資料結構
網路
關係資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究根因分析技術如何幫助分析安全事件?
根因分析 (RCA) 是一種問題解決策略,用於確定已識別情況的前因和根本原因。雖然“根因分析”一詞暗示問題只有一個來源,但事實並非總是如此。問題可能只有一個來源,也可能有多個原因,這些原因源於產品、人員、流程或其他變數的缺陷。
在沒有足夠知識的情況下做出有效的網路安全決策是災難的先兆,網路安全情況很少是簡單的。每種情況都是獨一無二的,必須充分理解其微妙之處,才能指導響應和恢復活動。
企業必須不僅要理解特定的漏洞,還要理解此類漏洞的根本原因,這些根本原因通常與非技術風險有關,例如治理不足和流程遵守情況不佳。美國國家標準與技術研究院 (NIST) 將根因分析定義為“一種基於原則的系統方法,用於識別與特定危害集合相關的根本原因”。
單個漏洞僅佔網路安全事件的一小部分。調查通常會發現隱藏在表面之下的一系列問題。透過分析導致安全事件原因的根本因素,組織可以提高遏制和根除操作的效率,並降低未來遭受攻擊的風險。
由於這種方法,問題無論現在還是將來都不再是問題。在這種情況下,根也可以被視為問題的“真正”原因。
根因分析方法的四個階段
根因分析方法的四個階段如下:
識別和描述
對問題的準確識別和描述是成功進行根因分析的第一步。如果對問題的理解不佳,可能難以正確確定問題的根本原因。
對安全分析工具的自動化警報做出反應的 IT 運營商的第一個問題陳述可能是:“我們的安全系統發出了警報”。在 RCA 中,準確的事件描述也至關重要。一系列正確的事件描述,概述與問題相關的發生的事件,應成為成功分析的起點。
時間順序
在識別問題和相關事件後,IT 運營商應按時間順序排列問題和相關事件,例如時間軸或事件序列。這使得建立和識別與問題相關的事件之間的因果關係變得更加容易。安全分析軟體使組織能夠自動化事件日誌的收集,以及將來自多個來源的日誌整合到單個標準化格式和平臺中。這加快了 RCA 流程,使這些公司能夠以創紀錄的時間進入流程的第三步。
區分
RCA 流程的第三階段是區分。為了確定事件是如何關聯的,調查人員在事件周圍包含額外的上下文資料。當發現網路安全事件時,安全運營商必須檢查事件依賴關係,以確定系統中的根本原因、因果變數和非因果因素。
企業安全分析系統可以使用稱為事件關聯的資料分析方法,篩選來自各種不同來源的大量計算機日誌,並選擇最可能與問題相關的日誌。
視覺解釋
在 RCA 流程的最後階段,建議調查人員建立 RCA 方法結果的因果圖、圖表或其他視覺解釋。因果圖描繪了一系列重要的事件,從根本原因開始,到問題結束。此練習解釋了用於找出問題如何產生的邏輯過程。
魚骨圖/石川圖分析
魚骨圖是一種視覺化表示工具,使調查人員能夠從多個來源尋找問題可能解釋。魚骨圖鼓勵調查人員發現可能導致問題狀態的多種原因,使他們能夠快速找到問題的根源。
5M 法則是一種流行的魚骨圖框架,其中調查人員考慮:
**人** - 可能導致問題的人為因素
**機器** - 硬體或技術方面被稱為“機器”。
**材料** - 由有形問題(如消耗品和資訊)引起的因果因素
**方法** - 由流程或方法缺陷引起的因果因素。
**測量** - 由測量工具或檢查錯誤引起的因果因素。
作為魚骨圖/石川圖研究的一部分,通常會探討環境因果變數。
“五個為什麼”根因分析方法
“五個為什麼”方法是一種調查策略,它推動從業者反覆提問“為什麼?”,以找到事件、事件或問題的根本原因。
在進行一輪“為什麼會發生這種情況?”的提問後,我們很少能找到問題的根本原因。為了瞭解事件的根本原因並發現補救措施的機會,我們可能需要經歷多個級別的詢問。
將此示例作為“五個為什麼”RCA 的起點:
問題
公司的資料庫伺服器已被惡意軟體入侵。
**為什麼?** - 我們的反惡意軟體應用程式的伺服器沒有更新最新的惡意軟體定義。
**為什麼?** - 分發更新的自動服務已停止。
**為什麼?** - 上個月,自動伺服器出現故障,尚未修復或更換。
**為什麼?** - 負責授權維修或更換的人員正在休假,並且在誰應該負責修改審批方面缺乏溝通。
**為什麼?** - 缺乏程式。
解決方案
建立程式以確保即使在通常的審批人員不可用時也能接受維修。
158 次檢視
