빠른 속도의 팀을 위한 인시던트 관리
효과적인 인시던트 대응의 7단계
In the midst of daily operations, an IT leader suddenly receives a barrage of alerts — a service outage threatens to disrupt their system. However the seasoned incident management team has faced similar challenges before and swiftly springs into action. By following a well-rehearsed plan and incident response best practices, they coordinate to mitigate the issue, limit damage, and restore operations, averting customer impact.
Incident response should not be reactionary but a well-defined series of practices and processes that you implement when unforeseen events occur. By understanding the structured incident response lifecycle, companies gain guidance through a strategic framework to swiftly identify, react to, and neutralize disruptions or security threats, ensuring a prompt return to normal operations.
This guide will cover the incident response lifecycle and its phases, the types of security incidents, and essential tools for effective incident management. Additionally, it will address key team members, potential challenges, and insights to streamline and fortify incident response strategies.
인시던트 대응이란 무엇입니까?
인시던트 대응은 사이버 공격, 보안 침해 및 서버 가동 중지 시간과 같은 IT 위협에 대응하는 조직의 프로세스입니다.
다른 IT Ops 및 DevOps 팀은 이 관행을 주요 인시던트 관리 또는 단순히 인시던트 관리라고 지칭할 수 있습니다.
인시던트 대응 프로세스
다음 섹션에서는 인시던트 핸드북의 자료를 기반으로 인시던트 대응 프로세스, 즉 서비스가 중단되었음을 인식한 후 복구하고 다시 실행하는 것 사이의 작업에 대해 설명합니다.
이 문서에서는 인시던트 대응의 7가지 주요 단계를 다룹니다.
- 인시던트 감지
- 팀 커뮤니케이션 채널 설정
- 영향 평가 및 심각도 수준 적용
- 고객과 소통
- 적절한 대응자에게 에스컬레이션
- 인시던트 대응 역할 위임
- 인시던트 해결
인시던트 감지
모니터링 및 알림 도구는 고객이 알아차리기 전에 인시던트를 감지하고 팀에 알리는 것이 이상적입니다. 하지만 때로는 Twitter 또는 고객 지원 티켓을 통해 인시던트에 대해 먼저 알게 될 수도 있습니다.
인시던트가 어떻게 감지되는지에 관계없이 첫 번째 단계는 인시던트 추적 도구에 새 인시던트가 열려 있음을 기록하는 것입니다. Jira Service Management와 같은 인시던트 관리 솔루션에서는 알림과 커뮤니케이션이 추적 도구에 통합되어 있습니다.
팀 커뮤니케이션 채널 설정
인시던트 관리자(IM)가 온라인에 접속할 때 가장 먼저 하는 작업 중 하나는 인시던트 팀의 커뮤니케이션 채널을 설정하는 것입니다. 이 시점에서 목표는 다음과 같이 잘 알려진 위치로 모든 인시던트 팀 커뮤니케이션을 설정하고 집중시키는 것입니다.
- Slack 채팅방 또는 다른 메시징 서비스.
- Zoom과 같은 회의 앱의 화상 채팅(또는 모두 같은 장소에 있는 경우 실제 회의실에 팀 소집).
인시던트 발생 시 화상 채팅과 문자 채팅 도구를 모두 사용하는 것이 좋습니다. 둘 다 서로 다른 부분에서 탁월하기 때문입니다. 화상 채팅은 그룹 토론을 통해 인시던트에 대한 개념을 빠르게 만들어 공유하는 데 적합합니다. 또한 Slack은 스크린샷, URL 및 대시보드에 대한 수집된 링크와 함께 인시던트의 타임스탬프 기록을 생성하는 데 도움이 됩니다.
Slack을 비롯한 대부분의 다른 채팅 도구를 사용하면 사용자가 채팅방 토픽을 설정할 수 있습니다. 인시던트 관리자는 인시던트 및 유용한 링크에 대한 정보를 위해 이 필드를 사용해야 합니다.
마지막으로, IM은 자신의 개인 채팅 상태를 현재 관리 중인 인시던트의 이슈 키로 설정합니다. 이를 통해 동료들은 IM이 현재 인시던트를 관리하고 있음을 알 수 있습니다.
Preparation
Preparation is the core of an incident response plan and determines a company’s responsiveness to an attack. A well-documented pre-incident process facilitates smooth navigation through intense, high-stress scenarios.
Any company will be more resilient with a robust incident response process based on the Atlassian Incident Handbook.
Identification
This phase involves detecting and verifying incidents through error messages, log files, and monitoring tools. Incidents might be identified through social media or customer support tickets, requiring the response team to manually record the incident in an incident-tracking tool.
Tools like Jira Service Management centralize all alerts and incoming signals from your monitoring, service desk, and logging applications, making it easy to categorize and prioritize issues.
Containment
Once you detect an incident, containment helps prevent further damage. During containment, the response team aims to minimize the scope and effects of an incident.
Eradication
Following containment, the primary focus shifts to removing threats from the company’s network or system. This phase involves a meticulous cleansing of all systems, removing any lingering malicious content to minimize the risk of potential reinfection.
Companies start restoring normal operations by conducting a comprehensive investigation and successfully eliminating threats.
Recovery
After eradicating the threats, the team focuses on restoring the affected systems to their pre-incident state. Data recovery and system restoration are vital for minimizing further losses and ensuring smooth operations.
Lessons learned
Incident debriefings are crucial to refining incident response strategies. The team reviews documentation, evaluates performance, and implements change to enhance incident handling efficiency. Every incident is a learning opportunity for the incident response team.
Tools for effective incident response
Teams need specialized tools, such as security information & event management (SIEM) systems, intrusion detection systems (IDS), forensic tools, and communication platforms, for streamlined incident response processes.
Tools like Jira Service Management play a critical role in reducing resolution time and negative impacts. They automatically limit noise and surface the most crucial issues to the right team using powerful routing rules and multiple communication channels.
영향 평가 및 심각도 수준 적용
인시던트 팀의 커뮤니케이션 채널이 설정된 후에는, 팀에서 인시던트에 대해 알릴 내용과 해당 인시던트를 해결할 담당자를 결정할 수 있도록 인시던트를 평가해야 합니다.
IM은 팀에 다음을 질문해야 합니다.
- 내부 또는 외부 고객에게 어떤 영향을 미치는가?
- 고객이 어떤 이슈를 겪고 있는가?
- 얼마나 많은 고객이 영향을 받는가(일부 또는 전체)?
- 언제 시작되었는가?
- 고객이 얼마나 많은 지원 사례를 열었는가?
- Twitter, 보안 또는 데이터 유실과 같은 다른 요인이 있는가?
일반적으로 다음 단계는 심각도 수준을 할당하는 것입니다.
Incident response: Frequently asked questions
Why is incident response important?
A well-structured incident response plan minimizes incident impacts, enabling businesses to act swiftly and efficiently against threats. It reduces recovery time, financial loss, and reputational damage.
Who should be on an incident response team?
The incident response team should be diverse and include various roles and responsibilities. The team should include the incident commander, technical leads, communications managers, customer support leads, subject matter experts, social media leads, and problem managers. Executives and leaders across multiple domains within the company should coordinate the team.
What are some challenges of incident response?
Incident response teams often face an array of challenges, from resource constraints to issues with context, prioritization, communication, collaboration, stakeholder visibility, and the occasional human error. Preparedness is crucial to anticipate and tackle these challenges effectively. For example, involving the legal team in the preparation stage can mitigate potential legal or regulatory hurdles.