사이버 보안 및 IT에서 발생하는 많은 문제의 원인은 때때로 즉각적으로 명백합니다. 예를 들어 컴퓨터가 예기치 않게 다시 시작되어 응용 프로그램이 충돌할 수 있습니다. 그러나 이 재시작은 인시던트의 근본 원인인 일시적인 정전으로 인해 발생했을 수 있습니다. 근본 원인 분석(RCA)은 사고의 근본 또는 주요 원인을 파악하기 위해 설계된 프로세스입니다.
RCA는 IT 및 보안 팀이 이러한 근본 원인을 식별하는 데 도움이 됩니다. 이를 통해 이러한 문제를 해결하고 향후 사고가 발생하지 않도록 방지할 수 있습니다.
근본 원인 분석은 문제가 발생할 때마다 유용합니다. 사이버 보안 관점에서 이는 사이버 보안 사고 또는 기업 소프트웨어의 취약성 급증일 수 있습니다. IT 관점에서 근본 원인 분석은 기업 네트워크 및 시스템의 성능 문제 또는 비효율성에 초점을 맞출 수 있습니다.
RCA는 팀이 문제가 발생하는 실제 이유를 확인할 수 있도록 하기 때문에 이러한 시나리오에서 유용합니다. RCA는 문제의 증상이나 중간 원인을 해결하는 대신 팀이 실제 원인을 찾고 향후 사고를 예방할 수 있도록 합니다.
RCA는 바람직하지 않은 이벤트가 발생하는 실제 이유를 탐색하기 위해 고안된 프로세스입니다. 몇 가지 주요 목표는 다음과 같습니다.
근본 원인은 인과 요인과 다릅니다. 인과 요인이 문제에 기여할 수 있지만 문제의 원인은 아닙니다. 다음과 같은 다양한 문제가 사고의 근본 원인이 될 수 있습니다.
조직: 사고는 잘못된 프로세스, 지침 등으로 인해 발생할 수도 있습니다. 예를 들어, 중요한 작업이 실수로 할당되지 않거나 중요한 시설에 인력이 부족할 수 있습니다.
RCA를 제대로 수행하면 운영을 개선하고 보안 사고를 수정하는 데 유용한 도구가 될 수 있습니다. RCA의 몇 가지 주요 원칙은 다음과 같습니다.
근본 원인 분석을 수행하기 위한 여러 가지 기술이 있습니다. 가장 일반적인 방법 중 하나는 팀이 어떤 일이 "왜" 일어났는지 지속적으로 묻는 "5가지 이유" 방법입니다. 이 기술은 "왜?"라는 질문에 대한 답이 없을 때까지 일련의 사건을 추적하는 데 도움이 됩니다. 이 시점에서 근본 원인이 확인되었습니다.
시각화는 또한 이벤트 체인을 추적하고 잠재적인 근본 원인을 식별하는 데 도움이 될 수 있습니다. 피쉬본 다이어그램은 팀이 사고의 다양한 잠재적 원인을 체계적으로 탐색할 수 있게 해주기 때문에 이를 위한 유용한 도구입니다.
RCA 프로세스 전반에 걸쳐 데이터와 컨텍스트는 성공의 열쇠입니다. 팀에는 타임라인을 구축하고 근본 원인에서 최종 결과로 이어지는 이벤트 체인 내에서 가능한 원인을 식별하기 위해 여러 소스에서 데이터를 수집 및 구성하는 방법이 필요합니다.
근본 원인 분석을 위해서는 조직의 시스템을 이해하고 문제의 잠재적 원인을 파악하여 결과에서 주요 원인까지 추적해야 합니다. 체크포인트의 인 피니티 글로벌 서비스(Infinity Global Services )는 근본 원인 분석 지원을 포함한 다양한 인시던 트 대응 서비스를 제공하여 조직이 보안 인시던 트의 근본 원인을 찾고 해결할 수 있도록 지원합니다.
피드백