数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究根因分析技术如何帮助分析安全事件?
根因分析 (RCA) 是一种问题解决策略,用于确定已识别情况的前因和根本原因。虽然“根因分析”一词暗示问题只有一个来源,但事实并非总是如此。问题可能只有一个来源,也可能有多个原因,这些原因源于产品、人员、流程或其他变量的缺陷。
在没有足够知识的情况下做出有效的网络安全决策是灾难的先兆,网络安全情况很少是简单的。每种情况都是独一无二的,必须充分理解其微妙之处,才能指导响应和恢复活动。
企业必须不仅要理解特定的漏洞,还要理解此类漏洞的根本原因,这些根本原因通常与非技术风险有关,例如治理不足和流程遵守情况不佳。美国国家标准与技术研究院 (NIST) 将根因分析定义为“一种基于原则的系统方法,用于识别与特定危害集合相关的根本原因”。
单个漏洞仅占网络安全事件的一小部分。调查通常会发现隐藏在表面之下的一系列问题。通过分析导致安全事件原因的根本因素,组织可以提高遏制和根除操作的效率,并降低未来遭受攻击的风险。
由于这种方法,问题无论现在还是将来都不再是问题。在这种情况下,根也可以被视为问题的“真正”原因。
根因分析方法的四个阶段
根因分析方法的四个阶段如下:
识别和描述
对问题的准确识别和描述是成功进行根因分析的第一步。如果对问题的理解不佳,可能难以正确确定问题的根本原因。
对安全分析工具的自动化警报做出反应的 IT 运营商的第一个问题陈述可能是:“我们的安全系统发出了警报”。在 RCA 中,准确的事件描述也至关重要。一系列正确的事件描述,概述与问题相关的发生的事件,应成为成功分析的起点。
时间顺序
在识别问题和相关事件后,IT 运营商应按时间顺序排列问题和相关事件,例如时间轴或事件序列。这使得建立和识别与问题相关的事件之间的因果关系变得更加容易。安全分析软件使组织能够自动化事件日志的收集,以及将来自多个来源的日志集成到单个标准化格式和平台中。这加快了 RCA 流程,使这些公司能够以创纪录的时间进入流程的第三步。
区分
RCA 流程的第三阶段是区分。为了确定事件是如何关联的,调查人员在事件周围包含额外的上下文数据。当发现网络安全事件时,安全运营商必须检查事件依赖关系,以确定系统中的根本原因、因果变量和非因果因素。
企业安全分析系统可以使用称为事件关联的数据分析方法,筛选来自各种不同来源的大量计算机日志,并选择最可能与问题相关的日志。
视觉解释
在 RCA 流程的最后阶段,建议调查人员创建 RCA 方法结果的因果图、图表或其他视觉解释。因果图描绘了一系列重要的事件,从根本原因开始,到问题结束。此练习解释了用于找出问题如何产生的逻辑过程。
鱼骨图/石川图分析
鱼骨图是一种可视化表示工具,使调查人员能够从多个来源寻找问题可能解释。鱼骨图鼓励调查人员发现可能导致问题状态的多种原因,使他们能够快速找到问题的根源。
5M 法则是一种流行的鱼骨图框架,其中调查人员考虑:
**人** - 可能导致问题的人为因素
**机器** - 硬件或技术方面被称为“机器”。
**材料** - 由有形问题(如消耗品和信息)引起的因果因素
**方法** - 由流程或方法缺陷引起的因果因素。
**测量** - 由测量工具或检查错误引起的因果因素。
作为鱼骨图/石川图研究的一部分,通常会探讨环境因果变量。
“五个为什么”根因分析方法
“五个为什么”方法是一种调查策略,它推动从业者反复提问“为什么?”,以找到事件、事件或问题的根本原因。
在进行一轮“为什么会发生这种情况?”的提问后,我们很少能找到问题的根本原因。为了了解事件的根本原因并发现补救措施的机会,我们可能需要经历多个级别的询问。
将此示例作为“五个为什么”RCA 的起点:
问题
公司的数据库服务器已被恶意软件入侵。
**为什么?** - 我们的反恶意软件应用程序的服务器没有更新最新的恶意软件定义。
**为什么?** - 分发更新的自动服务已停止。
**为什么?** - 上个月,自动服务器出现故障,尚未修复或更换。
**为什么?** - 负责授权维修或更换的人员正在休假,并且在谁应该负责修改审批方面缺乏沟通。
**为什么?** - 缺乏程序。
解决方案
创建程序以确保即使在通常的审批人员不可用时也能接受维修。
158 次查看
