Ролята на наблюдението и SOC в оперативната устойчивост

Защо видимостта е важна по време на прекъсване

Планирането на бизнес непрекъсваемост и възстановяване при бедствия често се свързва с recovery среди, backup инфраструктура и процедури за възстановяване.

Възстановяването обаче зависи в голяма степен от оперативната видимост.

Организациите трябва да разбират:

• кои системи са засегнати
• дали прекъсването се разпространява
• кои услуги продължават да работят
• кои зависимости отказват
• дали действията по възстановяване дават резултат

Без тази видимост дори добре изградените процедури за възстановяване стават трудни за изпълнение. Оперативната устойчивост зависи от способността да се вземат информирани решения по време на прекъсване.

Наблюдението не е само за киберсигурност

Много организации свързват наблюдението единствено със сигнали за киберсигурност. На практика оперативното наблюдение обхваща много повече от инциденти, свързани със сигурността.

Наблюдението може да включва:

• наличност на инфраструктурата
• мрежова свързаност
• състояние на облачни платформи
• системи за идентичност и достъп
• поведение на приложенията
• състояние на backup процесите
• готовност на recovery средите

Прекъсванията често започват като оперативни аномалии, преди да се превърнат във видим бизнес проблем. Наблюдението помага тези състояния да бъдат идентифицирани по-рано.

Ролята на SOC в оперативната устойчивост

Security Operations Center (SOC) често се свързва с откриване на заплахи и реакция при инциденти. Възможностите на SOC обаче подпомагат и оперативната устойчивост.

SOC екипите помагат на организациите да:

• откриват инциденти по-бързо
• свързват събития от множество системи
• идентифицират оперативни зависимости
• координират ескалацията по време на прекъсване
• подпомагат определянето на приоритетите за възстановяване

По време на инфраструктурни прекъсвания или киберинциденти видимостта става критична. Организациите трябва да разбират не само дали системите са засегнати, а и как тези откази влияят върху бизнес операциите. Видимостта, осигурена от SOC, помага да се намали несигурността в подобни ситуации.

Откриването влияе върху скоростта на възстановяване

Възстановяването не започва, когато системите спрат. То започва, когато организацията разбере, че възниква прекъсване. Закъснялото откриване често води до закъсняло възстановяване.

Примери:

• ransomware атака, открита след разпространение на криптирането
• инфраструктурни прекъсвания, установени едва след като клиентите вече са засегнати
• неуспешни backup процеси, открити твърде късно
• проблеми със свързаността към облачни услуги, които засягат зависими системи

В подобни ситуации наблюдението пряко влияе върху времето за оперативно възстановяване. Колкото по-рано бъде идентифицирано прекъсването, толкова по-рано могат да започнат реакцията и действията по възстановяване.

Наблюдението подпомага координацията по възстановяване

Процесите по възстановяване често включват множество екипи и системи едновременно. Инфраструктурни екипи, екипи по сигурността, облачни доставчици, backup платформи и оперативно управление могат да участват едновременно по време на прекъсване.

Наблюдението подпомага координацията между тях чрез споделена оперативна видимост.

Това включва:

• централизирана видимост на събитията
• проследяване на времевата последователност
• проследяване на зависимости
• наблюдение на статуса на възстановяване
• видимост върху ескалацията

Без централизирана видимост координацията по възстановяване става фрагментирана и по-бавна.

Наблюдението на recovery средите също е важно

Организациите често концентрират наблюдението само върху продукционната инфраструктура.

Recovery средите също изискват видимост.

Това включва наблюдение на:

• готовността на disaster recovery инфраструктурата
• целостта на backup данните
• състоянието на репликацията
• failover средите
• резултатите от тестовете за възстановяване

Recovery среди, които не се наблюдават, могат да откажат неочаквано по време на реален инцидент.

Оперативната устойчивост зависи не само от наличието на recovery системи, но и от това организацията да знае, че те работят и са готови при нужда.

SOC, наблюдение и вземане на решения

Оперативните прекъсвания създават напрежение и несигурност. По време на инциденти организациите трябва да вземат бързи решения относно:

• ескалация
• изолиране
• failover
• възстановяване на услуги
• комуникация

Възможностите за наблюдение и SOC помагат да се намали несигурността чрез предоставяне на проверена оперативна информация.

Това подобрява скоростта на вземане на решения и намалява оперативното объркване по време на прекъсване.

Видимостта подпомага координацията.

Координацията подпомага възстановяването.

Перспективата на DIAMATIX

От гледна точка на оперативната устойчивост наблюдението не трябва да се разглежда само като мярка за сигурност.

То трябва да се разглежда като възможност за оперативна видимост.

Организациите, които поддържат непрекъсната видимост върху инфраструктурата, recovery системите и оперативните зависимости, са по-добре подготвени да реагират по време на прекъсване.

Това включва:

• непрекъснато наблюдение на инфраструктурата и услугите
• свързване на оперативни и security събития
• наблюдение на backup и recovery среди
• оперативни процедури за ескалация
• видимост върху системните зависимости и статуса на възстановяване

Възстановяването зависи от разбирането какво се случва в реално време.

Заключение

Backup и disaster recovery осигуряват възможността за възстановяване на системите.

Monitoring и SOC осигуряват видимостта, необходима за ефективна координация на това възстановяване.

Организациите не могат да реагират ефективно при прекъсване, ако нямат оперативна осведоменост. Оперативната устойчивост зависи както от способността за възстановяване, така и от оперативната видимост. Подготвените организации не разчитат само на процедури за възстановяване.

Те поддържат видимост преди, по време и след възникване на прекъсване.

Продължение на серията за оперативна устойчивост

Тази статия е част от серията DIAMATIX Operational Resilience.

Предишни статии:

• Когато възникнат инфраструктурни прекъсвания: защо планирането на бизнес непрекъсваемост е важно
• Как работи Disaster Recovery: системите зад оперативната устойчивост
• Стратегии за backup, които реално подпомагат Disaster Recovery
• Business Impact Analysis (BIA): Определяне на приоритетите за възстановяване преди да възникне прекъсване

Практически разговор

Изискванията за оперативна видимост са различни за всяка организация.

Кратък експертен разговор може да помогне да се изясни:

• дали наблюдението обхваща критичните оперативни зависимости
• дали recovery средите се наблюдават и поддържат
• как видимостта от SOC е съгласувана с приоритетите за възстановяване
• дали процесите за ескалация и координация са ясно дефинирани

Ако вашата организация преразглежда своята стратегия за оперативна устойчивост, можете да насрочите кратък разговор с екипа на DIAMATIX.

Целта не е само възстановяване на системите.

Целта е поддържане на видимост и оперативен контрол по време на прекъсване и възстановяване.

Ако желаете да обсъдим вашата стратегия за устойчивост, можете да насрочите кратка консултация с екипа на DIAMATIX.

Свържете се с DIAMATIX

Trusted · Innovative · Vigilant.