ќе го слушнете зборот „Одговор на инцидентот“, тоа се однесува на капацитетот на организацијата да открие, истражува и ублажува напади и прекршувања.
Човечките компоненти често се користеле во минатото за следење на сообраќајот, истражување на сомнителни активности, пишување протоколи кога се појавуваат нови опасности итн.
Меѓутоа, како што имплицира името, автоматскиот одговор на инцидентот го отстранува човечкиот елемент од равенката.
Ги автоматизира досадните операции, го забрзува откривањето и одговорот на заканите и обезбедува деноноќна одбрана, давајќи им време и простор на вашиот тим SOC да го прошири и подобри вашето безбедносно држење на други начини.
Повеќе за управувањето со инциденти со сајбер безбедноста ќе бидат опфатени понатаму во статијата.
Важноста на автоматското управување со инциденти
Агентите сега можат повеќе да се концентрираат на справување со несреќи.
При рачно ракување со настаните, поверојатно е агентите да внесуваат податоци повеќе од еднаш и имаат поголема веројатност да направат грешки (како што е неуспехот да го сменат статусот на проблем во системот).
Вашите агенти нема да мора да се префрлаат помеѓу апликации или да завршуваат рачни операции ако користат автоматско решение за управување со проблеми.
Како алтернатива, тие можат да го пренасочат тоа време за навремено решавање на повеќе прашања, што во голема мера би го зголемило задоволството на клиентите и персоналот.
Намалени лажни позитиви
Известувањата се и корисни и проблематични во управувањето со инциденти. Лажно-позитивните известувања често се вклучени меѓу реалните и активни предупредувања, што може да предизвика буден замор кај работниците со тоа што ги прави вкочанети од постојаниот наплив на предупредувања.
Автоматските алатки ги проценуваат предупредувањата и ги насочуваат до соодветните членови на тимот, заштедувајќи време и ресурси.
Вработените можат да го користат за практично да го следат статусот на нивните билети.
Повеќето од вашите членови на персоналот сакаат да бидат информирани за секоја загриженост што ја презентираат. Автоматското управување со инциденти ќе ви овозможи да им ја обезбедите потребната транспарентност. Како?
Во секој момент од траењето на билетот, од кога е доделен на агент до кога ќе се реши, вработениот може да биде предупреден преку разговор по поднесување на билет.
Вработениот нема да мора да бара од агентите ажурирање на статусот и секогаш ќе биде информиран без да мора да посети одредена апликација.
Клучни способности на автоматско управување со инциденти
- Алгоритмите за кластерирање и совпаѓање на шаблони може да се користат за намалување на шумот, како што се погрешни аларми.
- Препознајте ги обрасците пред да имаат влијание што ги прави веројатни прекини.
- Забележете ги повеќеваријантните абнормалности што ги надминуваат статичките прагови или нумеричките оддалечени со цел проактивно да ги идентификувате аномалните околности и однесување и да ги поврзете со деловните последици.
- Дефинирајте ја каузалноста, идентификувајте го веројатниот извор на настани користејќи топологија и ML и поврзете ги овие проблеми со патувањето на клиентите користејќи стебла за одлучување, случајни шуми и анализа на графикони.
- Промовирајте ја автоматизацијата на рутинските задачи со низок до умерен ризик. Без потреба да се создаваат врски со други системи, моторот на работниот тек ви овозможува да ги решите прашањата кои се итни и под ваша контрола.
- Одредете го приоритетот на прашањата и предложете можни решенија, директно или преку интеграција врз основа на претходните искуства. За да избегнете повторување на проблемите, следете со кого контактирале во текот на целата низа на настани за санација во складиштето.
- Ботовите за разговор и виртуелните асистенти за поддршка (VSA) може да се користат за да се зголеми ефикасноста на корисниците и да се автоматизираат повторливите задолженија додека се демократизира пристапот до информации.
пример
Двете категории на ситуации кои најмногу имаат корист од автоматизацијата во управувањето со инциденти се оние кои се временски критични и едноставни. Техничките проблеми кои директно ги засегаат клиентите се пример за временско критична појава.
Сакате да ставите крај на проблемот што е можно поскоро ако вашиот клиент е засегнат. Спротивно на тоа, директна појава како проблем со поврзувањето на печатачот исто така може да се автоматизира.
TПостапката е едноставна, а решението е можно без учество на лице.
Како да го автоматизирате вашиот процес за управување со инциденти?
1. Воспоставете работен тек за управување со инциденти.
За да ја автоматизирате вашата процедура за управување со инциденти, прво мора да дизајнирате работен тек за управување со инциденти.
Работниот тек на инцидентот, понекогаш познат како животен циклус на настанот, ги детализира последователните чекори што се случуваат по некоја појава. Примарните чекори на работниот тек на инциденти се како што следува:
- Идентификација
- Приоритет
- Одговор
- резолуцијата
Животниот циклус на управување со инциденти е различен за секој бизнис и е приспособен во согласност со тоа.
Тајната за создавање на ефективен работен тек за управување со инциденти е да се добијат информации од сите вклучени страни, да се документираат сите активности што ги преземаат и да се соберат сите потребни информации.
Веројатно ќе има многу несогласувања за тоа како да се извршуваат задачите и да се собираат податоци, но процесот треба да стави сè во перспектива. Затоа, работниот тек треба да се мапира на одборот пред да се автоматизира поради оваа причина.
2. Доследност во приоритизирањето на инцидентите
Следната фаза е подеднакво да се даде приоритет на инцидентите. Мора да бидете свесни за гравитацијата и основниот извор на проблемот за да реагирате правилно. Матрицата за приоритизација на инциденти е вообичаена алатка што ја користат организациите.
Матрицата за приоритет на инцидентот користи нумеричка скала од P1 до P5 за да ја квантифицира важноста на појавата и соодветното дејство.
На P1 се смета дека е од најголема важност и бара моментална реакција. Проблемот со серверот што може да го запре целиот систем е илустрација на P1 појава.
Како што се движите надолу по скалата на приоритет, важноста/итноста на епизодите се намалува. Со цел да се создаде стандард за P1 до P5 појави, организацијата постепено собира податоци за ризик кои може да се проценат.
Сите мора да се согласат со пристапот, и тоа е клучно.
3. Автоматски Runbooks
Runbooks, често наречени Playbooks, се прирачници кои опишуваат како да се извршат одредени задачи чекор-по-чекор. Со детално одредување на чекорите за честите активности, книгите за играње се дизајнирани да го намалат когнитивниот товар.
Автоматизацијата на Runbook оди чекор подалеку и го намалува трудот со инкорпорирање на софтвер во процесот што го извршува чекорот автоматски кога ќе биде побарано од одредена околност.
Runbooks не само што заштедуваат време на чекање, туку и ја стандардизираат и подобруваат конзистентноста на процесот.
4. Собирање податоци за ретроспективи
Собирањето податоци е важна фаза во управувањето со инциденти.
Тимот мора да се погрижи да се собираат податоци во реално време во текот на процесот на управување со инцидентот со цел да се создадат ретроспективи на инцидентот и да се намали ефектот на инцидентот понатаму.
Собирањето податоци започнува веднаш штом ќе се пријави некоја појава. Процесите за предупредување воспоставуваат контакт со лицата потребни за да почнат да реагираат веднаш штом некој настан е идентификуван или откриен со технологии за следење.
Технологиите за следење и набљудување собираат податоци за време на процесот на управување со инциденти. Треба да биде возможен пристап до податоците во реално време, што ќе ви овозможи да ги користите за ретроспективни анализи потоа.
5. Интегрирајте софтвер од трета страна во процесот и централизирајте го
Мора да дејствувате како посредник и интерфејс со надворешни системи како JIRA и Slack, со цел процесот на управување со инциденти да функционира правилно.
Потребно е време, а постои можност да пропуштите важни информации, за да се префрлите помеѓу комуникација и други програми.
Преку собирање податоци во заднина и автоматско ажурирање на појавите, автоматско решение за управување со инциденти ќе ја рационализира постапката. Во меѓувреме, тимот може да ги испита извештаите и активностите во реално време.
Сега е време да се погледне управувањето со инциденти со сајбер-безбедноста и неговите најдобри практики.
Управување со инциденти со сајбер безбедност
Следењето, администрацијата, евиденцијата и анализата на безбедносните ризици или појави во реално време е познато како управување со инциденти со сајбер-безбедност. Таа има за цел да обезбеди ригорозен и темелен преглед на сите безбедносни ризици што би можеле да постојат во ИТ системот.
Безбедносниот настан може да се движи од активна закана, обид за упад, успешна пенетрација или протекување податоци.
Неколку случаи на безбедносни прашања вклучуваат прекршување на политиките и незаконски пристап до податоци, вклучително евиденција вклучувајќи броеви за социјално осигурување, финансиски информации, здравствени информации и информации за лична идентификација.
Процес за управување со инциденти со сајбер безбедност
Организациите спроведуваат политики што им овозможуваат брзо да ги идентификуваат, да реагираат и да ги ублажат овие видови инциденти, истовремено да ја зајакнат нивната отпорност и да се заштитат од идни инциденти бидејќи заканите за сајбер безбедноста продолжуваат да се зголемуваат во обем и софистицираност.
Со цел да се менаџираат безбедносните инциденти, се користи комбинација од хардвер, софтвер и истражување и анализа управувано од луѓе.
Предупредувањето дека се случил настан и активирањето на тимот за одговор на инцидентот често се првите чекори во процедурата за управување со безбедносни инциденти.
После тоа, одговорните во инцидентот ќе ја разгледаат и проценат ситуацијата за да ја утврдат нејзината широчина, да ги измерат штетите и да создадат стратегија за ублажување.
За да се гарантира дека ИТ околината е навистина безбедна, мора да се направи повеќеслоен план за управување со безбедносни инциденти.
Најдобри практики за управување со безбедносни инциденти
Постапката за управување со безбедносни инциденти мора да биде планирана од организации од сите големини и форми. Развијте темелен план за управување со безбедносни инциденти со примена на овие најдобри практики во пракса:
- Создадете обемна програма за обука која се однесува на секоја задача што се бара од процесите за управување со безбедносни инциденти. Постојано ставајте го вашиот план за управување со безбедносни инциденти преку тест сценарија и направете ги потребните прилагодувања.
- За да научите од вашите триумфи и грешки по кое било безбедносно прашање, направете студија по инцидентот. Потоа, доколку е потребно, направете промени во вашата безбедносна програма и процедурата за управување со инциденти.
- Создадете стратегија за управување со безбедносни инциденти и сите потребни процедури, вклучувајќи инструкции за тоа како треба да се најдат, пријавени, оценуваат и постапуваат проблемите. Подгответе листа на чекори во зависност од заканата и нека ја има на располагање. Ажурирајте ги политиките за управување со безбедносни инциденти по потреба, особено во светлината на лекциите стекнати од претходните појави.
- Создадете тим за одговор на инциденти со јасно дефинирани улоги и должности (исто така познат како CSIRT). Покрај застапеноста од други оддели како правни, комуникации, финансии и бизнис менаџмент или операции, вашиот тим за одговор на инциденти треба да вклучува и функционални позиции од одделот за ИТ/безбедност.
Заклучок
Конечно, автоматизираното управување со инциденти осигурува дека итните прашања се идентификуваат, посетуваат и се решаваат на брз и ефективен начин.
Автоматизацијата овозможува решенијата за управување со инциденти да комуницираат едни со други и промовира комуникација во реално време низ системите.
Сите одделенија се здружуваат преку автоматизација, која ги разбива границите помеѓу тимовите за ИТ операции (ITOps). Тимовите имаат целосен пристап до информациите за статусот на инцидентот за да се осигураат дека соодветните луѓе се справуваат со инцидентите.
Тимовите користат автоматизација за да го поедностават и подобрат процесот на управување со инциденти бидејќи проблемите со ИТ стануваат се поприсутни.
Управувањето со инциденти во контекст на сајбер безбедноста е процес на лоцирање, контролирање, документирање и оценување на безбедносните ризици и инциденти поврзани со сајбер-безбедноста во реалниот свет.
Ова е клучна мерка што треба да се преземе и по и пред сајбер криза да го погоди ИТ системот.
Оставете Одговор