Obsah[Skryť][Šou]
- Riadenie incidentov
- Automatizované riadenie incidentov
- Automatizovaná reakcia na incidenty
- Kľúčové schopnosti automatizovaného riadenia incidentov
- Príklad
- Riadenie kybernetických bezpečnostných incidentov
- Proces riadenia kybernetických bezpečnostných incidentov
- Najlepšie postupy riadenia bezpečnostných incidentov
- záver
Interné problémy sa môžu vyskytnúť v každej organizácii. Je nevyhnutné, aby sa zariadenia pokazili, softvér si vyžadoval údržbu a veci zmizli.
Prijatie postupu riadenia incidentov, ktorý dokáže určiť priority problémov, ponúknuť transparentnosť a pomôcť vášmu tímu rýchlo vyriešiť akýkoľvek problém, vám môže pomôcť efektívne riešiť tieto a mnohé ďalšie problémy.
Aby ste to dosiahli vo veľkom meradle, musíte použiť automatizovaný systém správy incidentov.
V tomto článku sa podrobne pozrieme na automatizované riadenie incidentov, rozoberieme jeho ciele a význam, preskúmame postup riadenia incidentov kybernetickej bezpečnosti a mnohé ďalšie.
Po prvé, začneme chápať správu incidentov a prejdeme ďalej k automatizovanej správe incidentov.
Riadenie incidentov
Reakcia na neočakávanú udalosť alebo prerušenie služby a návrat služby do prevádzkového stavu je riešený prostredníctvom správy incidentov. Najdôležitejším aspektom každej udalosti je jej rýchle vyriešenie, a preto je dôležité kodifikovať a sledovať proces.
Proces riadenia incidentov má zvyčajne štyri kroky:
- Uprednostňovanie incidentov
- Reakcia na incident
- Kategorizácia incidentov
- Identifikácia a protokolovanie incidentov
Automatizované riadenie incidentov
Automatizované riadenie incidentov je prax automatizácie reakcie na incidenty, aby sa zabezpečilo, že kľúčové udalosti sú identifikované a riešené čo najefektívnejším a najspoľahlivejším spôsobom.
Čas je dôležitý pri riadení incidentov. Preto je rýchlosť hlavnou výhodou automatizovaného riadenia incidentov. Časovo náročné úlohy je možné vďaka automatizácii dokončiť podstatne rýchlejšie.
V dôsledku toho sa skráti čas odozvy na incident a tím sa môže voľne sústrediť na úlohy, ktoré si vyžadujú ich odborné znalosti.
Automatizovaná reakcia na incidenty
Keď počujete slovo „Reakcia na incidenty“, znamená to schopnosť organizácie odhaliť, vyšetrovať a zmierňovať útoky a porušenia.
Ľudské komponenty sa v minulosti často používali na monitorovanie premávky, skúmanie podozrivých aktivít, písanie protokolov, keď sa objavia nové nebezpečenstvá atď.
Ako však názov napovedá, automatizovaná reakcia na incidenty odstraňuje ľudský prvok z rovnice.
Automatizuje zdĺhavé operácie, zrýchľuje detekciu hrozieb a reakciu a poskytuje nepretržitú obranu, čím dáva vášmu tímu SOC čas a priestor na rozšírenie a zlepšenie vašej bezpečnostnej pozície inými spôsobmi.
Viac o riadení incidentov kybernetickej bezpečnosti sa budeme zaoberať nižšie v článku.
Význam automatizovaného riadenia incidentov
Agenti sa teraz môžu viac sústrediť na riešenie nehôd.
Pri manuálnom spracovávaní udalostí je pravdepodobnejšie, že agenti zadajú údaje viac ako raz a je pravdepodobnejšie, že urobia chyby (ako napríklad zlyhanie pri zmene stavu problému v systéme).
Vaši agenti nebudú musieť prepínať medzi aplikáciami ani vykonávať manuálne operácie, ak používajú automatizované riešenie správy problémov.
Alternatívne môžu tento čas presmerovať na rýchle riešenie viacerých problémov, čo by výrazne zvýšilo spokojnosť klientov a zamestnancov.
Znížený počet falošných poplachov
Upozornenia sú užitočné aj problematické pri riadení incidentov. Falošne pozitívne oznámenia sú často zahrnuté medzi skutočné a vykonateľné výstrahy, ktoré môžu spôsobiť únavu pracovníkov tým, že ich znecitliví neustálym prívalom výstrah.
Automatizované nástroje vyhodnocujú varovania a smerujú ich k príslušným členom tímu, čím šetria čas a zdroje.
Zamestnanci ho môžu využiť na pohodlné sledovanie stavu svojich lístkov.
Väčšina vašich zamestnancov chce byť informovaná o každom probléme, ktorý uvádzajú. Automatizovaná správa incidentov vám umožní poskytnúť im transparentnosť, ktorú požadujú. Ako?
V každom bode životnosti tiketu, od jeho pridelenia agentovi až po jeho vyriešenie, môže byť zamestnanec po odoslaní tiketu upozornený prostredníctvom chatu.
Zamestnanec nebude musieť požiadať agentov o aktualizáciu stavu a bude vždy informovaný bez toho, aby musel navštíviť konkrétnu aplikáciu.
Kľúčové schopnosti automatizovaného riadenia incidentov
- Algoritmy klastrovania a porovnávania vzorov možno použiť na zníženie šumu, ako sú napríklad chybné alarmy.
- Rozpoznajte vzorce skôr, ako budú mať vplyv, ktorý spôsobí pravdepodobné výpadky.
- Všímajte si mnohorozmerné abnormality, ktoré presahujú statické prahové hodnoty alebo numerické odľahlé hodnoty, aby ste mohli proaktívne identifikovať anomálne okolnosti a správanie a spojiť ich s obchodnými dôsledkami.
- Definujte kauzalitu, identifikujte pravdepodobný zdroj udalostí pomocou topológie a ML a spojte tieto problémy s cestou zákazníka pomocou rozhodovacích stromov, náhodných lesov a grafovej analýzy.
- Podporujte automatizáciu rutinných úloh s nízkym až stredným rizikom. Bez toho, aby ste museli vytvárať pripojenia k iným systémom, nástroj pracovného toku vám umožňuje riešiť problémy, ktoré sú naliehavé a máte ich pod kontrolou.
- Určiť prioritu problémov a navrhnúť možné riešenia, či už priamo alebo prostredníctvom integrácie na základe predchádzajúcich skúseností. Aby ste predišli opätovnému výskytu problémov, sledujte, kto bol kontaktovaný počas celého sledu udalostí na nápravu v úložisku.
- Chatbotov a virtuálnych asistentov podpory (VSA) možno použiť na zvýšenie efektivity používateľov a automatizáciu opakujúcich sa prác a zároveň demokratizovať prístup k informáciám.
Príklad
Dve kategórie situácií, ktoré najviac profitujú z automatizácie pri správe incidentov, sú tie, ktoré sú časovo kritické a jednoduché. Technické problémy, ktoré priamo ovplyvňujú zákazníkov, sú príkladom časovo kritickej udalosti.
Ak sa to týka vášho zákazníka, chcete tento problém čo najskôr ukončiť. Naopak, jednoduchý jav, ako je problém s pripojením tlačiarne, možno tiež zautomatizovať.
TPostup je jednoduchý a riešenie je možné bez účasti osoby.
Ako automatizovať proces správy incidentov?
1. Vytvorte pracovný postup správy incidentov.
Ak chcete zautomatizovať postup správy incidentov, musíte najskôr navrhnúť pracovný postup správy incidentov.
Pracovný postup incidentu, niekedy označovaný ako životný cyklus udalosti, podrobne popisuje postupné kroky, ktoré sa uskutočnia po udalosti. Primárne kroky pracovného toku incidentov sú nasledovné:
- Identifikácia
- prioritizácia
- Odpoveď
- rezolúcia
Životný cyklus správy incidentov je odlišný pre každú firmu a je prispôsobený v súlade s tým.
Tajomstvom vytvorenia efektívneho pracovného toku správy incidentov je získať informácie od všetkých zúčastnených strán, zdokumentovať všetky akcie, ktoré podniknú, a zhromaždiť všetky požadované informácie.
Pravdepodobne bude veľa nezhôd o tom, ako vykonávať úlohy a zbierať údaje, ale proces musí uviesť všetko na pravú mieru. Pracovný tok by sa preto mal zmapovať na palube skôr, ako sa z tohto dôvodu zautomatizuje.
2. Konzistentnosť pri uprednostňovaní incidentov
Ďalšou fázou je jednotná priorita incidentov. Aby ste mohli správne reagovať, musíte si byť vedomí závažnosti a základného zdroja problému. Matica priority incidentov je bežným nástrojom, ktorý používajú organizácie.
Matica priorít incidentov využíva číselnú škálu P1 až P5 na kvantifikáciu dôležitosti udalosti a vhodnej akcie.
P1 je považovaný za najdôležitejší a vyžaduje okamžitú reakciu. Problém servera, ktorý by mohol zastaviť celý systém, je ilustráciou výskytu P1.
Keď sa posúvate nadol na stupnici priorít, dôležitosť/naliehavosť epizód sa znižuje. Aby sa vytvoril štandard pre výskyty P1 až P5, organizácia postupne zhromažďuje údaje o rizikách, ktoré je možné vyhodnotiť.
Každý musí súhlasiť s prístupom, a to je kľúčové.
3. Automatizované Runbooky
Runbooky, často nazývané playbooky, sú príručky, ktoré popisujú, ako vykonávať určité úlohy krok za krokom. Podrobným stanovením krokov pre časté aktivity sú učebnice navrhnuté tak, aby znížili kognitívnu záťaž.
Automatizácia Runbooku ide o krok ďalej a znižuje prácnosť začlenením softvéru do procesu, ktorý vykoná krok automaticky, keď ho k tomu vyzvú určité okolnosti.
Runbooky nielen šetria čas čakania, ale aj štandardizujú a zlepšujú konzistenciu procesu.
4. Zhromažďovanie údajov pre retrospektívy
Zhromažďovanie údajov je dôležitou etapou riadenia incidentov.
Tím sa musí uistiť, že počas procesu riadenia incidentov sa zhromažďujú údaje v reálnom čase, aby sa vytvorili retrospektívy incidentov a znížil sa vplyv incidentu v budúcnosti.
Zhromažďovanie údajov sa začína ihneď po nahlásení udalosti. Procesy varovania nadväzujú kontakt s osobami potrebnými na začatie reakcie, akonáhle je udalosť identifikovaná alebo zistená monitorovacími technológiami.
Technológie monitorovania a pozorovateľnosti zhromažďujú údaje počas procesu riadenia incidentov. Prístup k údajom v reálnom čase by mal byť možný, čo vám umožní následne ich využiť na retrospektívne analýzy.
5. Integrujte softvér tretích strán do procesu a centralizujte ho
Aby proces správy incidentov správne fungoval, musíte pôsobiť ako sprostredkovateľ a rozhranie s vonkajšími systémami ako JIRA a Slack.
Prepínanie medzi komunikáciou a inými programami si vyžaduje čas a existuje šanca, že vám uniknú dôležité informácie.
Prostredníctvom zberu údajov na pozadí a automatickej aktualizácie udalostí, automatizované riešenie správy incidentov zjednoduší postup. Medzitým môže tím skúmať správy a aktivity v reálnom čase.
Teraz je čas pozrieť sa na správu incidentov kybernetickej bezpečnosti a jej osvedčené postupy.
Riadenie kybernetických bezpečnostných incidentov
Monitorovanie, správa, protokolovanie a analýza bezpečnostných rizík alebo udalostí v reálnom čase je známa ako správa incidentov kybernetickej bezpečnosti. Jeho cieľom je poskytnúť rigorózny a dôkladný prehľad o všetkých bezpečnostných rizikách, ktoré by mohli existovať vo vnútri IT systému.
Udalosť zabezpečenia sa môže pohybovať od aktívnej hrozby, pokusu o prienik, úspešného prieniku alebo úniku údajov.
Niekoľko prípadov bezpečnostných problémov zahŕňa porušenia pravidiel a nezákonný prístup k údajom vrátane záznamov vrátane rodných čísel, finančných informácií, informácií o zdravotnom stave a osobných údajov.
Proces riadenia kybernetických bezpečnostných incidentov
Organizácie implementujú politiky, ktoré im umožňujú rýchlo identifikovať, reagovať a zmierňovať tieto druhy incidentov a zároveň posilňovať ich odolnosť a ochranu pred budúcimi incidentmi, keďže kybernetické bezpečnostné hrozby neustále narastajú na objeme a sofistikovanosti.
Na riadenie bezpečnostných incidentov sa používa kombinácia hardvéru, softvéru a výskumu a analýzy riadeného ľuďmi.
Upozornenie, že nastala udalosť, a aktivácia tímu reakcie na incidenty sú často prvými krokmi v postupe riadenia bezpečnostných incidentov.
Potom sa zasahujúci na incidenty pozrie na situáciu a posúdi ju, aby zistila jej šírku, zmerala škody a vytvorila stratégiu na jej zmiernenie.
Aby bolo zaručené, že prostredie IT je skutočne bezpečné, musí sa zaviesť mnohostranný plán riadenia bezpečnostných incidentov.
Najlepšie postupy riadenia bezpečnostných incidentov
Postup riadenia bezpečnostných incidentov musia naplánovať organizácie všetkých veľkostí a foriem. Vypracujte dôkladný plán riadenia bezpečnostných incidentov uvedením týchto osvedčených postupov do praxe:
- Vytvorte rozsiahly školiaci program, ktorý rieši každú úlohu, ktorú vyžadujú procesy riadenia bezpečnostných incidentov. Dôsledne podrobte svoj plán riadenia bezpečnostných incidentov testovacím scenárom a vykonajte všetky potrebné úpravy.
- Ak sa chcete poučiť zo svojich triumfov a chýb po akomkoľvek bezpečnostnom probléme, urobte si štúdiu po incidente. Potom podľa potreby vykonajte zmeny vo svojom bezpečnostnom programe a procedúre riadenia incidentov.
- Vytvorte stratégiu riadenia bezpečnostných incidentov a všetky potrebné postupy vrátane pokynov, ako problémy nájsť, nahlásiť, vyhodnotiť a riešiť. Pripravte si zoznam krokov v závislosti od hrozby a majte ho k dispozícii. Podľa potreby aktualizujte zásady riadenia bezpečnostných incidentov, najmä vo svetle poučení získaných z predchádzajúcich udalostí.
- Vytvorte tím reakcie na incidenty s jasne definovanými úlohami a povinnosťami (známy aj ako CSIRT). Okrem zastúpenia z iných oddelení, ako sú právne oddelenie, komunikácia, financie a obchodný manažment alebo prevádzka, by váš tím reakcie na incidenty mal zahŕňať aj funkčné pozície z oddelenia IT/bezpečnosti.
záver
A nakoniec, automatizované riadenie incidentov zaisťuje, že naliehavé problémy sú identifikované, vybavované a riešené rýchlym a efektívnym spôsobom.
Automatizácia umožňuje vzájomnú interakciu riešení správy incidentov a podporuje komunikáciu v reálnom čase naprieč systémami.
Všetky oddelenia sú spojené prostredníctvom automatizácie, ktorá búra hranice medzi tímami IT operácií (ITOps). Tímy majú úplný prístup k informáciám o stave incidentov, aby sa zabezpečilo, že incidenty riešia príslušní ľudia.
Tímy využívajú automatizáciu na zjednodušenie a zlepšenie procesu správy incidentov, keďže IT problémy narastajú.
Riadenie incidentov v kontexte kybernetickej bezpečnosti je proces lokalizácie, kontroly, dokumentovania a hodnotenia bezpečnostných rizík a incidentov spojených s kybernetickou bezpečnosťou v reálnom svete.
Ide o zásadné opatrenie, ktoré je potrebné prijať po, ako aj predtým, ako kybernetická kríza zasiahne IT systém.
Nechaj odpoveď