Kazalo[Skrij][Pokaži]
- Upravljanje incidentov
- Avtomatizirano upravljanje incidentov
- Avtomatsko odzivanje na incidente
- Ključne zmogljivosti avtomatiziranega upravljanja incidentov
- Primer
- Upravljanje incidentov kibernetske varnosti
- Proces upravljanja incidentov kibernetske varnosti
- Najboljše prakse za upravljanje varnostnih incidentov
- zaključek
Notranje težave se lahko pojavijo v vsaki organizaciji. Neizogibno je, da se naprave pokvarijo, programska oprema zahteva vzdrževanje in stvari izginejo.
Sprejetje postopka za obvladovanje incidentov, ki lahko prednostno razvrsti težave, ponudi preglednost in pomaga vaši ekipi, da takoj obravnava vsako težavo, vam lahko pomaga pri učinkovitem reševanju teh pomislekov in mnogih drugih.
Če želite to narediti v velikem obsegu, morate uporabiti avtomatiziran sistem za upravljanje incidentov.
V tem članku si bomo podrobno ogledali avtomatizirano upravljanje incidentov, razpravljali o njegovih ciljih in pomenu, preučili postopek za upravljanje incidentov kibernetske varnosti in še veliko več.
Najprej bomo začeli razumeti upravljanje incidentov in prešli na avtomatizirano upravljanje incidentov.
Upravljanje incidentov
Odziv na nepričakovan dogodek ali motnjo storitve in vrnitev storitve v stanje delovanja se obravnava z upravljanjem incidentov. Najpomembnejši vidik vsakega dogodka je njegova hitra rešitev, zato je ključnega pomena kodificirati in slediti procesu.
V procesu upravljanja incidentov so običajno štirje koraki:
- Prednostno določanje incidentov
- Odziv na incident
- Kategorizacija incidentov
- Prepoznavanje in beleženje incidentov
Avtomatizirano upravljanje incidentov
Avtomatizirano upravljanje incidentov je praksa avtomatizacije odzivanja na incidente, da se zagotovi, da so ključni dogodki prepoznani in obravnavani na najbolj učinkovit in zanesljiv način.
Čas je pomemben, ko gre za obvladovanje incidentov. Zato je hitrost glavna prednost avtomatiziranega upravljanja incidentov. Z avtomatizacijo lahko zamudna dela opravimo bistveno hitreje.
Posledično je odzivni čas na incident skrajšan in ekipa se lahko svobodno osredotoči na naloge, ki zahtevajo njihovo strokovno znanje.
Avtomatsko odzivanje na incidente
Ko slišite besedo »Odziv na incidente«, se nanaša na sposobnost organizacije za odkrivanje, preiskovanje in ublažitev napadov in kršitev.
Človeške komponente so se v preteklosti pogosto uporabljale za spremljanje prometa, preiskovanje sumljivih dejavnosti, pisanje protokolov, ko se pojavijo nove nevarnosti, itd.
Vendar, kot pove že ime, avtomatiziran odziv na incident odstrani človeški element iz enačbe.
Avtomatizira dolgočasne operacije, pospeši odkrivanje groženj in odziv nanje ter zagotavlja neprekinjeno obrambo, kar daje vaši ekipi SOC čas in prostor za razširitev in izboljšanje vaše varnostne drže na druge načine.
Več o upravljanju incidentov kibernetske varnosti bo obravnavano v nadaljevanju članka.
Pomen avtomatiziranega upravljanja incidentov
Zastopniki se lahko zdaj bolj osredotočijo na obravnavo nesreč.
Pri ročnem obravnavanju dogodkov obstaja večja verjetnost, da bodo agenti vnesli podatke več kot enkrat in je večja verjetnost, da bodo naredili napake (kot na primer, da ne bodo spremenili statusa težave v sistemu).
Vašim agentom ne bo treba preklapljati med aplikacijami ali opravljati ročnih operacij, če uporabljajo avtomatizirano rešitev za upravljanje težav.
Namesto tega lahko ta čas preusmerijo za takojšnjo obravnavo več težav, kar bi močno povečalo zadovoljstvo strank in osebja.
Zmanjšano število lažno pozitivnih rezultatov
Opozorila so tako koristna kot problematična pri upravljanju incidentov. Lažno pozitivna obvestila so pogosto vključena med dejanska opozorila in opozorila, ki jih je mogoče ukrepati, kar lahko pri delavcih povzroči utrujenost zaradi opozarjanja, saj postanejo otopeli pred nenehnim valom opozoril.
Avtomatizirana orodja ocenijo opozorila in jih usmerijo k ustreznim članom ekipe, s čimer prihranijo čas in sredstva.
Zaposleni lahko z njim priročno spremljajo stanje svojih vozovnic.
Večina vaših uslužbencev želi biti obveščena o vsaki skrbi, ki jo predstavljajo. Avtomatizirano upravljanje incidentov vam bo omogočilo, da jim zagotovite potrebno preglednost. kako
Na vsaki točki življenjske dobe vstopnice, od trenutka, ko je dodeljena agentu, do trenutka, ko je razrešena, je lahko zaposlenega opozorjen prek klepeta po predložitvi vstopnice.
Zaposlenemu ne bo treba prositi agentov za posodobitev statusa in bo vedno obveščen, ne da bi moral obiskati določeno aplikacijo.
Ključne zmogljivosti avtomatiziranega upravljanja incidentov
- Algoritme za združevanje v gruče in ujemanje vzorcev je mogoče uporabiti za zmanjšanje šuma, kot so napačni alarmi.
- Prepoznajte vzorce, preden imajo vpliv, ki povzroči verjetne izpade.
- Upoštevajte večvariatne nenormalnosti, ki presegajo statične pragove ali numerične izstope, da proaktivno prepoznate nenormalne okoliščine in vedenje ter jih povežete s poslovnimi posledicami.
- Definirajte vzročnost, identificirajte verjeten vir dogodkov z uporabo topologije in strojnega učenja ter povežite te težave s strankino potjo z uporabo odločitvenih dreves, naključnih gozdov in analize grafov.
- Spodbujajte avtomatizacijo rutinskih opravil z nizkim do zmernim tveganjem. Brez potrebe po ustvarjanju povezav z drugimi sistemi vam mehanizem delovnega toka omogoča reševanje težav, ki so nujne in pod vašim nadzorom.
- Določite prioriteto vprašanj in predlagajte možne rešitve, neposredno ali z integracijo na podlagi prejšnjih izkušenj. Da bi se izognili ponovnemu pojavljanju težav, spremljajte, s kom ste bili kontaktirani med celotnim zaporedjem dogodkov za odpravo v repozitoriju.
- Klepetalne robote in pomočnike virtualne podpore (VSA) je mogoče uporabiti za povečanje učinkovitosti uporabnikov in avtomatizacijo ponavljajočih se opravil, hkrati pa demokratizirati dostop do informacij.
Primer
Dve kategoriji situacij, ki imata največ koristi od avtomatizacije pri upravljanju incidentov, sta tisti, ki sta časovno kritični in enostavni. Tehnične težave, ki neposredno vplivajo na stranke, so primer časovno kritičnega pojava.
Želite čim prej odpraviti težavo, če je prizadeta vaša stranka. Nasprotno pa je preprost pojav, kot je težava s povezljivostjo tiskalnika, mogoče avtomatizirati.
TPostopek je preprost, rešitev pa je mogoča brez sodelovanja osebe.
Kako avtomatizirati proces upravljanja incidentov?
1. Vzpostavite potek dela za upravljanje incidentov.
Če želite avtomatizirati postopek upravljanja incidentov, morate najprej oblikovati potek dela za upravljanje incidentov.
Delovni tok incidenta, včasih imenovan tudi življenjski cikel dogodka, podrobno opisuje zaporedne korake, ki se zgodijo po dogodku. Glavni koraki delovnega toka incidenta so naslednji:
- Identifikacija
- Določanje prednosti
- odgovor
- Resolucija
Življenjski cikel upravljanja incidentov je za vsako podjetje različen in temu prilagojen.
Skrivnost ustvarjanja učinkovitega delovnega toka obvladovanja incidentov je pridobiti prispevke vseh vpletenih strani, dokumentirati vsa dejanja, ki jih izvajajo, in zbrati vse zahtevane informacije.
Verjetno bo veliko nesoglasij o tem, kako izvajati naloge in zbirati podatke, vendar mora proces vse postaviti v perspektivo. Potek dela je zato treba začrtati na krovu, preden se iz tega razloga avtomatizira.
2. Doslednost pri določanju prednosti incidentov
Naslednja stopnja je enotna prednostna naloga incidentov. Da bi se pravilno odzvali, se morate zavedati resnosti in osnovnega izvora težave. Matrika prioritete incidentov je običajno orodje, ki ga uporabljajo organizacije.
Matrika prioritete incidenta uporablja numerično lestvico od P1 do P5 za količinsko opredelitev pomembnosti dogodka in ustreznega ukrepa.
P1 velja za izjemno pomembnega in zahteva takojšnjo reakcijo. Težava s strežnikom, ki lahko povzroči zaustavitev celotnega sistema, je ponazoritev dogodka P1.
Ko se premikate po prednostni lestvici navzdol, se pomembnost/nujnost epizod zmanjšuje. Da bi ustvarili standard za dogodke od P1 do P5, organizacija postopoma zbira podatke o tveganjih, ki jih je mogoče ovrednotiti.
Vsi se morajo strinjati s pristopom in to je ključnega pomena.
3. Avtomatizirani Runbooks
Runbooks, pogosto imenovani playbooks, so priročniki, ki opisujejo, kako izvajati določene naloge korak za korakom. S podrobnim določanjem korakov za pogoste dejavnosti so zvezki namenjeni zmanjšanju kognitivnega bremena.
Avtomatizacija Runbook gre še korak dlje in zmanjša delo z vključitvijo programske opreme v proces, ki samodejno izvede korak, ko to zahtevajo določene okoliščine.
Runbooks ne le prihranijo čas čakanja, ampak tudi standardizirajo in izboljšajo doslednost procesa.
4. Zbiranje podatkov za retrospektive
Zbiranje podatkov je pomembna faza pri obvladovanju incidentov.
Ekipa mora poskrbeti, da se podatki v realnem času zbirajo v celotnem procesu upravljanja incidentov, da se ustvari retrospektiva incidenta in zmanjša učinek incidenta v prihodnje.
Zbiranje podatkov se začne takoj, ko je dogodek sporočen. Procesi opozarjanja vzpostavijo stik z osebami, ki so potrebne za začetek odzivanja, takoj ko je dogodek prepoznan ali zaznan s tehnologijami za spremljanje.
Tehnologije spremljanja in opazovanja zbirajo podatke med procesom upravljanja incidentov. Dostop do podatkov v realnem času bi moral biti mogoč, kar vam omogoča, da jih pozneje uporabite za retrospektivne analize.
5. Integrirajte programsko opremo tretjih oseb v proces in jo centralizirajte
Delovati morate kot posrednik in vmesnik z zunanjimi sistemi, kot sta JIRA in Slack, da lahko proces upravljanja incidentov pravilno deluje.
Za preklapljanje med komunikacijskimi in drugimi programi je potreben čas in obstaja možnost, da zamudite pomembne informacije.
Z zbiranjem podatkov v ozadju in samodejnim posodabljanjem dogodkov bo avtomatizirana rešitev za upravljanje incidentov poenostavila postopek. Medtem lahko ekipa pregleda poročila in dejavnosti v realnem času.
Zdaj je čas, da si ogledamo upravljanje incidentov na področju kibernetske varnosti in njegove najboljše prakse.
Upravljanje incidentov kibernetske varnosti
Spremljanje, upravljanje, beleženje in analiza varnostnih tveganj ali dogodkov v realnem času je znano kot upravljanje incidentov kibernetske varnosti. Njegov namen je zagotoviti natančen in temeljit pregled morebitnih varnostnih tveganj, ki bi lahko obstajala v sistemu IT.
Varnostni dogodek lahko obsega aktivno grožnjo, poskus vdora, uspešen prodor ali uhajanje podatkov.
Nekaj primerov varnostnih težav vključuje kršitve politik in nezakonit dostop do podatkov, vključno z zapisi, vključno s številkami socialnega zavarovanja, finančnimi informacijami, zdravstvenimi informacijami in podatki, ki omogočajo osebno identifikacijo.
Proces upravljanja incidentov kibernetske varnosti
Organizacije izvajajo politike, ki jim omogočajo hitro prepoznavanje tovrstnih incidentov, odzivanje nanje in ublažitev, hkrati pa krepijo svojo odpornost in zaščito pred prihodnjimi incidenti, saj se obseg in prefinjenost groženj kibernetski varnosti še naprej povečujeta.
Za obvladovanje varnostnih incidentov se uporablja kombinacija strojne in programske opreme ter raziskav in analiz, ki jih vodi človek.
Opozorilo o dogodku in aktiviranje ekipe za ukrepanje ob incidentu sta pogosto prva koraka v postopku obvladovanja varnostnega incidenta.
Po tem bodo reševalci pregledali in ocenili situacijo, da bi ugotovili njeno širino, ocenili škodo in ustvarili strategijo ublažitve.
Da bi zagotovili, da je IT okolje res varno, je treba vzpostaviti večplasten načrt za upravljanje varnostnih incidentov.
Najboljše prakse za upravljanje varnostnih incidentov
Postopek obvladovanja varnostnih incidentov morajo načrtovati organizacije vseh velikosti in oblik. Razvijte temeljit načrt za obvladovanje varnostnih incidentov, tako da v praksi uporabite te najboljše prakse:
- Ustvarite obsežen program usposabljanja, ki obravnava vsako nalogo, ki jo zahtevajo procesi upravljanja varnostnih incidentov. Svoj načrt upravljanja varnostnih incidentov dosledno izvajajte skozi testne scenarije in izvajajte vse potrebne prilagoditve.
- Če se želite učiti iz svojih uspehov in napak po kateri koli varnostni težavi, naredite študijo po incidentu. Nato po potrebi spremenite svoj varnostni program in postopek upravljanja incidentov.
- Ustvarite strategijo upravljanja varnostnih incidentov in vse potrebne postopke, vključno z navodili o tem, kako najti težave, jih prijaviti, oceniti in obravnavati. Pripravite seznam korakov glede na grožnjo in ga imejte na voljo. Po potrebi posodobite pravilnike o upravljanju varnostnih incidentov, zlasti glede na izkušnje, pridobljene iz prejšnjih dogodkov.
- Ustvarite ekipo za odzivanje na incidente z jasno opredeljenimi vlogami in dolžnostmi (znano tudi kot CSIRT). Poleg predstavnikov drugih oddelkov, kot so pravni, komunikacijski, finančni in poslovni management ali operacije, bi morala vaša ekipa za odzivanje na incidente vključevati tudi funkcionalne položaje iz oddelka za IT/varnost.
zaključek
Nazadnje avtomatizirano upravljanje incidentov zagotavlja, da so nujna vprašanja prepoznana, obravnavana in obravnavana na hiter in učinkovit način.
Avtomatizacija omogoča medsebojno interakcijo rešitev za upravljanje incidentov in spodbuja komunikacijo v realnem času med sistemi.
Vsi oddelki so združeni prek avtomatizacije, ki podira meje med ekipami IT operacij (ITOPs). Ekipe imajo popoln dostop do informacij o statusu incidenta, da zagotovijo, da ustrezne osebe obravnavajo incidente.
Ekipe uporabljajo avtomatizacijo za poenostavitev in izboljšanje procesa upravljanja incidentov, saj težave z IT postajajo vse pogostejše.
Upravljanje incidentov v kontekstu kibernetske varnosti je proces lociranja, nadzora, dokumentiranja in ocenjevanja varnostnih tveganj in incidentov, povezanih s kibernetsko varnostjo v realnem svetu.
To je ključen ukrep, ki ga je treba sprejeti po in preden kibernetska kriza prizadene sistem IT.
Pustite Odgovori