如今,数据转储、勒索软件攻击和恶意软件攻击司空见惯,这意味着必须制定事件管理策略。这不是事件是否会发生的问题,而是何时发生的问题。由于当前IT环境的超连接特性,基于云的工作负载特别容易受到攻击。如果没有明确的响应流程,组织将无法对安全威胁或意外的基础设施或应用程序问题做出适当的响应。值得庆幸的是,事件管理是一个完善的过程。为了减轻计划的压力,这里有五个步骤可以在事件发生之前识别、补救和适应事件。第1步:让您的企业IT团队做好准备建立云计算事件响应流程时要做的最重要的事情之一就是为不可避免的事情做好准备。尽管准备可以采取不同的形式,但通常分为三类:培训、文档和汇总。(1)培训在云计算事件响应方面,配备合适的人员只是成功的一半。企业还需要培训员工,并提供足够的信息和支持,以应对发生的事件。云原生组织必须确保其员工了解如何选择提供商的接口来收集信息并对他们发现的内容做出反应。这也意味着员工应该了解组织的事件管理计划以及对他们的期望。(2)文件企业应该有可靠的文件才能有效运作。为了支持可能参与事件响应的员工,这意味着创建和维护准确的操作手册。运行手册是企业员工可以执行的一组例行操作和过程,以响应生产环境中的可预测事件。操作手册不仅限于安全事件,因为它们还可以指导员工完成诸如如何扩展数据库或重启卡住进程等任务。在事件管理方面,运行手册是不熟悉企业架构的员工的第一道防线。(3)聚合数据是事件响应团队识别发生了什么、如何发生以及为什么发生的能力的关键。尽管日志聚合和分析的成本可能很高,但此信息是后续步骤中任何识别、分类和补救工作的基础。第2步:确定在团队可以对事件做出响应之前,他们需要确定事件发生的时间。这可以通过多种方式实现,但通常需要识别异常行为。这是一个手动过程,通过梳理用户报告或查看日志和分析数据,但自动化工具的实施是识别大型云计算环境中异常行为的唯一可扩展方法。通过手动处理或自动化流程识别事件后,许多组织可能会选择通知并交叉验证其云提供商。此步骤可确保业务对实际事件做出响应,并且在时间紧迫时,云提供商支持可以帮助快速关闭循环。第3步:协调一旦事件被确定,下一步就是组织它。在真正解决所有问题之前,需要了解和定义问题的性质和严重性,并与响应团队合作。在此步骤中,值班人员或企业员工将负责确定报告的性质,并在将其传递给团队成员之前提供初步的严重性评估。建立一个响应团队:许多云原生组织可能很小,但每个事件都可以由他们的团队成员处理。然而,组织越大,拥有能够在问题发生时发现问题的技术专家就越重要。事件发生后,它被转移到团队成员(也称为事件主管),该成员将从相关团队中确定跨职能领导,以创建云事件响应团队。该团队将负责调查和纠正问题。第4步:补救在确定活动事件并建立响应团队后,开始调查和解决问题。随着响应团队的调查,可能需要更多的团队成员和资源来收集尽可能多的信息。由于事件固有的不可预测性,因此很难在此过程中设定时间表。保持内部沟通渠道畅通,以跟踪进度并了解整体影响。在网络安全方面,未能将可能影响他们个人的问题通知客户是失去客户信任的最简单方式。重要的是要清楚地了解事故发生时发生了什么,以及如何补救。需要谨慎采取不向客户报告事件然后在以后公开的方法。如有疑问,可能会在透明度方面犯错误。第5步:回顾回顾是完成敏捷云计算事件响应过程的基石。回顾允许组织从过去的错误中吸取教训并采取纠正措施以确保措施始终在改进。突出显示进展顺利的地方并确定需要改进的地方,以帮助定义行动项目。这使企业的响应团队能够从过去的事件中吸取教训,并为下一次事件做好准备。
