A lassú incidenskezelés, ami a zsebedbe nyúl

Amikor a Net Friends 75 százalékkal levágta az incidenselhárítási időt, az nem csak a gyorsabb munkáról szólt — hanem arról, hogy teljesen újragondolták, hogyan működjenek a biztonsági csapatok. Mit tanulhatnak ebből a kisebb vállalkozások? Azt, hogyan érdemes automatizálni az unalmas feladatokat, hogy az emberek arra figyelhessenek, ami tényleg számít.

Kérdezek valamit: hajnali 2-kor megszólal egy biztonsági riasztás, mi az első lépés a csapatod részéről?

Ha a válasz az, hogy valaki három különböző eszköz között másolgatja az információkat, kézzel frissít egy táblázatot, és Slack-en értesít öt embert, akik mindegyikének jóvá kell hagynia valamit — nos, mindenki átélt már ilyet. És őszintén? Kimerítő.

Pontosan ezzel a problémával szembesült a Net Friends is, és hidd el, ez az a helyzet, amit folyamatosan látok a vállalkozásoknál. Van tehetséges biztonsági csapatuk, rendes eszközeik, de a "riasztás észlelve" és az "ügy megoldva" között ott van ez a temető, tele manuális lépésekkel, ami mindent lelassít.

Az a súrlódás, amiről senki sem beszél

Szeretünk a kiberbiztonság izgalmas részeiről beszélni — a fenyegetésintelligenciáról, a fancy dashboardokról, az AI-ról, ami anomáliákat észlel. De senki sem akar igazán a táblázatokról, a clipboardos munkafolyamatokról beszélni. Arról a kollégáról, aki az egyetlen, aki tud kezelni egy bizonyos típusú incidenst, mert "mindig is úgy csináltuk".

Ezt hívom operacionális súrlódásnak, és ez a csendes gyilkosa az incidenskezelési időnek.

A Net Friends felismert valamit: a csapatuk nem azért volt lassú, mert rosszak voltak a munkájukban. Azért voltak lassúak, mert elvesztek a folyamatok tengerében. Minden incidensnél ugyanazt a lépésegyüttest kellett végigvinni — lépések, amelyek évek alatt halmozódtak fel, mint az üledék a folyómederben. Senki sem kérdőjelezte meg őket, mert "működött", amikor kisebb volt a cég.

De van valami fontos: a manuális folyamatok borzasztóan skálázódnak.

Amikor heti tíz incidenst kezelsz, a kézi lépések csak idegesítőek. Amikor ötvenet, már válsághelyzet. És ha MSP vagy, amely több ügyfelet szolgál ki? Az a súrlódás minden új ügyféllel csak szaporodik.

Mit jelent a valóságban az automatizálás (nem, nem robotokról van szó)

Amikor az emberek meghallják az "automatizálás" szót, néha futurisztikus robotokat képzelnek el, akik átveszik az emberi munkát. Nem erről van szó.

A Net Friends okosabban közelítette meg a dolgot: azonosították az ismétlődő, szabályalapú részeket az incidenskezelésben — azokat a lépéseket, amelyek minden egyes alkalommal ugyanazt a logikát követik — és rendszereket építettek ezek automatizálására.

Gondolkozz rajta. Amikor egy incidens bekövetkezik, mi az, ami valódi emberi döntéshozatalt igényel, és mi az, ami csak információátadás?

Valakinek:

  • Nyugtáznia kell a riasztást
  • Kategorizálnia kell az incidens típusát
  • Össze kell gyűjtenie a releváns információkat több forrásból
  • Értesítenie kell a megfelelő embereket
  • Létre kell hoznia a dokumentációt
  • Meg kell kezdenie az első containment lépéseket

Ezek közül néhány tényleg emberi agyat igényel. De mások? Azok csak egy folyamatábra követése. És azokat a folyamatábra-lépéseket automatizálni lehet.

A 75%-os javulás nem a keményebb munkából jött, hanem abból, hogy elvették azokat a feladatokat, amelyek amúgy sem igényeltek emberi kreativitást.

A valódi nyereség: Jobb hasznosítása az embereidnek

Itt van az, ami számomra a legérdekesebb ebben az egész beszélgetésben, és ez az, ami gyakran elvész az effektivitási diskurzusban.

Amikor automatizálod az unalmas dolgokat, nem csak időt takarítasz meg. Kognitív energiát spórolsz.

A biztonsági szakemberek nem azért jöttek ebbe a szakmába, hogy adatokat másolgassanak rendszerek között. Azért jöttek, mert szeretik a rejtvényeket megoldani, stratégiailag gondolkodni, és megvédeni a szervezeteket a valódi fenyegetésekkel szemben.

A Net Friends azáltal, hogy automatizálta a procedurális munkát, nem helyettesítette a csapatát — visszaadta nekik az idejüket. Most a csapat tagjai az actual problémamegoldásra koncentrálhatnak, a nuált döntésekre, amelyek tapasztalatot és megítélést igényelnek, arra a munkára, amely ténylegesen hasznosítja a képességeiket.

Ez nyilvánvalónak tűnik, ahogy leírom, de meglepődnél, hány szervezet kezeli a képzett biztonsági szakembereit drága adatrögzítő gépeknek.

Mit jelent ez a te vállalkozásodnak?

Akár MSP-t működtetsz, akár IT-t kezelegy egy közepes méretű cégnél, vagy csak próbálod a kisvállalkozásodat biztonságban tartani, az elv ugyanaz.

Nézd meg az incidenskezelési folyamatodat. Nem az elméletit a papíron — a valódit, amit a csapatod követ. Hol vannak a szűk keresztmetszetek? Hol akad meg az információ? Mi történik az első öt percben a riasztás után?

Ha azt gondolod magadban: "nos, valakinek kézzel kell csinálnia", kérdezd meg magadtól: valóban kell? Vagy csak azt hiszed, mert mindig is úgy volt?

A cél nem az automatizálás az automatizálásért. A súrlódás eltávolítása, hogy az embereid értelmes munkát végezhessenek. Olyan rendszerek építése, amelyek skálázódnak anélkül, hogy minden alkalommal három új elemzőt kellene felvenned, amikor nő a terhelés.

És őszintén? Egy olyan világban, ahol a fenyegetések egyre kifinomultabbak és a válaszidő egyre fontosabb, a lassúság nem semleges. Versenyhátrány.

A kérdés nem az, hogy megengedheted-e magadnak az incidenskezelésed optimalizálását. Az, hogy megengedheted-e magadnak, hogy ne tedd.

Mely manuális folyamatok lassítják a csapatodat most? Valószínűleg ott érdemes kezdeni a keresgélést.

Címkék: ['incident response', 'automation', 'cybersecurity', 'msp', 'ai', 'operational efficiency', 'security operations', 'workflow automation', 'managed services']